通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

申博_新闻事件 申博 72次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

作甚通盘加密

通盘加密(Full-disk encryption)对取证取证专家来说是个异常大的应战。Android 的平安性问题一向备受存眷,Google在Android体系的平安方面也是一向没有住手过更新,努力做到越发平安的手机挪动操纵体系。在Android的平安加密方面,加密分通盘加密和文件级加密(Android 7.0 引入)通盘加密在 Android 4.4中引入,在Android 5.0中做了对照大的更新。本文叙述的就是通盘加密,和怎样经由历程启动一个闪存(flash drive)来破解这类加密体式格局。

关于常人来说,通盘加密或许实在不须要;然则,若是你须要处置惩罚像贸易秘要和不愿望被其他人瞥见的隐私的话,那末通盘加密就显得很有须要了。

通盘加密的意义有以下两个:

1.镌汰旧盘算机的时刻,旧盘算机硬盘上遗留的秘要数据不会被有心人士发掘出来并公之于众;

2.只需加密强度设置地充足高,无论是执法人员照样那些希图偷取数据的不法分子都没法猎取他们想要的数据。

一旦被加密,若是没有被受权,就没法猎取硬盘内的数据,纵然是手机或盘算机的生产者也不可以或许。

通盘加密在大局部的贸易操纵体系中都有运用,用户只须要挑选翻开这个功用,设置一个较强的暗码或是词组就可以或许了。要接见设置通盘加密的手机或盘算机,在翻开装备后,启动时,会收到输入暗码的用户提醒。输入准确的暗码后,体系中的加密顺序就会被解锁,也就解锁了体系,就可以或许取得数据接见权限。

一些通盘加密顺序可以或许会须要两重认证,在接见装备数据时,不只须要输入暗码,还须要插进去一个智能读卡器,或许是输入一个由平安令牌发作的随秘要码。

通盘加密顺序与文件加密顺序分歧的是,后者只针对某个特定的文件举行加密,而通盘加密将会对体系内的一切数据都举行珍爱,包罗操纵体系。但通盘加密顺序只会在装备封闭时开启珍爱功用。

当受权用户登录盘算机时,就会解开加密顺序,并将装备中的一切数据都暴漏在一切运用装备的人眼前,除非用户对自力的文件夹都举行了加密。

但并非一切的通盘加密东西都能确保数据百分之百的平安。通盘加密东西的平安性有多高照样要看开辟者设想的顺序是不是牢靠,一些运用弱加密体系的装备,或存在很大平安漏洞的装备也会给人一种“伪平安”的假象,很轻易被破解

破解的思绪

在猎取具有加密体系卷的盘算机时,若是不起首对加密举行破解,则观察就没法举行。传统的操纵是,直接删除硬盘驱动器,天生磁盘映像,然后经由历程映像来猎取相干信息。不外,这类要领太过于粗犷,且效力低下。在本文中,我们会供应一种更快、更轻易的要领来接见破解通盘体系加密所需的信息。大抵的思绪是如许的:经由历程启动闪存,然后暴力破解原始明文暗码,将强行猎取体系卷加密时所需的那些元数据。关于非体系卷,取证专家可以或许疾速猎取体系的休眠文件,以便稍后运用Elcomsoft取证磁盘解密器及时提取加密密钥

这个取证流程的素质,就是接见存储在受通盘加密珍爱的盘算机上的暗码。一旦对体系分区举行了加密,除破解加密以外,就别无他法了。与传统的猎取暗码的事情流程比拟,Elcomsoft体系规复东西(暗码重设东西)有助于更快地启动暗码规复破解,并经由历程提取可以或许包罗珍爱加密卷的动态加密密钥的体系休眠文件,在几分钟内完成加密卷的挂接。

这类新的取证流程,在剖析ultrabook、笔记本盘算机和二合一的Windows平板装备(如微软Surface range)时特别轻易。因为这些装备都具有弗成挪动、焊接存储或非标准介质的特征。经由历程这个思绪,取证专家就可以或许提取对加密卷提议破解所需的一切信息。

