Estoy intentando simular un posible escenario de ataque para mis estudios.
Tengo una imagen, que tiene un disco cifrado, cifrado por TrueCrypt (confirmado). TrueCrypt también está instalado en la propia imagen.
Durante un análisis de RAM de la imagen, el atacante encontró algunas claves usando AESKeyFind. Una salida de muestra es;
FOUND POSSIBLE 128-BIT KEY AT BYTE 35b880c
KEY: b4ce75c857163e668818d0d76c46bad2
EXTENDED KEY:
b4ce75c857163e668818d0d76c46bad2
ef3ac098b82cfefe30342e295c7294fb
ad18cfd21534312c25001f0579728bfe
e9257464fc114548d9115a4da063d1b3
1a1b1984e60a5ccc3f1b06819f78d732
b6153a5f501f66936f046012f07cb720
86bc8dd3d6a3eb40b9a78b5249db3c72
7f57cde8a9f426a81053adfa59889188
3bd6092392222f8b82718271dbf913f9
b9ab909a2b89bf11a9f83d6072012e99
f39a7edad813c1cb71ebfcab03ead232
CONSTRAINTS ON ROWS:
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
Suponiendo que no haya otro software que use claves de cifrado, ¿cómo podría un atacante acceder al volumen TrueCrypt? ¿Podría finalmente descifrar la clave para obtener una contraseña de texto simple o podría usar esta clave como un archivo clave para abrir el volumen?