Tengo una máquina osx 10.9 con una partición de usuario cifrada con File Vault1. Me gustaría eliminar el cifrado, pero no recuerdo la "clave maestra", que es la única forma de eliminar el cifrado sobre la marcha sin volver a instalar todo.
Además tengo
- acceso físico
- usuario y contraseña de root que son iguales (pero no masterkey que es diferente)
- volcado de memoria mientras la máquina estaba en marcha y el sistema de archivos montado y legible (formato ELF RAW y MACH, cada uno de aproximadamente 5 gigabytes)
Lo que intenté para obtener la contraseña:
-
Con decodificador de disco para buscar las claves automáticamente. El resultado parece una lista:
Algorithm: 'PGP' Volume Master Key (AES-256) Key data (hex): 6f757268617264776f726b62797468657365776f72647367756172646564706c
Cuando lo convertí obtuve:
ourhardworkbythesewordsguardedpl
Que no es la contraseña, sino una cadena de fakesmc.kext. También hay otros valores hexadecimales, pero no legibles para los humanos si los convierto de hexadecimal a texto usando hex2text -
Intenté esto, que está destinado a filefault2 búsqueda de cadenas legibles por humanos
cadenas memdump_0x100000-0x100000000.bin | grep --after-context = 5 AuthorityRequestType | grep --after-context = 1 contraseña | sed "s / ^ '// g"
Pero no me devuelve nada. Si elimino o modifico algunos argumentos de grep, me devuelve un montón de cadenas de orificios, pero ni siquiera sé qué y dónde mirar o cómo es la estructura.
-
Mira a tu alrededor en Backtrack / kali, pero no pude averiguar cómo debería acercarme al paso final.
¿Cómo puedo extraer la clave maestra? Debería ser aún más fácil porque es la única versión 1, pero nada; parece aún más complejo, por lo que cualquier ayuda es realmente apreciada =)