Содержание
Всем привет! Давненько не писал ничего, исправляюсь! Сегодня мы будем “открывать” зашифрованный криптоконтейнер TrueCrypt не зная пароль. Правда это возможно далеко не всегда, но если есть возможность, почему бы ей не воспользоваться?
Исходить будем из того факта, что у нас имеется доступ к компьютеру, на котором был установлен TrueCrypt.
При помощи файла гибернации “hiberfil.sys”
Шаг первый. Подготовка
Сценарий таков. У человека был примонтирован контейнер в систему и комп ушёл в режим гибернации. Либо увести его в это состояние принудительно. Как это сделать мы рассматривать не будем, в большинстве случаев достаточно сделать “Пуск – Завершение работы – Гибернация”.
Шаг второй. Забираем файл гибернации
Для этого нужно загрузиться с другого носителя (подойдёт LiveCD любой операционки) и банально скопировать файл hiberfil.sys, лежащий в корне системного диска (он скрыт и имеет атрибут системный) куда-нибудь на внешний носитель. Туда же следует забрать и файл криптоконтейнера, они пригодятся нам оба.
Шаг третий. Ломаем защиту TrueCrypt контейнера
Для этого нам потребуется программа “Passware Password Recovery Kit Forensic“, я использую версию 2017.1.1.
Запускаем программу, вот главное окно:
Выбираем раздел “Full Disk Encryption” – полнодисковое шифрование. Затем выбираем тип контейнера – TrueCrypt, если мы точно знаем, что это так. Например обнаружен предположительно зашифрованный файл и среди установленных программ (либо где-нибудь в Prefetch) обнаружены следы TrueCrypt.
- Далее нам нужно указать исходные данные – непосредственно сам криптоконтейнер;
- Затем файл дамп памяти (здесь либо снимать дамп оперативки, либо указать системный страничный файл типа hiberfil.sys, мы укажем второе. Первое возможно попробуем позже).
- И затем укажем файл, в который записать расшифрованный файл. Я просто дописал приставочку “-decrypted” к имени файла. И бросил его в ту же папку.
После нажатия на старт, программа начнёт атаку на криптоконтейнер используя данные из страничного файла. Надо сказать, даже для моего слабого ноутбука это происходит весьма быстро!
Когда атака завершена, увидим нечто подобное – пароль снят, а результаты записаны в выходной файл!
Шаг четвёртый. Открываем расшифрованный образ
Как теперь открыть этот файл? Да просто примонтируем его любым удобным для нас методом. Я привык использовать OSFMount (рассказывал о нём в статье про мотирование DD-файлов)
Итак, примонтируем, вот что получилось (как видим, я просто набросал внутрь стандартных картинок Windows):
Честно говоря, я сам впервые проводил подобную атаку и очень рад тому, что получилось! Позже, наверное, отсниму видео про этот метод и брошу его в канал.
P.S. Я рекомендую для защиты использовать двойные криптоконтейнеры, чтобы сокрыть более важные данные.
При помощи дампа оперативной памяти
Суть этого метода похожа на предыдущий, только используется не файл гибернации, а дамп оперативной памяти, созданный программкой типа “RamCapturer” от Belkasoft. Вообще, здесь предпочтительнее использовать миниатюрные программы, потому как в таком случае больший объём памяти можно записать (ведь часть оперативки займёт эта самая программа, а нам нужно, чтобы данные не выгрузились на диск), программа RamCapturer занимает меньше двух сотен килобайт, поэтому она подходит для наших целей.
Как видим, криптоконтейнер у нас подмонтирован, делаем дамп памяти.
Аналогичным образом проводим атаку на зашифрованный файл на другом компьютере и он точно так же открывается! В общем без особой разницы, в каком виде у нас будет дамп памяти – либо снимок оперативной памяти, либо выгруженная память в страничном файле гибернации.
Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Также, подписывайтесь на наш канал в YouTube!
Comments: