记一次奇怪的truecrypt解密,隐藏分区的MasterKey

最新推荐文章于 2024-05-15 02:26:52 发布
最新推荐文章于 2024-05-15 02:26:52 发布
阅读量3k 收藏 5
点赞数 4
分类专栏: CTF 笔记 安全 文章标签: 安全 linux volatility
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fjh1997/article/details/105883192
版权
安全 同时被 3 个专栏收录
54 篇文章 6 订阅
订阅专栏
笔记
42 篇文章 1 订阅
订阅专栏
CTF
21 篇文章 2 订阅
订阅专栏

地址

题目地址: https://buuoj.cn/challenges#[V&N2020%20%E5%85%AC%E5%BC%80%E8%B5%9B]%E5%86%85%E5%AD%98%E5%8F%96%E8%AF%81

说明

在这道题里面,最终的一个VOL加密文件,可以通过passphrase和masterkey两种方式进行解密挂载。passphrase解密挂载的方式夏风师傅的博客里面有说,接下来我介绍一下masterkey的挂载方式。

masterkey解密挂载

首先要提取出内存中保留的masterkey文件,根据这个题目的mem.raw文件,我们做了以下尝试:
dump cached password
truecrypt的进程的内存中可能保留了cached password和masterkey。
在这里插入图片描述

故我们先尝试password:

python vol.py -f mem.raw
--profile=Win7SP0x8 truecryptpassphrase

无果
之后尝试masterkey

 python vol.py -f mem.raw --profile=Win7SP0x8 truecryptmaster -D .

在这里插入图片描述
可以看到有结果,之后我们使用这个工具:
https://github.com/fjh1997/MKDecrypt
使用masterkey挂载加密分区。

MKDecrypt.py VOL  ./0x837f51a8_master.key

之后可以看到挂载成功的信息

在这里插入图片描述
挂载成功之后拿到key,使用这个key对VOL再次解密可以得到flag。
在这里插入图片描述

问题来了

那么问题来了,为什么masterkey和pasword解密之后的结果会不一样,按照truecrypt解密的原理,truecrypt先使用pasword解密加密容器的文件头,从文件头中获取这个容器的加密方式和masterkey,之后再使用这两个已知的东西对加密容器进行解密并动态挂载,即把masterkey和pasword暂存在内存中,读取一部分文件解密一部分,并不完全解密。如果这个加密容器只有一个masterkey的话,那么password解密文件头出来的masterkey应该是和之前内存中dump出来的是一致的,解密的结果也一样。那么我们先尝试dump出password解密文件头出来的masterkey。
首先还是一样的步骤,使用password挂载VOL文件,但是环境则是在vmware里面的windows虚拟机里面运行,记得内存设置小一点,挂载成功之后挂起虚拟机之后在虚拟机目录下会出现一个mem文件,使用相同方法在这个文件里面dump出masterkey和password。
在这里插入图片描述

发现,这个dump出来的masterkey和之前的不一样,也就是说这个password解锁的文件头里面的不包含之前那个masterkey,而是另一个masterkey,那么为什么会这样呢?这就涉及到truecrypt的隐藏分区机制了。
设想一下如下场景:

一个歹徒拿着刀逼问你加密磁盘的密码,你迫于无奈只能告诉他。或者战争时期敌军严刑拷打我方特务的时候,只有告诉密码才能赢得生机。

我们常见的truecrypt加密磁盘容器如下一图,分为文件头,加密数据区,随机数据区,通过密码解锁文件头里面的加密方式和密钥信息可以获得加密后的数据。
在这里插入图片描述
如上二图,在存在隐藏分区的时候,文件头里面的随机数据区则被隐藏文件头所取代,加密数据之后的随机数据出则被隐藏分区所取代,这就让我们无法区分一个加密磁盘里面是否有隐藏分区, 这也意味着同一个加密磁盘容器会对应两个password以及masterkey,当敌人自以为要到了加密的密码,实际上他们不知道这个磁盘还有另一个密码,这就起到了隐藏信息的作用。
使用相同的方式可以解锁隐藏分区,github上面的那个M
KDecrypt的原作者由于没加异常检测,所以不能解密隐藏分析,所以我稍稍改进后传到github上面了。

MKDecrypt.py VOL  ./0x818471a8_master.key

会提示Masterkey does not decrypt a normal/outer volume. Trying for a hidden volume…
在这里插入图片描述

