Анализ RAM

когда разделы уже расшифрованы

Как они «расшифруются», если пароль не введён? :)

А сорри, не так понял, похоже. Ключ LUKS «зашит» в раздел с загрузчиком, а под «паролем» понимается стандартный логин в систему - так?

никогда не сомневался, что линуксовые красноглазики и наркоторговцы это одни и те же люди

Да, прогружается вся ОСь до момента вводах пароля пользователя. Пасс расшифровки разделов вводить не нужно.

Лучше бы легализовали(для совершеннолетних додиков) и разогнали изждивенцев ,прожирающих налоги на запрещаторство.

а что если не лезть в ram, а загрузить в виртуалке ось до того момента когда разделы расшифровались и просит пароль, и в этот момент поставить машину на паузу и склонировать диск? а потом попробовать подключить его как диск к другой работающей оси

https://habr.com/ru/post/457542/

если на этой железяке заморочились шифрованием, то я предполагаю что раскрывается только первый раздел(т.е. ключ только на одного раздела вводится(там где сама операционка), а второй скорее всего вводится через отдельную флешку(хотя могу ошибаться)).

А вот как попытаетесь его вскрыть..... Это скорее к суперкомпам обращатся, чтоб сломали.

Ну, в теории, есть загрузчик, он стартует процесс расшифровки раздела, после чего с сиего раздела грузится ОСь. Если я правильно понял принцип функционирования LUKS, то он должен закинуть таблицу файлов в RAM. Сам загрузчик также должен выгрузить в RAM часть данных.

Если смотреть на RAM в HEХе, то в принципе прослеживается очередность загрузки - что за чем стартует и с какими параметрами. Но сие настолько вырвиглазно, что пзц просто. Хотелось бы какой-то инструмент для хоть немного убочитаемого вида.

По идее любой гражданин России имеет право зашифровать свои данные и без его согласия вы не имеете права в них лезть. Если он захочет дать свой пароль, чтобы доказать свою невиновность — пусть даёт. Если не захочет, значит пользуйтесь теми доказательствами, которые доступны без компьютера.

Гражданин России имеет право? Да Вы шутник, батенька.

а еще говрят что наркота мозг сушит - смотри какой гений попался…

существенная часть граждан России не просто имеют право, да ещё в особо …

с какой ты(вы) стороны в сей конкурентной эволюционной борьбе?

Я бы сказал, что право имеет существенну часть граждан России, имеет в разных позициях и в разные места

он чайка

Хм… я загрузил ОСь до момента монтирования LUKS разделов. Для шифрованного раздела создается отдельное виртуальное устройство (mapper). Как его склонировать?

с «органов»

В рамках уголовного дела - такие штуки носят в Отдел К, который точно знает, как быть.

В вашем случае - это похоже на максимум «знакомый опер попросил знакомого хакера», в лучшем случае по ДОУ. Тут и опер, и хакер могут схлопотать. Если сильно не повезёт - ещё и тому кто будет вам помогать достанется.

Все точно так же, как с обычным блочным устройством.

а, ты с физического диска бутишься. попробуй сначала создать из него образ для вм. беглое гугление подсказало что-то такое

VBoxManage convertfromraw /dev/sda MyImage.vdi –format VDI

а уже потом скопировать загруженный и возможно расшифрованный .vdi

это просто предположение, никаких гарантий на счет работоспособности, но если вы говорите, что все упирается в пароль пользователя и возможно он считывается из уже расшифрованного /etc/shadow, то почему бы не попробовать.

Поддержу оратора. Под профнепригодность попадают и опер и ТС. Первый за самодеятельность. Второй за бестолковость как житейскую так и техническую.

P.S. ТС: Ну сдампишь ты хэши ключей тем же aeskeyfind, дальше что делать будешь? Всё равно же в лабораторию отдавать нужно, даже если тупо брутфорсить останется.

Я гружусь с образа физического винта, конвертированного в vmdk. Повторюсь - для шифрованного раздела создается отдельное виртуальное устройство (/dev/sda2_mapper), диск физически не расшифровывается. По сути mapper является прослойкой (драйвером) между шифрованными данными и юзером. Читая данные с mapper’а мы фактически читаем уже расшифрованные данные (т.е. «драйвер» читает шифрованные данные, декодирует и отдает в норм виде), с записью происходит наоборот.

Нет у меня доступа к виртуальному устройству.

В памяти ядра должна быть строка с паролем, ищи там.

Пароль пользователя мне не нужен, меня интересуют данные. Если у меня будет рабочий алгоритм расшифровки данных, то будет и пароль для юзера.

Пауза между вводами пароля не увеличивается?

Если у меня будет рабочий алгоритм расшифровки данных

Изи, но придётся подождать пару тысяч лет :D

Гражданин России имеет право?