Elcomsoft体系规复东西供应了亘古未有的平安性和兼容性,运用被受权的Windows PE状况可以或许确保完整的硬件兼容性和对体系的启动支撑,这些体系均遭到平安启动的珍爱。Elcomsoft体系规复东西以严厉的只读形式挂接用户的磁盘和存储介质,以确保取证取样。

运用Elcomsoft体系规复东西制造一个可启动的Windows PE闪存

为了提取暴力破解原始暗码所需的信息,你须要猎取一小局部加密卷。你只需经由历程Windows PE闪存启动体系,然后运转Elcomsoft体系规复东西一个(一个用于解锁Windows帐户和接见加密卷的东西)。你只需按着操纵提醒,轻点几下就可以或许制造一个可启动的Windows PE闪存。详细历程以下:

1.装置Elcomsoft体系规复东西;

2.插进去一个空的闪存并启动该东西;

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

3. 挑选目标驱动器并指定文件体系。注重:确保挑选准确的分区计划。虽然FAT 32 MBR,BIOS适用于旧PC,但大多数具有平安启动功用的新盘算机都须要FAT32 MBR,UEFIx64。而某些装备了32位形式运转的64位处置惩罚器的装备(比方Lenovo ThinkPad 8)须要FAT32 MBR,UEFIx32分区。

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

4. 点击Format选项,Elcomsoft体系规复东西将竖立一个可启动的闪存,和预装和预设置装备摆设Windows PE和ESR实用顺序。

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

如今,有两种判然分歧的要领可用于接见存储在加密卷中的暗码。

要领1:经由历程提取休眠文件来接见加密密钥

暗码容器的设想旨在抵抗对其暗码的暴力破解,另外,一些通盘加密要领基础不运用暗码,比方BitLocker装备加密,这是二合一装备和超薄笔记本盘算机(如Microsoft Surface range)最经常使用的加密要领。

因为暴力破解暗码可以或许异常耗时,因而我们开辟了一种更高效的东西。

我们破解的对象是马上加密密钥(OTFE密钥),一切加密容器中都包罗它们。这些密钥是体系在一般操纵时期用于加密息争密信息的现实二进制密钥密钥一直存储在体系的易失性内存中,同时挂接加密卷以便于对加密数据的读/写接见。你可以或许运用Elcomsoft Forensic Disk Decryptor(EFDD解密东西) 直接从装备的内存中提取这些密钥,然则这不是本文要讲的。本文,我们只谈怎样提取休眠文件。因为通盘加密只在用户未进入操纵状况时,发挥作用。

当用户让盘算机进入就寝状况(而不是关机)时,Windows此时的默许行动就被称为夹杂就寝(hybrid sleep)状况。在夹杂就寝时期,Windows会将装备易失性内存的副本生存在盘算机的硬盘驱动器或SSD驱动器上,以便生存的状况可以或许在断电后继续存在。与此同时,盘算机的RAM芯片仍处于开机状况,以生存信息。若是在就寝时期不切断电源,盘算机将马上规复运转。然则,若是涌现断电(或电量耗尽),Windows将从硬盘驱动器加载生存的RAM内容。存储盘算机内存内容的文件称为休眠文件,Windows以“hiberfil.sys”的称号存储休眠文件。此时休眠文件已被加密,我们要破解的就是这类被加密的休眠文件。

若是盘算机在挂接加密分区时处于休眠状况,则OTFE密钥可以或许直接存储在体系的休眠文件中。若是经由历程闪存启动,我们可以或许取得休眠文件,并运用它来定位一切加密卷的OTFE密钥,这些卷在盘算机进入休眠状况时依然挂接。此时,你将须要Elcomsoft取证磁盘解密器来提取OTFE密钥,并运用它们来马上挂接或解密加密卷。

要提取体系的休眠文件,请实行以下操纵:

1.装置Elcomsoft体系规复东西 6.0东西或更新到最新版本;

2.竖立一个可启动的闪存,确保指定目标体系的准确设置装备摆设(BIOS或UEFI、32位或64位)。因为休眠文件可以或许异常大,我们发起运用最少32GB的闪存。

3.在你方才竖立的闪存中启动目标体系;

