LINUX.ORG.RU

Анализ RAM

 , ,


0

4

Есть задача - достать с винта информацию. Скажу сразу, дабы не было вопросов - комп принесли с «органов», вроде как этой железякой пользовался юзер координирующий закладки в городе.

В общем есть комп с линухом на борту. На носителе три раздела - один з загрузчиком (1Mb), вторые два шифрованы LUKS’ом (2Gb и 76Gb).

Если включить - все норм грузится и упирается в пасс пользователя. ОСь на смену tty не реагирует.

Поправить загрузчик возможности нет - бинарник с загрузчиком тупо намазан на раздел.

Все к чему я додумался - грузонуть его на виртуалке (норм грузится) и сдампить ram при загрузке, когда разделы уже расшифрованы.

Возникает вопрос: чем можно в более-менее не вырвиглазном виде посмотреть что лежит в RAM? По моему мнению, там как минимум должна лежать таблица файлов расшифрованного раздела, ключи расшифровки…

Ответ на: комментарий от anonymous

тут дело не в помощи органам, а в интересе. неужто не бывало такого, когда интересно решить определенную задачу ?

Deleted
()
Ответ на: комментарий от Deleted

Ну вот у меня такой же интерес - как оно работает, самое ведь декодируется и грузится. А если смотреть просто в данные на HDD - все шифровано.

Ну а помощь «органам» - бонус, может сие действительно поможет.

Bubublik
() автор топика
Ответ на: комментарий от Bubublik

Почему Вы ноете по поводу законов?

Если бы вы не упомянули, что действуете якобы от «органов» - лично я бы точно не ныл. Делайте, что хотите.

Настоящие органы - или (1) осматривают в присутствии понятых, владельца, со снятием пломб с техники, поставленных при изъятии, с протоколом осмотра и т.д., или (2) отдают на исследование экспертам, у которых есть на то лицензия.

Любые другие действия с чужой информацией - это отсебятина и к законным органам никакого отношения не имеет.

Это собственно не для вас. Это для местных, которые и без этой темы негативно рефлексуют на «органы».

Toxo2 ★★★★
()
Ответ на: комментарий от Bubublik

Может оно тебе говорит, что расшифровывает раздел. А на самом деле нет.

Harald ★★★★★
()

Скажи органам, что не шмог и не парься. Торговля веществами должна быть свободной, преступления без пострадавшего не преступления.

Harald ★★★★★
()
Ответ на: комментарий от Bubublik

Лол, может ты для органов и закинешь чего надо на комп бедняги?

anonymous
()
Ответ на: комментарий от Harald

акт второй:
к ТС приходят органы, при понятых вводят заведомо известный пароль. осторожно браслеты закрываются ..

Deleted
()
Ответ на: комментарий от Bubublik

Может это поможет https://dx.eng.uiowa.edu/dave/luks.php aeskeyfind на память из qemu. Или аналогично findaes https://blog.appsecco.com/breaking-full-disk-encryption-from-a-memory-dump-5a...

Или можете реверсить загрузчик https://habr.com/ru/company/neobit/blog/261081/

Хеш пароля в памяти, ИМХО, подменить сложно. Уж проще через gdb тупо поправить память того процесса, который запрашивает пароль, чтобы убрать проверку. Или вобще системный вызов exec() туда засунуть. Но не зная ни логина пользователя, ни какая там система — расположение исполняемых файлов, это будет сложно.

mky ★★★★★
()
Ответ на: комментарий от mky

https://dx.eng.uiowa.edu/dave/luks.php

Не читал, завтра гляну (пятница же), спасибо.

https://blog.appsecco.com/breaking-full-disk-encryption-from-a-memory-dump-5a868c4fc81e

Не работает. Ключи с RAM найти удалось, но как оказалось - они нифига не помогут. Ключ (который в RAM) создается после ввода «нормального» ключа и каждый раз будет разный (если я правильно понял).

https://habr.com/ru/company/neobit/blog/261081/

Уже читаю, спасибо. Люблю хабр, приятный ресурс.

