文章总结： GreatXML是一种利用Windows恢复环境与BitLocker自动解锁机制之间信任缝隙的绕过技术。该技术通过篡改WinRE配置或无人值守文件，在系统恢复/离线扫描阶段获得高权限执行环境，从而在用户未登录时访问已解锁的系统卷。攻击需物理接触设备，主要影响采用TPM-only模式的设备。防御建议包括验证恢复环境完整性、启用预启动PIN并将设备物理失控视为安全事件。 综合评分： 82 文章分类： 漏洞分析,终端安全,内网渗透,红队,应急响应

一个围绕 WinRE 与 Defender Offline 的 BitLocker 绕过思路

原创

🅼🅰🆈 🅼🅰🆈

独眼情报

2026年6月11日 13:37 湖北

在小说阅读器读本章

去阅读

https://github.com/MSNightmare/GreatXML

GreatXML 是一个围绕 Windows 恢复环境设计的 BitLocker 绕过思路。它的核心并不是破解 BitLocker 的加密算法，也不是直接暴力恢复密钥，而是利用 Windows 在恢复、离线扫描、预安装配置等特殊阶段中的信任关系，让攻击者在系统正常登录之前获得高权限执行环境。

换句话说，GreatXML 关注的不是「硬盘怎么被加密」，而是「系统在什么时机会自动解锁硬盘，以及解锁后谁能接触到数据」。

漏洞作用

GreatXML 的主要作用可以概括为：在特定条件下，通过篡改或利用 WinRE 相关配置，使设备进入恢复环境或 Defender Offline Scan 流程时执行攻击者预设的逻辑，从而绕过 Windows 登录界面访问已解锁的 BitLocker 卷。

这类问题的危险点在于，很多启用 BitLocker 的 Windows 设备默认使用 TPM-only 模式。该模式下，设备启动过程只要被认为是可信的，TPM 就可能自动释放密钥，让系统卷在用户输入密码之前完成解锁。正常情况下，这一机制提升了易用性；但如果恢复环境的执行流程被利用，攻击者就可能在系统卷已经解锁、用户还没有登录的阶段获得访问机会。

因此，GreatXML 绕过的是 BitLocker 生态中的启动与恢复边界，而不是 BitLocker 本身的密码学强度。

关键利用点

GreatXML 的思路与 Windows 的两个机制密切相关。

第一个是 WinRE，也就是 Windows Recovery Environment。它原本用于系统修复、恢复启动、重置系统、进入高级启动选项等场景。由于 WinRE 运行在正常 Windows 系统之外，它具备较强的系统操作能力。

第二个是无人值守配置文件，也就是 unattend.xml。Windows 在安装、预安装和恢复阶段会读取这类配置文件，并按照其中定义的阶段执行特定命令。如果攻击者能让恢复环境加载异常配置，就可能把原本合法的自动化机制变成高权限执行入口。

GreatXML 正是围绕这些恢复流程做文章：借助恢复环境的特殊权限和 BitLocker 自动解锁行为，在不通过正常用户认证的情况下接触系统文件。

攻击成立的前提

这不是一个远程代码执行漏洞，也不是通过网络直接打进目标主机的漏洞。它更接近物理访问型安全问题，典型场景包括笔记本被盗、设备短暂离手、维修返厂、离职交接、外包人员接触终端等。

攻击者通常需要具备以下条件之一：能够接触目标设备，能够修改恢复分区或恢复环境相关配置，或者能够影响设备进入某种恢复/离线扫描状态。

这也解释了为什么它的攻击门槛看起来不像远程漏洞那么低，但实际风险仍然很高。BitLocker 最重要的价值之一，就是在设备丢失后保护本地数据。如果攻击者拿到设备后仍能绕过登录读取文件，那么这个问题对移动办公、研发终端、管理人员电脑和涉密资产都有明显影响。

可能造成的影响

一旦攻击成功，攻击者可能读取系统盘中的敏感文件，例如浏览器缓存、办公文档、源代码、SSH 密钥、VPN 配置、邮件缓存、访问令牌和本地数据库文件。

更严重的是，攻击者还可能修改系统内容，例如植入后门、替换启动项、篡改安全配置、关闭部分防护能力，或者为后续登录后的持久化做准备。

从防守角度看，这类漏洞的麻烦之处在于：设备表面上可能没有明显异常。用户拿回电脑后，系统仍然能正常启动，BitLocker 状态也可能显示正常，但恢复分区或启动链中的某些配置已经被动过手脚。

与传统 BitLocker 风险的区别

很多人把 BitLocker 简单理解为「开了就安全」。这个理解并不完整。

BitLocker 保护的是静态数据，但它并不能独立解决所有物理访问问题。实际安全强度取决于多个因素：TPM 策略、Secure Boot 状态、恢复环境是否可信、启动链是否完整、是否启用预启动 PIN、恢复密钥如何管理，以及设备离手后是否有完整的响应流程。

GreatXML 这类问题提醒我们，磁盘加密不是一个孤立功能。只要启动流程中存在能提前接触已解锁卷的路径，攻击者就可能绕过正常登录边界。

总结

GreatXML 的本质，是利用 Windows 恢复环境与 BitLocker 自动解锁之间的信任缝隙。它不破解加密算法，而是寻找系统在恢复、离线扫描和预启动阶段的执行机会。

对攻击者来说，这是一条绕过登录界面、接触已解锁系统卷的路径。对防守方来说，它说明 BitLocker 的安全不能只看是否启用，还要看启动策略、WinRE 状态和恢复分区是否可信。

真正稳妥的防护思路是：让系统盘不会在无人确认的情况下轻易解锁，让恢复环境保持最新且可验证，并把设备物理失控视为一次严肃的安全事件处理。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 🅼🅰🆈 🅼🅰🆈《一个围绕 WinRE 与 Defender Offline 的 BitLocker 绕过思路》