Autor
|
Tema: Volatility. Encontrar datos de un proceso (TrueCrypt) (Leído 3,303 veces)
|
banderas20
Desconectado
Mensajes: 34
|
Buenas.
Tengo un volcado de memoria de una máquina Windows y estoy analizándola con Volatility.
La máquina tenía un volumen cifrado con TrueCrypt, y éste estaba en ejecución en el momento del volcado.
Quiero encontrar la clave de cifrado. He probado con los comandos
volatility truecryptmaster
volatility truecryptsummary
volatility truecryptpassphrase
Los dos primeros me muestran resultados, pero el último (el que me da la clave) no me arroja ningún resultado.
Si está el proceso en ejecución, la clave debe estar en memoria ¿Cómo puedo encontrarla?
Gracias!
|
|
|
En línea
|
|
|
|
|
banderas20
Desconectado
Mensajes: 34
|
La imagen es de un Windows XP SP3. Gracias!
|
|
|
En línea
|
|
|
|
|
banderas20
Desconectado
Mensajes: 34
|
Sí. Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86) AS Layer1 : IA32PagedMemoryPae (Kernel AS) AS Layer2 : FileAddressSpace (/home/folder1/folder2/memdump) PAE type : PAE DTB : 0x2ce000L KDBG : 0x80545ae0L Number of Processors : 1 Image Type (Service Pack) : 3 KPCR for CPU 0 : 0xffdff000L KUSER_SHARED_DATA : 0xffdf0000L Image date and time : 2013-03-17 22:17:12 UTC+0000 Image local date and time : 2013-03-17 23:17:12 +0100 Si ejecuto truecryptsummaryRegistry Version TrueCrypt Version 7.1a Process TrueCrypt.exe at 0x85703ae8 pid 4016 Service truecrypt state SERVICE_RUNNING Kernel Module truecrypt.sys at 0xaa0ac000 - 0xaa0e3000 Symbolic Link Volume{7ddaae16-7f7f-11e2-b195-002243057110} -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000 Symbolic Link Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000 Symbolic Link Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000 Symbolic Link Volume{7ddaae16-7f7f-11e2-b195-002243057110} -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000 Symbolic Link Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000 File Object \Device\TrueCryptVolumeQ\ at 0x57db528 File Object \Device\TrueCryptVolumeQ\ at 0x5f76868 Driver \Driver\truecrypt at 0x6491030 range 0xaa0ac000 - 0xaa0e2b80 Device TrueCryptVolumeQ at 0x856f37a0 type FILE_DEVICE_DISK Container Path: \??\C:\Documents and Settings\Pepe\Mis documentos\Mine Device TrueCrypt at 0x85d56030 type FILE_DEVICE_UNKNOWN truecryptmasterContainer: \??\C:\Documents and Settings\Pepe\Mis documentos\Mine Hidden Volume: No Removable: No Read Only: No Disk Length: 786432 (bytes) Host Length: 1048576 (bytes) Encryption Algorithm: AES Mode: XTS Master Key
truecryptpassphraseNada
|
|
|
En línea
|
|
|
|
|
banderas20
Desconectado
Mensajes: 34
|
Disculpa, pero no entiendo a que te refieres con BP ni cómo usar ese .py. Gracias!
|
|
|
En línea
|
|
|
|
MCKSys Argentina
|
Me refería a correr el codigo python en un IDE y depurarlo.
BP = BreakPoint.
Saludos!
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Forensics con Volatility
Hacking
|
kity54
|
1
|
5,700
|
25 Noviembre 2011, 18:22 pm
por prl01
|
|
|
TrueCrypt 7.1a: protege tus datos más importantes cifrándolos con este programa
Noticias
|
wolfbcn
|
0
|
1,730
|
8 Febrero 2012, 19:12 pm
por wolfbcn
|
|
|
¿Cómo puedo encontrar el TAMAÑO de una dirección de memoria de otro proceso?
Programación C/C++
|
CCCoder
|
3
|
2,858
|
6 Diciembre 2013, 20:24 pm
por ivancea96
|
|
|
Las mejores alternativas para cifrar nuestros datos tras el cierre de TrueCrypt
Noticias
|
wolfbcn
|
5
|
4,560
|
4 Junio 2014, 12:32 pm
por Gh057
|
|
|
Daño en HHD que compromete parte de datos cifrados con Truecrypt
Seguridad
|
apofis05
|
6
|
4,684
|
15 Julio 2021, 15:08 pm
por Danielㅤ
|
|