4. 启动完成后, Elcomsoft体系规复东西将启动。在以下窗口中,挑选“磁盘东西”。

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

5.挑选复制hiberfil.sys文件,全部休眠文件将被复制到已启动的体系的闪存上,以是要确保USB驱动器上有充足的空间。

另辟蹊径:利用活动目录的复制元数据检测域内恶意活动

随着 BloodHound 最近发布的 ACL 攻击路径更新,以及@wald0和我自己对活动目录中的 DACL 后门的研究(请点击这里查阅白皮书) ,我开始从防御的角度研究基于 ACL 的攻击路径。 Sean Metcalf 在活动目录威胁检测方面做了一些很棒的工作(参见他在2017年 BSides Charm上的”Detecting the elive: Active Directory Threat Hunting”的演讲) ,在本文中我想展示复制元数据如何帮助检测这种类型的恶意活动。 此外,在这篇文章起草之后,Grégory LUCAND 向我指出了他在同一主题领域写的一篇广泛的文章(法语) ,题为”元数据复制在活动目录取证分析中的应用(法语版)”。 他详细介绍了 OU 的更改,以及一些复制组件(如链接值复制)的工作方式,并对此进行了深入研究(比本文更深入)。 我强烈建议你查看他的文章,即使你不得不像我一样使用谷歌翻译阅读他的文章。 我将深入研究一些与域复制元数据有关的背景知识,然后将分析每个 ACL 攻击原语以及如何检测到这些修改行为。 不幸的是,复制元数据可能有一些限制,但它至少可以帮助我们缩小发生的修改事件以及事件发生的域控制器的范围。 注意: 本文中的所有的例子都使用了我的测试域环境,它运行在 Windows 2012 r2的域功能级别。 其他域功能版

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

6.指定文件应当存储的地位,默许状况下,ESR会发起运用启动它的驱动器。若是u盘上没有充足的空间,可以或许指定其他介质。

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

7.你如今可以或许将休眠文件传输到你的盘算机,Elcomsoft取证磁盘解密器会提取OTFE密钥,并运用它们马上挂接或解密加密卷。这个历程可以或许须要几分钟,特别是当休眠文件的巨细很大时,须要的时候会更长。

若是在休眠文件中没有找到加密密钥(若是将加密卷设置装备摆设为在休眠或休眠时自动删除,可以或许会发作这类状况),则须要破解加密卷的暗码。为了破解,你须要从加密卷中提取几千字节的加密元数据。

要领2:提取加密元数据并暴力破解暗码

传统的猎取要领是须要先将盘算机举行拆开,移除并映像一切存储装备。看似消息很大,实在终究的目标只是破解含有几千字节的加密元数据。如今的这个要领,就是让你在不拆开硬盘驱动器的状况下,更高效地提取元数据。

Elcomsoft体系规复东西许可取证者经由历程只读接见盘算机存储装备的便携式闪存启动盘算机,从而更快地最先取证。该东西会自动检测一切内置和可挪动驱动器上的全加密盘,并许可提取位于加密卷中的已暴力破解的加密元数据。因为暗码容器的设想使得对暗码的破解极为迟缓,在此,我们发起使Elcomsoft Distributed Password Recovery东西实行基于字典的分布式破解。ElcomSoft Distributed Password Recovery 是一款俄罗斯平安公司出品的分布式暗码暴力破解东西,可以或许应用Nvidia显卡使WPA和WPA2无线密钥破解速率进步100倍,而且软件还许可数千台盘算机联网举行分布式并行盘算。

开启暗码破解的准确姿态,是运用TrueCrypt照样VeraCrypt?

