Статья Расшифровываем криптоконтейнер TrueCrypt с помощью Volatility и MKDecrypt.

Приветствую всех обитателей Codeby, недавно передо мной встала одна задачка. Задача состояла в следующим:
Мне нужно было извлечь из слепка оперативной памяти мастер ключ от криптоконтейнера (TrueCrypt 7.1a). Затем с помощью этого ключа мне нужно было расшифровать собственно сам криптоконтейнер, пустяковое казалось бы дело.

Передо мной сразу встал вопрос связанный с выбором инструментов для реализации задуманного. Первое что мне пришло в голову это ПО от "элкомсофт" а именно

Ссылка скрыта от гостей

. Кстати человек под ником Sunnych очень хорошо описал в этой теме возможности данного софта.

Ну что ж, скачал и установил я значит этот софт (разумеется бесплатную версию). Радостный и в предвкушении я начал извлекать ключ из слепка оперативной памяти.

Увы, радость моя длилась недолго потому что я увидел на своем экране вот это:

Я наивно полагал о том что я смогу реализовать задуманное на триал версии, увы я ошибся...))

Что ж, отдавать за Elcomsoft Forensic Disk Decryptor 36 тысяч рублей мне не очень хотелось, а поставленную задачу нужно было все-таки как-то решить. Немного расстроившись, я начал искать оптимальные пути решения для этой задачи. По итогу задачу я все таки решил, ниже описывается мой способ решения.

Для решения задачи мне понадобилось 2 инструмента:

• Volatility - Это фреймворк для криминалистического анализа оперативной памяти. О нем есть отдельная статья на нашем форуме.
• MKDecrypt - Это скрипт написанный на языке python, он позволяет нам расшифровать зашифрованные тома с использованием восстановленного мастер-ключа.

Решение происходит в 2 этапа:

1. С помощью фреймворка Volatility находим и извлекаем мастер ключ из слепка оперативной памяти.
2. С помощью извлеченного мастер ключа используя скрипт MKDecrypt расшифровываем наш криптоконтейнер.

Извлекаем ключ
​

Как я уже сказал, для извлечения мастер-ключа я буду использовать фреймворк Volatility. По умолчанию он не предустановлен в систему, поэтому первым делом нам нужно его установить. Сделать это можно с помощью команды:

sudo apt-get install -y volatility

Наш фреймворк установлен, это значит что теперь мы с вами можем приступить к анализу слепка нашей памяти. Для начала, нужно понять с какой системы снимался наш слепок памяти. Понять это нам поможет плагин, который называется imageinfo

Вводим в терминал команду:

volatility -f Название_слепка imageinfo

Система нам выдала информацию о нашем дампе, здесь нас интересует лишь один пункт под названием Suggested Profile(s). Этот пункт предположительно, говорит нам о том с какой операционной системы был сделан слепок оперативной памяти. (Все отсортировано в порядке вероятности).

Итак, мы определили, что перед нами находится дамп Windows 7 Service Pack 1 x64. Теперь можно приступить к поиску ключа.

Вводим в терминал команду:

volatility -f 20200718.mem --profile=Название_системы truecryptsummary

Как видите TrueCrypt действительно установлен и используется. Так же имеется время монтирования контейнера, адрес его расположения и т.д.

Теперь давайте попробуем вытащить ключ. Вводим в терминал:

volatility -f 20200718.mem --profile=Название_системы truecryptmaster

Отлично! Давайте сдампим этот ключ в отдельный файл. Вводим в терминал:

volatility -f 20200718.mem --profile=Название_системы truecryptmaster -D ~/Ваш путь/

Поздравляю, теперь у нас есть мастер ключ с помощью которого мы можем вскрыть наш криптоконтейнер.

Вскрытие криптоконтейнера
​

Мастер ключ у нас есть, теперь можно приступить к самому важному, к вскрытию. Для вскрытия криптоконтейнера будем использовать специальный скрипт под названием MKDecrypt. Для того чтобы его поставить вводим в терминал:

git clone https://github.com/AmNe5iA/MKDecrypt.git

Теперь перекинем наши файлы в каталог MKDecrypt. Вводим в терминал:

mv 0xfffffa80041f11a8_master.key rzfnkd.dat MKDecrypt/

Переходим в каталог MKDecrypt и вскрываем наш криптоконтейнер. Вводим в терминал:

cd MKDecrypt/ 
sudo python3 MKDecrypt.py rzfnkd.dat -m /mnt/ -X 0xfffffa80041f11a8_master.key

Все, наш криптоконтейнер всрыт. Чтобы убедиться в этом, переходим в /mnt и смотрим.

Спасибо за внимание!

​

 

[geek_inside]

интересная статейка, а с veracrypt это будет все работать или только truecrypt?

 

[stephanie887]

интересная статейка, а с veracrypt это будет все работать или только truecrypt?

Нет. Этот способ работает только с TrueCrypt, для VeraCrypt нужно использовать другие инструменты.

 

[ITSpaider]

Нет. Этот способ работает только с TrueCrypt, для VeraCrypt нужно использовать другие инструменты.

Т.Е. вы хотите сказать что шифрование это не панацея? И при желании вскрываются любые крипто-контейнеры? и особой разници чем ты шифруешь нет?

 

[stephanie887]

Т.Е. вы хотите сказать что шифрование это не панацея? И при желании вскрываются любые крипто-контейнеры? и особой разници чем ты шифруешь нет?

