|
Приветствую всех обитателей Codeby, недавно передо мной встала одна задачка. Задача состояла в следующим: Мне нужно было извлечь из слепка оперативной памяти мастер ключ от криптоконтейнера (TrueCrypt 7.1a). Затем с помощью этого ключа мне нужно было расшифровать собственно сам криптоконтейнер, пустяковое казалось бы дело. http://dl4.joxi.net/drive/2020/07/28...1a9a0e3d37.jpg Передо мной сразу встал вопрос связанный с выбором инструментов для реализации задуманного. Первое что мне пришло в голову это ПО от "элкомсофт" а именно https://www.elcomsoft.ru/efdd.html Кстати человек под ником Sunnych очень хорошо описал в https://codeby.net/threads/elcomsoft...tlocker.67823/теме возможности данного софта. http://dl4.joxi.net/drive/2020/07/28...5a1e8753a3.jpg Ну что ж, скачал и установил я значит этот софт (разумеется бесплатную версию). Радостный и в предвкушении я начал извлекать ключ из слепка оперативной памяти. http://dl4.joxi.net/drive/2020/07/28...fea8aa507f.jpg http://dl4.joxi.net/drive/2020/07/28...6714bb4050.jpg http://dl4.joxi.net/drive/2020/07/28...5a1722943c.jpg Увы, радость моя длилась недолго потому что я увидел на своем экране вот это: http://dl4.joxi.net/drive/2020/07/28...a9f531e04a.jpg http://dl4.joxi.net/drive/2020/07/28...6cc33e3eae.jpg http://dl4.joxi.net/drive/2020/07/28...971f02a6a5.jpg Я наивно полагал о том что я смогу реализовать задуманное на триал версии, увы я ошибся...)) Что ж, отдавать за Elcomsoft Forensic Disk Decryptor 36 тысяч рублей мне не очень хотелось, а поставленную задачу нужно было все-таки как-то решить. Немного расстроившись, я начал искать оптимальные пути решения для этой задачи. По итогу задачу я все таки решил, ниже описывается мой способ решения. Для решения задачи мне понадобилось 2 инструмента: <ul><li>https://github.com/volatilityfoundation/volatility - Это фреймворк для криминалистического анализа оперативной памяти. О нем есть отдельная статья на нашем форуме.</li> <li>https://github.com/AmNe5iA/MKDecrypt - Это скрипт написанный на языке python, он позволяет нам расшифровать зашифрованные тома с использованием восстановленного мастер-ключа.</li> </ul>Решение происходит в 2 этапа: <ol style="list-style-type: decimal"><li>С помощью фреймворка Volatility находим и извлекаем мастер ключ из слепка оперативной памяти.</li> <li>С помощью извлеченного мастер ключа используя скрипт MKDecrypt расшифровываем наш криптоконтейнер.</li> </ol> Извлекаем ключ Как я уже сказал, для извлечения мастер-ключа я буду использовать фреймворк Volatility. По умолчанию он не предустановлен в систему, поэтому первым делом нам нужно его установить. Сделать это можно с помощью команды: HTML Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">sudo apt-get install -y volatility</pre> Наш фреймворк установлен, это значит что теперь мы с вами можем приступить к анализу слепка нашей памяти. Для начала, нужно понять с какой системы снимался наш слепок памяти. Понять это нам поможет плагин, который называется imageinfo Вводим в терминал команду: HTML Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">volatility -f Название_слепка imageinfo</pre> Система нам выдала информацию о нашем дампе, здесь нас интересует лишь один пункт под названием Suggested Profile(s). Этот пункт предположительно, говорит нам о том с какой операционной системы был сделан слепок оперативной памяти. (Все отсортировано в порядке вероятности). http://dl4.joxi.net/drive/2020/07/28...637dbd7c0b.jpg Итак, мы определили, что перед нами находится дамп Windows 7 Service Pack 1 x64. Теперь можно приступить к поиску ключа. Вводим в терминал команду: HTML Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">volatility -f 20200718.mem --profile=Название_системы truecryptsummary</pre> http://dl4.joxi.net/drive/2020/07/28...cac7ddb0b1.jpg Как видите TrueCrypt действительно установлен и используется. Так же имеется время монтирования контейнера, адрес его расположения и т.