TrueCrypt,是一款免费开源的加密软件,同时支撑Windows Vista,7/XP, Mac OS X, Linux 等操纵体系。TrueCrypt不须要天生任何文件即可在硬盘上竖立假造磁盘,用户可以或许依照盘符举行接见,一切假造磁盘上的文件都被自动加密,须要经由历程暗码来举行接见。如今TrueCrypt的研发者已住手了对此东西的开辟事情。

VeraCrypt,是一款免费开源跨平台的及时磁盘文件加密东西,它是基于着名的开源加密东西 TrueCrypt 项目衍生而来。因为之前 TrueCrypt 已在官网上宣告其本身不平安并已住手开辟了,因而如今对照活泼、而且同样是开源跨平台的 VeraCrypt 水到渠成成为人人公认的最好文件加密东西新挑选之一

因为TrueCrypt和VeraCrypt容器运用相似的加密花样,以是我们没法将它们辨别开来。不外,这两种东西在破解加密时有所分歧,因而你必需先挑选准确的破解东西能力开启暗码破解历程。

另外,TrueCrypt和VeraCrypt都为用户供应了多种加密算法的挑选。每一个算法都可以或许按着用户的挑选设置装备摆设分歧的迭代次数(从暗码天生OTFE密钥的哈希操纵的次数)。若是用户指定了非标准的哈希迭代次数,那末除非你晓得该次数或许实验一切可以或许的组合,不然没法破解暗码。就算破解胜利,也是一个耗时耗力的历程。

要提取加密元数据,请实行以下操纵。

1.装置Elcomsoft体系规复东西 6.0或更新到最新版本;

2.竖立一个可启动的闪存,确保指定目标体系的准确设置装备摆设(BIOS或UEFI、32位或64位)。一般来说,我们发起运用最少32GB的高速闪存;

3.从你方才竖立的闪存启动目标体系;

4.一旦启动最先, Elcomsoft体系规复东西也要马上启动。鄙人面的窗口中,挑选“磁盘东西”;

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

5.挑选复制驱动器加密密钥

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

6.Elcomsoft体系规复东西将自动检测一切流动和可挪动驱动器上的通盘加密卷;

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

7.你可以或许挑选要处置惩罚的卷,比方,尝尝以下的TrueCrypt/VeraCrypt卷:

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

8.因为TrueCrypt和VeraCrypt卷运用雷同的卷花样,以是不克不及自动辨别它们,此时你将须要手动指定加密容器的范例;

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

9.TrueCrypt和VeraCrypt都许可运用分歧的加密和哈希算法,若是你晓得运用哪些加密和哈希算法来加密卷,请鄙人一步中指定它们。

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

10.然则,若是你对用户挑选的加密算法和哈希算法有疑心,请将这些值保存为“Unknown”。因为我们必需实验多种组合,这会减慢破解暗码的速率。然则,这依然比指定毛病的加密范例,并终究形成暗码破解失利要好很多。

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

11. 完成转储加密元数据后,将文件传输到Elcomsoft分布式暗码规复东西以规复原始明文暗码。注重,纵然运用功用强大的硬件,暗码破解也可以或许会消费大批时候。

若是找到暗码,则可以或许挂接加密卷,或许运用Elcomsoft取证磁盘解密器对其解密,以便举行脱机剖析。

内存转储

若是你正在剖析一个正在运转中的体系,而且用户已登录,那末你还可以或许经由历程举行易失性内存转储来捕捉OTFE密钥。为了捕捉RAM映像,你必需在用户正在运转的体系上运转Elcomsoft取证磁盘解密器(不要斟酌“只读”局部)。此时,用户必需已登录,而且该帐户必需具有管理权限。

注重:及时体系剖析是风险的, 因为Elcomsoft体系规复东西只供应了只读操纵。

要捕捉内存转储,请将Elcomsoft取证磁盘解密器装置到闪存上,将该闪存连接到目标体系并运转小型捕捉东西。

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

内存转储被生存后,确保在闪存上指定准确的途径。

通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码

如今,你可以或许将内存转储转移到本身的盘算机上,并运转Elcomsoft取证磁盘解密器来搜刮OTFE密钥

总结

Elcomsoft体系规复东西虽然不会让你直接进入加密卷,然则该东西供应了一个比其他体式格局更快的体式格局,许可你高效地从中提取信息,这比运用传统要领能更快地提取加密密钥破解暗码。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明通盘加密又咋地!只需启动闪存,便可将其破解并提取个中的暗码
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址