Archivo Vault 1 contraseña desde el volcado de memoria

4

Tengo una máquina osx 10.9 con una partición de usuario cifrada con File Vault1. Me gustaría eliminar el cifrado, pero no recuerdo la "clave maestra", que es la única forma de eliminar el cifrado sobre la marcha sin volver a instalar todo.

Además tengo

  • acceso físico
  • usuario y contraseña de root que son iguales (pero no masterkey que es diferente)
  • volcado de memoria mientras la máquina estaba en marcha y el sistema de archivos montado y legible (formato ELF RAW y MACH, cada uno de aproximadamente 5 gigabytes)

Lo que intenté para obtener la contraseña:

  • Con decodificador de disco para buscar las claves automáticamente. El resultado parece una lista:

    Algorithm: 'PGP' Volume Master Key (AES-256) Key data (hex): 6f757268617264776f726b62797468657365776f72647367756172646564706c
    Cuando lo convertí obtuve:
    ourhardworkbythesewordsguardedpl
    Que no es la contraseña, sino una cadena de fakesmc.kext. También hay otros valores hexadecimales, pero no legibles para los humanos si los convierto de hexadecimal a texto usando hex2text

  • Intenté esto, que está destinado a filefault2 búsqueda de cadenas legibles por humanos

    cadenas memdump_0x100000-0x100000000.bin | grep --after-context = 5 AuthorityRequestType | grep --after-context = 1 contraseña | sed "s / ^ '// g"

    Pero no me devuelve nada. Si elimino o modifico algunos argumentos de grep, me devuelve un montón de cadenas de orificios, pero ni siquiera sé qué y dónde mirar o cómo es la estructura.

  • Mira a tu alrededor en Backtrack / kali, pero no pude averiguar cómo debería acercarme al paso final.

¿Cómo puedo extraer la clave maestra? Debería ser aún más fácil porque es la única versión 1, pero nada; parece aún más complejo, por lo que cualquier ayuda es realmente apreciada =)

    
pregunta Stefan 16.03.2014 - 14:58
fuente

1 respuesta

1

Han pasado nueve días sin otras respuestas, así que haré este pobre intento. Como nota, sus referencias tanto a la "clave maestra" como a la "contraseña maestra" son un poco confusas.

Comience mirando la entrada john-dev mailing list en FileVault agrietamiento; en particular, esa publicación enumera VileFault que puede ser de alguna utilidad para usted, y Openciphers parece tener una implementación de FPGA FileVault si tiene un presupuesto.

También, Jeremiah Grossman tuvo quizás un problema similar.

Peachpit tiene un artículo que ofrece orientación sobre cómo restablecer la contraseña maestra asumiendo Conoces las contraseñas de FileVault, si eso te ayuda.

La clave de cifrado real debe estar en la RAM cuando pueda descifrar los archivos. ¿Puede ver a qué áreas de RAM se accede cada vez que lee archivos?

Por último, supongo que simplemente copiarlos en una unidad externa y luego volver a una nueva partición no es adecuado, ¿ya que mencionaste "instalar" todo de nuevo?

    
respondido por el Anti-weakpasswords 25.03.2014 - 07:03
fuente

Lea otras preguntas en las etiquetas