elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad
| | |-+  Criptografía (Moderador: kub0x)
| | | |-+  Volatility. Encontrar datos de un proceso (TrueCrypt)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Volatility. Encontrar datos de un proceso (TrueCrypt)  (Leído 3,345 veces)
banderas20

Desconectado Desconectado

Mensajes: 34


Ver Perfil
Volatility. Encontrar datos de un proceso (TrueCrypt)
« en: 4 Julio 2019, 18:30 pm »

Buenas.


Tengo un volcado de memoria de una máquina Windows y estoy analizándola con Volatility.


La máquina tenía un volumen cifrado con TrueCrypt, y éste estaba en ejecución en el momento del volcado.


Quiero encontrar la clave de cifrado. He probado con los comandos


volatility truecryptmaster

volatility truecryptsummary

volatility truecryptpassphrase



Los dos primeros me muestran resultados, pero el último (el que me da la clave) no me arroja ningún resultado.


Si está el proceso en ejecución, la clave debe estar en memoria ¿Cómo puedo encontrarla?


Gracias!


En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Volatility. Encontrar datos de un proceso (TrueCrypt)
« Respuesta #1 en: 4 Julio 2019, 20:13 pm »

Sobre qué Windows estás trabajando? Porque windows 10 no parece estar soportado por esa tool: https://github.com/botherder/volatility

Saludos!


En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

banderas20

Desconectado Desconectado

Mensajes: 34


Ver Perfil
Re: Volatility. Encontrar datos de un proceso (TrueCrypt)
« Respuesta #2 en: 4 Julio 2019, 20:16 pm »

Sobre qué Windows estás trabajando? Porque windows 10 no parece estar soportado por esa tool: https://github.com/botherder/volatility

Saludos!

La imagen es de un Windows XP SP3.

Gracias!
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Volatility. Encontrar datos de un proceso (TrueCrypt)
« Respuesta #3 en: 4 Julio 2019, 20:21 pm »

Probaste esto?

Citar
3. To get more information on a Windows memory sample and to make sure Volatility supports that sample type, run 'python vol.py imageinfo -f <imagename>' or 'python vol.py kdbgscan -f <imagename>'

Esta en el README de github

Saludos!

EDIT: El soporte paraTrueCrypt en win esta aca: https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L583
« Última modificación: 4 Julio 2019, 20:34 pm por MCKSys Argentina » En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

banderas20

Desconectado Desconectado

Mensajes: 34


Ver Perfil
Re: Volatility. Encontrar datos de un proceso (TrueCrypt)
« Respuesta #4 en: 4 Julio 2019, 20:41 pm »

Sí.

Código:
Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : FileAddressSpace (/home/folder1/folder2/memdump)
                      PAE type : PAE
                           DTB : 0x2ce000L
                          KDBG : 0x80545ae0L
          Number of Processors : 1
     Image Type (Service Pack) : 3
                KPCR for CPU 0 : 0xffdff000L
             KUSER_SHARED_DATA : 0xffdf0000L
           Image date and time : 2013-03-17 22:17:12 UTC+0000
     Image local date and time : 2013-03-17 23:17:12 +0100



Si ejecuto

truecryptsummary


Código:
Registry Version     TrueCrypt Version 7.1a
Process              TrueCrypt.exe at 0x85703ae8 pid 4016
Service              truecrypt state SERVICE_RUNNING
Kernel Module        truecrypt.sys at 0xaa0ac000 - 0xaa0e3000
Symbolic Link        Volume{7ddaae16-7f7f-11e2-b195-002243057110} -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Volume{7ddaae16-7f7f-11e2-b195-002243057110} -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
File Object          \Device\TrueCryptVolumeQ\ at 0x57db528
File Object          \Device\TrueCryptVolumeQ\ at 0x5f76868
Driver               \Driver\truecrypt at 0x6491030 range 0xaa0ac000 - 0xaa0e2b80
Device               TrueCryptVolumeQ at 0x856f37a0 type FILE_DEVICE_DISK
Container            Path: \??\C:\Documents and Settings\Pepe\Mis documentos\Mine
Device               TrueCrypt at 0x85d56030 type FILE_DEVICE_UNKNOWN

truecryptmaster
Código:
Container: \??\C:\Documents and Settings\Pepe\Mis documentos\Mine
Hidden Volume: No
Removable: No
Read Only: No
Disk Length: 786432 (bytes)
Host Length: 1048576 (bytes)
Encryption Algorithm: AES
Mode: XTS
Master Key

truecryptpassphrase

Nada  :-[

En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Volatility. Encontrar datos de un proceso (TrueCrypt)
« Respuesta #5 en: 4 Julio 2019, 22:52 pm »

Si lo corres con un IDE, puedes poner un BP cuando va a printear la MasterKey.

Osea, poner un BP en https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L662 y ver desde ahí los valores que obtiene.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

banderas20

Desconectado Desconectado

Mensajes: 34


Ver Perfil
Re: Volatility. Encontrar datos de un proceso (TrueCrypt)
« Respuesta #6 en: 4 Julio 2019, 23:05 pm »

Si lo corres con un IDE, puedes poner un BP cuando va a printear la MasterKey.

Osea, poner un BP en https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L662 y ver desde ahí los valores que obtiene.

Saludos!

Disculpa, pero no entiendo a que te refieres con BP ni cómo usar ese .py.

Gracias!
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Volatility. Encontrar datos de un proceso (TrueCrypt)
« Respuesta #7 en: 5 Julio 2019, 00:23 am »

Me refería a correr el codigo python en un IDE y depurarlo.

BP = BreakPoint.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines