 Autor
|
Tema: Volatility. Encontrar datos de un proceso (TrueCrypt) (Leído 3,317 veces)
|
banderas20
 Desconectado
Mensajes: 34
|
Buenas.
Tengo un volcado de memoria de una máquina Windows y estoy analizándola con Volatility.
La máquina tenía un volumen cifrado con TrueCrypt, y éste estaba en ejecución en el momento del volcado.
Quiero encontrar la clave de cifrado. He probado con los comandos
volatility truecryptmaster
volatility truecryptsummary
volatility truecryptpassphrase
Los dos primeros me muestran resultados, pero el último (el que me da la clave) no me arroja ningún resultado.
Si está el proceso en ejecución, la clave debe estar en memoria ¿Cómo puedo encontrarla?
Gracias!
|
|
|
|
|
En línea
|
|
|
|
|
|
banderas20
Desconectado
Mensajes: 34
|
La imagen es de un Windows XP SP3. Gracias!
|
|
|
|
|
En línea
|
|
|
|
|
|
banderas20
Desconectado
Mensajes: 34
|
Sí. Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
AS Layer1 : IA32PagedMemoryPae (Kernel AS)
AS Layer2 : FileAddressSpace (/home/folder1/folder2/memdump)
PAE type : PAE
DTB : 0x2ce000L
KDBG : 0x80545ae0L
Number of Processors : 1
Image Type (Service Pack) : 3
KPCR for CPU 0 : 0xffdff000L
KUSER_SHARED_DATA : 0xffdf0000L
Image date and time : 2013-03-17 22:17:12 UTC+0000
Image local date and time : 2013-03-17 23:17:12 +0100 Si ejecuto
truecryptsummaryRegistry Version TrueCrypt Version 7.1a
Process TrueCrypt.exe at 0x85703ae8 pid 4016
Service truecrypt state SERVICE_RUNNING
Kernel Module truecrypt.sys at 0xaa0ac000 - 0xaa0e3000
Symbolic Link Volume{7ddaae16-7f7f-11e2-b195-002243057110} -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link Volume{7ddaae16-7f7f-11e2-b195-002243057110} -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
File Object \Device\TrueCryptVolumeQ\ at 0x57db528
File Object \Device\TrueCryptVolumeQ\ at 0x5f76868
Driver \Driver\truecrypt at 0x6491030 range 0xaa0ac000 - 0xaa0e2b80
Device TrueCryptVolumeQ at 0x856f37a0 type FILE_DEVICE_DISK
Container Path: \??\C:\Documents and Settings\Pepe\Mis documentos\Mine
Device TrueCrypt at 0x85d56030 type FILE_DEVICE_UNKNOWN Container: \??\C:\Documents and Settings\Pepe\Mis documentos\Mine
Hidden Volume: No
Removable: No
Read Only: No
Disk Length: 786432 (bytes)
Host Length: 1048576 (bytes)
Encryption Algorithm: AES
Mode: XTS
Master Key
Nada  |
|
|
|
|
En línea
|
|
|
|
|
|
banderas20
Desconectado
Mensajes: 34
|
Disculpa, pero no entiendo a que te refieres con BP ni cómo usar ese .py. Gracias!
|
|
|
|
|
En línea
|
|
|
|
|
MCKSys Argentina
|
Me refería a correr el codigo python en un IDE y depurarlo.
BP = BreakPoint.
Saludos!
|
|
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando." |
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Forensics con Volatility
Hacking
|
kity54
|
1
|
5,731
|
25 Noviembre 2011, 18:22 pm
por prl01
|
|
|
|
TrueCrypt 7.1a: protege tus datos más importantes cifrándolos con este programa
Noticias
|
wolfbcn
|
0
|
1,744
|
8 Febrero 2012, 19:12 pm
por wolfbcn
|
|
|
|
¿Cómo puedo encontrar el TAMAÑO de una dirección de memoria de otro proceso?
Programación C/C++
|
CCCoder
|
3
|
2,867
|
6 Diciembre 2013, 20:24 pm
por ivancea96
|
|
|
|
Las mejores alternativas para cifrar nuestros datos tras el cierre de TrueCrypt
Noticias
|
wolfbcn
|
5
|
4,591
|
4 Junio 2014, 12:32 pm
por Gh057
|
|
|
|
Daño en HHD que compromete parte de datos cifrados con Truecrypt
Seguridad
|
apofis05
|
6
|
4,699
|
15 Julio 2021, 15:08 pm
por Danielㅤ
|
 |