Ты чё ща на конституцию наехал? Ты там поскромнее будь. Мне теперь кажется ты сам нарик спёр комп у барыг и пытаешься точки узнать. За тобой уже выехали. Действительно же странно. Ты помогаешь органам и выдаёшь подобные выражения, дискридитируя себя.

Загружаться, с init=/bin/bash пробывал? Потом dmsetup table –showkeys.

Ну да, ну да, в свободной стране ж нельзя что-то эдакое писать, посадить могут… Боже царя храни!

Еще раз: поправить загрузчик возможности нет - бинарник с загрузчиком тупо намазан на раздел. НЕ GRUB.

загрузчик что себя мониторит что так-вот поправить совсем неня?

труд вам предстоит трудоёмкий - поднять под эмулятором вашу виртуалочку и трейсить до победного - внимательно осозновая чё утворяется под вашим присмотром - подтюните куда можно прыгать а что нужно скрупулёзно побитово.

ну али какие инструменты сгенерят вам большой больший (ну всяко меньше вашего терабайта) лог исполнения по которому вы быстро быстро увидите чё нужно поправить что бы

повышайте квалию будут вам звёздочки.

Поправить загрузчик возможности нет - бинарник с загрузчиком тупо намазан на раздел.

Никак не могу понять смысла сей фразы.

Раздел 1Мб, на нем нет файловой системы, данные просто раскатаны на раздел. Вот так сие выглядит: https://imgur.com/EQmXEcV

Я то могу его стянуть, подправить и раскатать назад. Но… что имеено править или чем открыть?

что имеено править или чем открыть?

radare2

конечно непонятно зачем сделано именно так, но если владелец компа не ССЗБ, то загрузчик должен запускать зашифрованное ядро, которое будет спрашивать пароль от зашифрованного раздела с данными.
т.е. если всё сделано по уму, то никакая возня с дампами памяти не избавит от возни с расшифровыванием luks раздела с данными.
не знаю есть ли в службах какие-то удобные бэкдоры или инструменты для поиска слабых мест в шифровании, но для обычных смертных получается так, что никакой практической возможности расшифровать luks не имеется.

но если владелец компа натуральный дурачина и система расшифровывает оба раздела захардкоженым ключем, а потом просто ждет пароля юзера, то тебя ждет 100% успех.

При загрузке виртуалки первым выводится сообщении от cryptsetup об успешном расшифровании одного раздела (тот который 2Gb) потом загрузка продолжается и некий момент выводтся сообщение об успешном расшифровании второго раздела (тот который 76Gb).

Т.е. судя по логу загрузки, оба раздела до момента загрузки графики уже расшифрованы.

Если б по ходу загрузки спрашивался пароль для luks - я б даже не пытался что-то делать, но тут вся система загружается и ждет юзера.

спасибо, повеселил.
пожалуй хорошо, что большинство криминальных элементов не отличаются умом и сообразительностью.

Лол, а система там не кали-линукс ли?

Нет, визуально немного схоже с убунтой.

как это вы так метко отличили консольку кали от убунты ?

Я ж писал - прогружается вся ОСь до момента вводах пароля пользователя. Т.е. я вижу графику на этапе логина юзера в системе. Вродь убунта, а может и нет.

На что сие влияет? Сменить tty и залогинится не получится - не меняется.

Вариантов какбы 2:
- расковырять загрузчик, выудить пароль, расшифровать разделы, подменить хэш пароля рута и загрузиться.
- сдампить память, подменить хэш пароля рута, залить память и залогиниться в систему.

Гражданин России имеет право?

Да. А ещё есть такая штука, как УК, в частности ст. 272, и то чем вы тут занимаетесь очень на неё похоже. Если владелец компьютера не давал вам согласия на расколупывание его системы, значит вы совершаете неправомерный доступ к компьютерной информации. Dura lex, sed lex.

0. Сей комп есть «вещественное доказательство» полученное в ходе следственного действия (обыск) у подозреваемого;

1. На владельца ПК и его согласие немного нас**ть, это не моя забота;

2. Это форум линуховодов или юристов? Почему Вы ноете по поводу законов? Или всё так плохо, что Вы очкуете что «ой посодють»?

в убунте рута может и не быть (подумал anonymous, пережёвывая попкорн) – интересный у вас топик, всяко лучше соседей по трекеру

В данный момент времени мне по душе первый вариант, ибо он кажется более простым (но скорее всего я ошибаюсь).

Если говорить о втором варианте, то я не совсем понимаю, как можно подменить хеш пароля в памяти.

Кстати, bdfy, большое спасибоза radare2 - возможно эта штука мне понадобится всего один раз в жизни, но я буду знать что существует такой софт под *nix.

чудило, ответь себе на вопрос чем отличается убунту с рутом, от убунты без рута.

http://people.redhat.com/pbonzini/qemu-test-doc/_build/html/topics/pcsys_005f...