Para mis estudios, debo realizar una investigación sobre una imagen de VMWare criminal ficticia. Se sospecha que la imagen participa en ataques DDoS y otras actividades ilegales. En esta PC TrueCrypt está instalado. Junto con TrueCrypt, la imagen tiene Mozilla Thunderbird instalado con un módulo de seguridad OpenPGP.
Hice un memory.dmp en bruto de la memoria RAM en la imagen para realizar el análisis. Usando aeskeyfind obtuve varios resultados.
michael @ cf15: ~ / Documents / Volatility $ aeskeyfind memory.dmp b4ce75c857163e668818d0d76c46bad2 ccf865429e42144a9dce839b036c3f7c 51c35f7f0b79e7d1e6d5345d2a291ac8 Avance clave: 100%
Este comando me muestra que hay 3 teclas AES presentes en la RAM. Al usar -v (modo detallado) puedo ver que son todos de 128 bits.
¿Qué puede hacer exactamente alguien cuando se encuentran estas claves privadas sin cifrar en el disco? Como el OpenPGP solicita una clave RSA 2048, creo que las claves están conectadas a volúmenes ocultos de TrueCrypt.
¿Puede un atacante usar estas claves para obtener acceso a los volúmenes sin tener la frase de contraseña adecuada?