Bubublik
() автор топика
Последнее исправление: Bubublik (всего исправлений: 1)
Ответ на: комментарий от Toxo2

У Вас ложное понятие о «настоящих органах». Читайте законы РФ и не онанируйте на то что «правильно». Ах и увы, но это так: если у Вас нет денег - закон работает против Вас. Естесно Вам сие не понравится и Вы будете меня чмырить, но пятница же, я готов :)

Bubublik
() автор топика
Ответ на: комментарий от Deleted

к ТС приходят органы, при понятых вводят заведомо известный пароль. осторожно браслеты закрываются

я готов рискнуть :)

Bubublik
() автор топика
Ответ на: комментарий от Deleted

интересно решить определенную задачу

Пусть выкладывает дампы, тогда будет «определенная задача».

А пока это выглядит как клевета на «органы».

anonymous
()

С чего ты взял, что диск с данными расшифрован? Может быть данные монтируются вручную после входа в учётку. А операционная система может лежать открыто. Её незачем шифровать.

ox55ff ★★★★★
()
Ответ на: комментарий от Bubublik

Соблюдайте субординацию, товарищ сержант! Докладывайте по полной форме: звание, фио, в/ч!

anonymous
()
Ответ на: комментарий от Bubublik
  1. тогда модификация оригинала исключена ибо «подделка доказательств» в идеальном мире идей.

отличие юристов от программистов в большем лукавстве первых.

qulinxao3 ★★
()
Ответ на: комментарий от Bubublik

лол «двухконтурная система денег»

лол сказка ложь да в ней ней дм урок - в Уике жетончики символизировали немагловскую систему обмена обязательствами.

роль линейных органов создание у популюса ощущения защищённости - а то что вы описываете черевато как клеветой с вашей стороны так и повышением девиаций среди поднадзорного контингента

ненадо так.

ваще Билет На планету Транай всякому кто идёт в органы за не тем.

qulinxao3 ★★
()

Не сотрудничайте с оккупационной администрацией иначе вас повесят на одном столбе.

Ключей для раздела с данными юзера очевидно нет, да и раздел с ОС скорее всего тоже не зашифрован, шифровать его и тут же рядом в загрузчике класть ключи это бред.

theurs ★★
()
Последнее исправление: theurs (всего исправлений: 1)

Залей уже свой vmdk на какой-нибудь хостинг, мы поможем. Телепатов здесь нет.

anonymous
()

Есть задача - достать с винта информацию

Ребята не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте что тут писалось. Я вполне понимаю что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых - стоп. Остальные просто не найдут.

hakavlad ★★★
()

Это либо жоский троллинг от органов, либо полный провал.

Судя по созданным темам, этот никчемный провокатор-диверсант занимает «очень важное место» в обмене секретной/чувствительной информацией.

anonymous
()

Для ТС.

Зачем вы вообще стали говорить о какой-то «секретной» информации?
Проще нужно быть.

anonymous
()
Ответ на: комментарий от anonymous

Зачем вы вообще стали говорить о какой-то «секретной» информации? Проще нужно быть.

В лихие 90-е как-то попался мне на шабашке компьютер с базой данных об всех клиентах и суммах организации типа МММ.
Десятки тысяч «облапошенных».
Так вот комп им «по знакомству» из милиции «позычили».

Секретная информация.
anonymous
()
Ответ на: комментарий от anonymous

А вот пример «супер секретной информации».

У нас на предприятии большинство сотрудников имеют аккаунты на yandex.
Выкладывают туда все и вся.

anonymous
()
Ответ на: комментарий от anonymous

«О сколько нам открытий чудных …».

anonymous
()
Ответ на: комментарий от anonymous

Вот интересно - кто «умудрился» ТС эту информацию доверить?

Впрочем аксиома N2

Меньше знаешь, крепче спишь.
anonymous
()
Ответ на: комментарий от anonymous

Аксиома N2 - «Меньше знаешь - крепче спишь.»

Некоторые из форумчан эту аксиому применяют даже для разработки программ.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.