Шифрование это лишь временная защита, это не панацея. Все ваши переписки, звонки, интернет-трафик со временем можно будет расшифровать, а пока их можно просто собрать и сохранить.(Что в принципе и делают большие корпорации). Никогда не питайте иллюзий о том что ваши зашифрованные данные никогда не расшифруют. На сегодняшний день существует большое множество атак на шифрование brute force, DMA, Cold-boot, Evil-Maid, replug и т.д

А может, многие используемые на сегодняшний день 'надежные' алгоритмы шифрование уже ненадежны? Вы же не рассчитываете, на то что спецслужбы, найдя способ расшифровывать зашифрованные коммуникации, выступят с официальным заявлением и скажут вам: 'Дорогой ITSpaider, мы нашли способ расшифровывать ваши данные, зашифрованные алгоритмом N, пожалуйста, перейдите на более безопасные решения'

В ближайшее будущее я хочу написать объемную статью на эту тему, где будет обзор популярных атак на шифрование и защита от них.

 

[GTYU]

Приветствую всех обитателей Codeby, недавно передо мной встала одна задачка. Задача состояла в следующим:

я в восторге!!!

так просто и легко описал то над чем голова кипела последние две недели!!!

Спасибо!

(плюсик тут негде что ли ставить?)

 

[ITSpaider]

Очень полезная статья. Если вы действительно разовьете эту тему и поделитесь своим опытом ,многие будут вам благодарны.
Респект вам#!

 

[kopat4]

В ближайшее будущее я хочу написать объемную статью на эту тему, где будет обзор популярных атак на шифрование и защита от них.

Было бы интересно почитать.

 

[☠xrahitel☠]

Что ж, отдавать за Elcomsoft Forensic Disk Decryptor 36 тысяч рублей мне не очень хотелось

pass мой ник

Ссылка скрыта от гостей

 

[ITSpaider]

Увожаемый автор данной ветки!
подскажите такой мамент: если брать android по умолчанию( НП. Флагмон )
Там есть функция шифрование телефона. И что - его также без особых усилий расшифровывают ( ?

 

[stephanie887]

pass мой ник

Ссылка скрыта от гостей

Спасибо за такой царский подгон!

Там есть функция шифрование телефона. И что - его также без особых усилий расшифровывают ( ?

Да, это если коротко. Если чуть-чуть длиннее, то все будет зависеть от конкретной ситуации и конечно же от уровня квалификации атакующего.

 

[GTYU]

есть у кого инфа как LUKS расшифровывается? каким софтом? кто-то пробовал?

и есть ли разница что расшифровывать? слепок оперативки или жесткий? что проще?

 

[ZIZa]

есть у кого инфа как LUKS расшифровывается? каким софтом? кто-то пробовал?

и есть ли разница что расшифровывать? слепок оперативки или жесткий? что проще?

Кхм, "расшифровывать" дамп оперативной памяти конечно проще, учитывая что нечего не нужно расшифровывать и почти всё автоматизированно. В статье это наглядно продемонстрировано...
По поводу люкса из вразумительного только атака на загрузчик (см конец статьи)(это не пример реализации). Ну и как дурак

Ссылка скрыта от гостей

в дверь

Ссылка скрыта от гостей

брута, что совсем не вразумительно в случае использования файлов - ключей. Когда очень нужно мучают человека, а не диск.
P.S: Мучают мертвеца, подожду пока выйдет в релиз 7 апдейт для "веры" и посмотрим, что скажут на это.

 

[GTYU]

там три попытки ввода, потом.. не помню, то ли Y нажать, то ли пауза какая. хорошо придумано.

 

[stephanie887]

Так же не стоит исключать из вида всякие аппаратные штуки. Если например технику изъяли то после возврата лучше её продать. Хардварный кейлоггер могут запрятать в любую железку (включая провода) и заодно прошить "подлеченной" версией саму

Ссылка скрыта от гостей

Если например у вас частный дом то вам могут подсунуть спрятанных камер, регистраторов электромагнитного поля (чтоб дистанционно перехватывать сигнал провода например к монитору) и много чего еще. Если подходить к вопросу серьезно то можно сказать что любая адекватная защита криптосистемы начинается с защиты и контроля конфигурации помещения (предметов и топологии электромагнитного поля комнаты,

Ссылка скрыта от гостей

). Ну это все не для нас, верно? =))

 

[☠xrahitel☠]

Спасибо за такой царский подгон! Посмотреть вложение 42673

ну а толку то что мне выложил это скрин показал что ты не чего в этом не понял а много красненьких ну да

 

[GTYU]

Так же не стоит исключать из вида всякие аппаратные штуки.

понимаю что не в тему. но
как прочекать поле на видеокамеры? я пока умею их находить по вайфаю. но они ж могут как-то по-другому подключаться? и питание им надо.

или звуковые. или (о боже!) вай-фай монитор!

 

[stephanie887]

ну а толку то что мне выложил

Ради бога, не трактуйте это как наезд в свой адрес, с моей стороны. Я скинул этот скрин, для того чтобы люди лишний раз не закидывали на вирустотал!

это скрин показал что ты не чего в этом не понял а много красненьких ну да Посмотреть вложение 42677

Почему же, очень даже понимаю. Красненькое это из за кряка... За ваш подгон еще раз спасибо, все отлично работает!

Для тех кого испугал мой скрин с вирустотал, ставьте софт на виртуалку и отключайте сеть. Если совсем стрёмно то делайте снапшот и откатывайтесь после каждой работы.

 

[ZIZa]

ИМХО: Маловероятно, что rsload и diakov положили у себя откровенно вредительскую библиотеку.

 

[Kosty Kozlov]

Очень помогло !!!
Спасибо большое!!!