参考

参考了夏风大佬的博客:
https://blog.xiafeng2333.top/ctf-25/
以及官方文档 https://www.truecrypt71a.com/documentation/plausible-deniability/hidden-volume/
** 这个PPT挺不错**
https://downloads.volatilityfoundation.org/omfw/2013/OMFW2013_Ligh.pdf

fjh1997
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Truecrypt 破解工具
11-21 2242
TrueCrypt破解工具-TCHead H3lvin@工具2012-11-12 共27614人围观,发现15个不明物体收藏该文 TrueCrypt,是一款免费开源的加密软件,同时支持Windows Vista,7/XP, Mac OS X, Linux 等操作系统。Tru...
C#操作TrueCrypt加密解密
02-23
C# 能调用的6个重要功能 1. 创建加密卷 2. 加载加密卷 3. 卸载加密卷 4. 修改密码 5. 加载驱动 6. 安装驱动
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(3)
最新发布
2401_85013565的博客
05-15 1347
shift=SHIFT Mac KASLR 移位地址–output=text 以这种格式输出(支持特定于模块,请参阅下面的模块输出选项)在此文件中写入输出-v, --verbose 详细信息-g KDBG, --kdbg=KDBG 指定一个 KDBG 虚拟地址(注意:对于 64 位 Windows 8 及更高版本,这是 KdCopyDataBlock 的地址)–force 强制使用可疑配置文件。
TrueCrypt加密之后的取证方法(广东公安科技)
CnCrypt-TrueCrypt国内延伸版本
06-02 8109
TrueCrypt加密之后的文件,目前没有好的办法破解,因此在调查取证的时候,可以考虑以下方法: 4.1 分析和检查是否有TrueCrypt加密之后的文件存在。 (a) TrueCrypt加密之后的文件没有固定的特征,如果加密者把这样的文件保存为常见格式的文件时,利用Encase、Winhex、取证大师等软件分析文件特征,对于不匹配的文件重点分析,进行排查是否为加密文件; (b) 搜索系统所
加密工具truecrypt 中文版 的加密解密添加文件的方法
有 prepare , No out
02-10 2133
http://wenku.baidu.com/link?url=6ADAyPwx1acrKWY3FzjZYijnB10OJ0wYd_fBHWL81f5kG3mSk--8neNiwpFapgRuqMP661tO_AvEo_HUDpRrnh63LWRTssgMhjsxA26E0Xy
[转]TrueCrype隐藏加密分区使用和加密盘数据恢复
weixin_30329623的博客
05-23 227
私房文件夹加密软件可以快速对指定的文件夹加密码并隐藏、U盘加密、移动硬盘文件夹加密(可跨电脑解密)、磁盘分区隐藏、禁用USB接口设备等功能。 可为主程序运行设置启动密码、每一个文件夹设置单独的密码,用软件加密保护后的电脑文件夹不可见、利用软件统一管理,具有很高的安全性,更好的保护您的个人隐私和数据安全,非常适合个人或者家庭用户使用。私房文件夹加密软件(免费版)是一款免费软件,无需任何费用就可以保...
磁盘加密工具-TrueCrypt
西京刀客
09-22 6830
磁盘加密工具-TrueCrypt 官网:http://truecrypt.sourceforge.net/ TrueCrypt 是什么? TrueCrypt是全球最著名、最权威的硬盘加密软件之一,迄今为止没有任何方法可以破解其加密的磁盘。它拥有AES-256、Blowfish(448-bitkey)、CAST5、Serpent、Triple DES三种加密算法。支持长密码,如果长度为20位,暴力破解需要1056993066125年时间。 TrueCrypt,是一款免费开源的加密软件,同时支持Windows
truecrypter:在终端中使用 truecrypt 简化解密文件
07-14
简单的 rake 任务将简化您的加密文件的安装过程。 设置 git克隆项目 cd ~/Documents/path_wher_i_cloned_this_project/ cp ./paths_example.rb ./paths.rb 编辑你的paths.rb文件 !!! 不要忘创建您的 MOUNT_FOLDER 和 BACKUP_FOLDER !!! Bash 别名 一切设置好后,在你的~/.bashrc或~/.bash_profile 中你可以做这样的事情 alias quickreed='cd ~/Documents/path_wher_i_cloned_this_project/; rake mount; vim ~/Documents/mount_crypt_here/seecret_file; rake umount;' 重新加载您的 bash 终端,下次您这样做时.
TrueCrypt6.3.tar.gz_加密解密_C++_
08-12
TrueCrypt是一款著名的开源加密软件,尤其在6.3版本时,它因其强大的功能和高度的安全性而备受赞誉。TrueCrypt采用先进的加密算法,主要由C++编程语言编写,这使得它在性能和效率上有着优秀的表现。在本文中,我们将...
