GreatXML 是一款基于 Windows 系统设计的开源安全研究工具,专门利用 Windows Defender 离线扫描(Offline Scan)机制中存在的 XML 配置漏洞,实现对 BitLocker 加密驱动器的合法绕过访问。它不破解密钥、不暴力爆破,而是通过构造特定的 unattend.xml 文件并配合系统恢复环境(WinRE),在满足特定前提条件下,获得对已加密磁盘的完整读写权限。该项目面向安全研究人员与渗透测试人员,强调技术原理透明、操作可复现、过程无残留,严格遵循伦理边界——仅适用于授权场景下的红队演练、应急响应或设备取证。
核心功能
- 无需 BitLocker 恢复密钥或 PIN 码,即可在 WinRE 环境中挂载并访问已加密的 NTFS 卷
- 精准利用 Windows Defender 离线扫描遗留的执行上下文漏洞,实现权限提升与环境接管
- 支持全自动流程:一键部署
unattend.xml与Recovery目录至恢复分区,无需修改系统启动项 - 兼容主流 Windows 10/11 版本(含 LTSC 和专业版),尤其对启用 BitLocker 的企业设备效果显著
- 提供清晰的验证反馈机制——成功触发后将弹出具备完整管理员权限的命令行 Shell,并可直接浏览、复制、导出加密盘内全部文件
- 完全离线运行:所有操作均在 WinRE 中完成,不依赖网络、不上传数据、不留远程痕迹
适合哪些人用
GreatXML 并非面向普通用户的“解密软件”,而是为专业安全从业者量身打造的技术验证工具:红队工程师可用它评估 BitLocker 在真实攻防场景中的防御纵深;企业安全运维人员可借此模拟攻击路径,检验终端防护策略的有效性;数字取证专家能在物理接触受限但拥有本地访问权时,合规提取 BitLocker 加密设备中的关键证据;高校与培训机构亦可将其作为 Windows 安全机制教学的典型漏洞分析案例。请注意:未经授权对他人设备使用本工具违反《中华人民共和国网络安全法》及《刑法》第285条,仅限授权测试与学习研究。
快速上手
使用 GreatXML 前,请确保目标设备已启用 BitLocker 且存在 Recovery 分区(绝大多数 Windows 安装默认具备)。操作分两步:
① 若该设备曾执行过 Windows Defender 离线扫描(如通过“Windows 安全中心 → 设备性能 & 健康 → 病毒和威胁防护 → 扫描选项 → 离线扫描”),则无需登录系统,直接将项目中的 unattend.xml 文件与 Recovery 文件夹复制到恢复分区(通常为隐藏的 EFI 或 Recovery 分区根目录);
② 按住 Shift 键点击“重启”,进入 WinRE 环境,系统将自动加载配置并启动高权限 Shell。若从未触发过离线扫描,则需先以合法身份登录系统手动启动一次离线扫描,再重复上述步骤。整个过程约 90 秒,无需编译、无需驱动安装。
项目信息
GreatXML bitlocker bypass vulnerability
505
Stars
216
Forks
Unknown
MIT
编程语言:PowerShell / XML 配置(跨版本兼容)|Star 数:505|开源协议:MIT|GitHub 项目地址
这是一款把 Windows 安全机制“以彼之道还施彼身”的典范工具——不越界、不黑产、不藏私,真正让安全研究回归技术本质。
