Título: Volatility. Encontrar datos de un proceso (TrueCrypt) Publicado por: banderas20 en 4 Julio 2019, 18:30 pm Buenas.
Tengo un volcado de memoria de una máquina Windows y estoy analizándola con Volatility. La máquina tenía un volumen cifrado con TrueCrypt, y éste estaba en ejecución en el momento del volcado. Quiero encontrar la clave de cifrado. He probado con los comandos volatility truecryptmaster volatility truecryptsummary volatility truecryptpassphrase Los dos primeros me muestran resultados, pero el último (el que me da la clave) no me arroja ningún resultado. Si está el proceso en ejecución, la clave debe estar en memoria ¿Cómo puedo encontrarla? Gracias! Título: Re: Volatility. Encontrar datos de un proceso (TrueCrypt) Publicado por: MCKSys Argentina en 4 Julio 2019, 20:13 pm Sobre qué Windows estás trabajando? Porque windows 10 no parece estar soportado por esa tool: https://github.com/botherder/volatility (https://github.com/botherder/volatility)
Saludos! Título: Re: Volatility. Encontrar datos de un proceso (TrueCrypt) Publicado por: banderas20 en 4 Julio 2019, 20:16 pm Sobre qué Windows estás trabajando? Porque windows 10 no parece estar soportado por esa tool: https://github.com/botherder/volatility (https://github.com/botherder/volatility) Saludos! La imagen es de un Windows XP SP3. Gracias! Título: Re: Volatility. Encontrar datos de un proceso (TrueCrypt) Publicado por: MCKSys Argentina en 4 Julio 2019, 20:21 pm Probaste esto?
Citar 3. To get more information on a Windows memory sample and to make sure Volatility supports that sample type, run 'python vol.py imageinfo -f <imagename>' or 'python vol.py kdbgscan -f <imagename>' Esta en el README de github Saludos! EDIT: El soporte paraTrueCrypt en win esta aca: https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L583 (https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L583) Título: Re: Volatility. Encontrar datos de un proceso (TrueCrypt) Publicado por: banderas20 en 4 Julio 2019, 20:41 pm Sí.
Código: Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86) Si ejecuto truecryptsummary Código: Registry Version TrueCrypt Version 7.1a truecryptmaster Código: Container: \??\C:\Documents and Settings\Pepe\Mis documentos\Mine truecryptpassphrase Nada :-[ Título: Re: Volatility. Encontrar datos de un proceso (TrueCrypt) Publicado por: MCKSys Argentina en 4 Julio 2019, 22:52 pm Si lo corres con un IDE, puedes poner un BP cuando va a printear la MasterKey.
Osea, poner un BP en https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L662 (https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L662) y ver desde ahí los valores que obtiene. Saludos! Título: Re: Volatility. Encontrar datos de un proceso (TrueCrypt) Publicado por: banderas20 en 4 Julio 2019, 23:05 pm Si lo corres con un IDE, puedes poner un BP cuando va a printear la MasterKey. Osea, poner un BP en https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L662 (https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L662) y ver desde ahí los valores que obtiene. Saludos! Disculpa, pero no entiendo a que te refieres con BP ni cómo usar ese .py. Gracias! Título: Re: Volatility. Encontrar datos de un proceso (TrueCrypt) Publicado por: MCKSys Argentina en 5 Julio 2019, 00:23 am Me refería a correr el codigo python en un IDE y depurarlo.
BP = BreakPoint. Saludos! |