д. Теперь давайте попробуем вытащить ключ. Вводим в терминал: HTML Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">volatility -f 20200718.mem --profile=Название_системы truecryptmaster</pre> http://dl4.joxi.net/drive/2020/07/28...33b38830bc.jpg Отлично! Давайте сдампим этот ключ в отдельный файл. Вводим в терминал: HTML Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">volatility -f 20200718.mem --profile=Название_системы truecryptmaster -D ~/Ваш путь/</pre> http://dl4.joxi.net/drive/2020/07/28...3f9e9611c8.jpg Поздравляю, теперь у нас есть мастер ключ с помощью которого мы можем вскрыть наш криптоконтейнер. Вскрытие криптоконтейнера Мастер ключ у нас есть, теперь можно приступить к самому важному, к вскрытию. Для вскрытия криптоконтейнера будем использовать специальный скрипт под названием MKDecrypt. Для того чтобы его поставить вводим в терминал: HTML Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">git clone https://github.com/AmNe5iA/MKDecrypt.git</pre> http://dl4.joxi.net/drive/2020/07/28...91d2e4fc0f.jpg http://dl4.joxi.net/drive/2020/07/28...891db29996.jpg Теперь перекинем наши файлы в каталог MKDecrypt. Вводим в терминал: HTML Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 34px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">mv 0xfffffa80041f11a8_master.key rzfnkd.dat MKDecrypt/</pre> Переходим в каталог MKDecrypt и вскрываем наш криптоконтейнер. Вводим в терминал: HTML Code: <pre class="alt2" dir="ltr" style=" margin: 0px; padding: 6px; border: 1px solid rgb(0, 0, 0); width: 640px; height: 50px; text-align: left; overflow: auto; background: rgb(37, 37, 37) none repeat scroll 0% 0%; border-radius: 5px; font-size: 11px; text-shadow: none;">cd MKDecrypt/ sudo python3 MKDecrypt.py rzfnkd.dat -m /mnt/ -X 0xfffffa80041f11a8_master.key</pre> http://dl4.joxi.net/drive/2020/07/28...4e5d8bceca.jpg Все, наш криптоконтейнер всрыт. Чтобы убедиться в этом, переходим в /mnt и смотрим. http://dl4.joxi.net/drive/2020/07/28...b13ba75102.jpg http://dl4.joxi.net/drive/2020/07/28...d623def2fa.jpg Шифрование это лишь временная защита, это не панацея. Все ваши переписки, звонки, интернет-трафик со временем можно будет расшифровать, а пока их можно просто собрать и сохранить.(Что в принципе и делают большие корпорации). Никогда не питайте иллюзий о том что ваши зашифрованные данные никогда не расшифруют. На сегодняшний день существует большое множество атак на шифрование brute force, DMA, Cold-boot, Evil-Maid, replug и т.д А может, многие используемые на сегодняшний день 'надежные' алгоритмы шифрование уже ненадежны? Вы же не рассчитываете, на то что спецслужбы, найдя способ расшифровывать зашифрованные коммуникации, выступят с официальным заявлением и скажут вам: 'Дорогой ITSpaider, мы нашли способ расшифровывать ваши данные, зашифрованные алгоритмом N, пожалуйста, перейдите на более безопасные решения' В ближайшее будущее я хочу написать объемную статью на эту тему, где будет обзор популярных атак на шифрование и защита от них. Спасибо за внимание! @stephanie887 https://codeby.net/threads/rasshifro...decrypt.74360/ |
О, мои статьи и тут уже есть. Хорошо, что указали (C) codeby.net , приличия соблюдаете. =)) </br> |
| All times are GMT. The time now is 06:31 AM. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.