tcsandd:TrueCrypt 搜索和解密
07-07
TrueCrypt 搜索和解密 我为 2013 DC3 Forensic Challenge 开发了这个 python 脚本/工具。 它将搜索文件夹或驱动器中的 TC 加密文件,然后尝试对其进行解密。 我使用了以下资源中的一些源代码: 上面的代码被重写以...
TrueCrypt破解利器 TChead 编译好的exe 及源码
06-27
TrueCrypt破解利器 TChead编译好的exe文件 包含 winxp 32位版本 及win7 64位和32位版本。破解TrueCrypt加密分区和文件时用的,是把利器,不过没有进行代码优化,可自行打开工程编译,前提是安装好 Boost 和 Botan开发工具包,否则编译不成功。
TrueCrypt 密码找回工具 V1.00
06-18
软件很简单,就不写什么使用帮助,1.0版本很简陋,可能还存在一些问题,欢迎大家多提意见,会继续改进。 ps: 1,支持TrueCrypt和CnCrypt加密卷格式 2,指定加密算法和加密卷类型会提高找回密码速度。 3,自定义选项做的比较简陋,大家可以自己去网上寻找一些密码字典来使用 4,如果有密钥文件并且迷钥文件未丢失,可以指定密钥文件后找回密码,如果密钥文件丢了,就不用费劲尝试了。
TrueCrypt 5.0a Source_truecrypt_
10-04
TrueCrypt是一款已退役的开源加密软件,主要用于在操作系统上创建和管理加密的虚拟磁盘,以保护用户的数据安全。5.0a是其版本之一,包含源代码,这对于开发者和安全研究人员来说尤其有价值,因为他们可以深入理解...
TrueCrypt 使用经验[3]:关于加密
CnCrypt-TrueCrypt国内延伸版本
06-02 3349
本来第三篇想写隐藏卷相关的经验。但是看到好几个读者在留言中提及加密盘的破解,所以俺先来说说和破解有关的话题以及防范措施。 ★各种暴力破解(穷举) ◇针对密码/口令的穷举破解   关于这个话题,在前一篇博文已经介绍了穷举的原理和防范的措施。所以,今天就不再啰嗦了。 ◇针对 KeyFiles 的穷举破解   这分两种情况:已知 KeyFiles 的
Python写的组合密码生成脚本(针对TrueCrypt 加密磁盘密码搞忘了,用这个办法很有效)
skyshell的专栏
06-28 1899
一直喜欢用TrueCrypt这个开源的密盘程序,但时间久了,很多密码忘了,但依稀可以得以前使用的密码元素,此时此刻也只有采用排列组合的方式,把所有可能的组合都组合出来,制作一个密码字典,然后使用破解程序跑字典。       比如你使用的密码元素 为 A B C。那么组合方式就有 A,B,C,AB,AC,BA,BC,CA,CB,ABC,ACB,BAC,BCA,CAB,CBA。 以此类推 这样就可
加密软件TrueCrypt 参数说明
实践者
05-16 2150
软件:TrueCrypt  官网: 下载地址: 本文作者:Evil 参数说明: “/a”为自动挂载卷; “/p”为加密密码; “/k”为指定密钥文件的位置; “/l”为加载出来的对应的盘符,这里为Y卷,如果省略则会选取以A到Z顺序的第一个空闲盘符; “/e”卷挂载后打开资源管理器窗口,即打开盘符,不打开界面可以省略; “/q”自动执行命令请求
TrueCrypt 密码找回工具
CnCrypt-TrueCrypt国内延伸版本
06-18 7710
软件很简单,就不写什么使用帮助,1.0版本很简陋,可能还存在一些问题,欢迎大家多提意见,会继续改进。 ps: 1,支持TrueCrypt和CnCrypt加密卷格式 2,指定加密算法和加密卷类型会提高找回密码速度。 3,自定义选项做的比较简陋,大家可以自己去网上寻找一些密码字典来使用 4,如果有密钥文件并且迷钥文件未丢失,可以指定密钥文件后找回密码,如果密钥文件丢了,就不用费劲尝试了。
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
truecrypt解密方法
08-10
TrueCrypt 是一种开源的加密软件,可以用来对文件、文件夹、磁盘卷进行加密。要解密 TrueCrypt 加密的文件或卷,可按照以下步骤操作: 1. 首先,需要下载和安装 TrueCrypt。可以从官方网站(truecrypt.ch)或其他可信的软件下载网站获取 TrueCrypt 的安装包,并按照提示进行安装。 2. 安装完成后,打开 TrueCrypt 软件。 3. 在 TrueCrypt 界面的主窗口中,点击 "Select File" 或 "Select Device" 按钮,选择需要解密的文件或磁盘卷。 4. 在 "Volume" 面板中,选择所选文件或磁盘卷的路径。 5. 点击 "Mount" 按钮,打开一个新的窗口。 6. 在新窗口中,输入正确的密码,并点击 "OK" 按钮以挂载文件或卷。 7. 文件或卷挂载成功后,可以在操作系统中访问已解密的文件或磁盘卷,直接对其进行操作。 8. 解密完成后,可以在 TrueCrypt 的主窗口中点击 "Dismount" 按钮以卸载已解密的文件或卷。 需要注意的是,解密过程需要正确的密码。如果密码错误,将无法成功解密文件或卷。此外,TrueCrypt 也提供了其他一些高级选项,如密钥文件、隐藏卷等,可以根据需要进行设置。 总结来说,TrueCrypt解密方法主要包括选择要解密的文件或磁盘卷、输入正确的密码并挂载、访问已解密的文件或磁盘卷,最后卸载已解密的文件或卷。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值