При помощи файла гибернации “hiberfil.sys”
Шаг первый. Подготовка
Сценарий таков. У человека был примонтирован контейнер в систему и комп ушёл в режим гибернации. Либо увести его в это состояние принудительно. Как это сделать мы рассматривать не будем, в большинстве случаев достаточно сделать “Пуск – Завершение работы – Гибернация”.
Шаг второй. Забираем файл гибернации
Для этого нужно загрузиться с другого носителя (подойдёт LiveCD любой операционки) и банально скопировать файл hiberfil.sys, лежащий в корне системного диска (он скрыт и имеет атрибут системный) куда-нибудь на внешний носитель. Туда же следует забрать и файл криптоконтейнера, они пригодятся нам оба.
Шаг третий. Ломаем защиту TrueCrypt контейнера
Для этого нам потребуется программа “
Passware Password Recovery Kit Forensic“, я использую версию 2017.1.1.
Запускаем программу, вот главное окно:
Ссылка скрыта от гостей
Full Disk Encryption для взлома TrueCrypt
Выбираем раздел “Full Disk Encryption” – полнодисковое шифрование. Затем выбираем тип контейнера – TrueCrypt, если мы точно знаем, что это так. Например обнаружен предположительно зашифрованный файл и среди установленных программ (либо где-нибудь в Prefetch) обнаружены следы TrueCrypt.
Ссылка скрыта от гостей
Взлом TrueCrypt контейнера
- Далее нам нужно указать исходные данные – непосредственно сам криптоконтейнер;
- Затем файл дамп памяти (здесь либо снимать дамп оперативки, либо указать системный страничный файл типа hiberfil.sys, мы укажем второе. Первое возможно попробуем позже).
- И затем укажем файл, в который записать расшифрованный файл. Я просто дописал приставочку “-decrypted” к имени файла. И бросил его в ту же папку.
Ссылка скрыта от гостей
Взлом TrueCrypt контейнера
После нажатия на старт, программа начнёт атаку на криптоконтейнер используя данные из страничного файла. Надо сказать, даже для моего слабого ноутбука это происходит весьма быстро!
Ссылка скрыта от гостей
Взлом TrueCrypt контейнера
Ссылка скрыта от гостей
Взлом TrueCrypt контейнера
Когда атака завершена, увидим нечто подобное – пароль снят, а результаты записаны в выходной файл!
Шаг четвёртый. Открываем расшифрованный образ
Как теперь открыть этот файл? Да просто примонтируем его любым удобным для нас методом. Я привык использовать
OSFMount (рассказывал о нём в статье про
Ссылка скрыта от гостей
)
Итак, примонтируем, вот что получилось (как видим, я просто набросал внутрь стандартных картинок Windows):
Ссылка скрыта от гостей
Монтируем расшифрованный контейнер
Честно говоря, я сам впервые проводил подобную атаку и очень рад тому, что получилось!
Позже, наверное, отсниму видео про этот метод и брошу его в канал.
P.S. Я рекомендую для защиты
Ссылка скрыта от гостей
, чтобы сокрыть более важные данные.
При помощи дампа оперативной памяти
Суть этого метода похожа на предыдущий, только используется не файл гибернации, а дамп оперативной памяти, созданный программкой типа “RamCapturer” от Belkasoft. Вообще, здесь предпочтительнее использовать миниатюрные программы, потому как в таком случае больший объём памяти можно записать (ведь часть оперативки займёт эта самая программа, а нам нужно, чтобы данные не выгрузились на диск), программа RamCapturer занимает меньше двух сотен килобайт, поэтому она подходит для наших целей.
Как видим, криптоконтейнер у нас подмонтирован, делаем дамп памяти.
Ссылка скрыта от гостей
Делаем дамп памяти
Аналогичным образом проводим атаку на зашифрованный файл на другом компьютере и он точно так же открывается! В общем без особой разницы, в каком виде у нас будет дамп памяти – либо снимок оперативной памяти, либо выгруженная память в страничном файле гибернации.
В свою очередь, ссылочка на тематическую подборочку по КТЭ, возможно, кому-то окажется полезно. Всем бобра!
