取证工作:怎样解锁 LUKS2 加密磁盘?

已于 2024-06-27 09:17:06 修改
阅读量922 收藏 17
点赞数 13
文章标签: 取证 LUKS2 LUKS2解密 LUKS解密
于 2024-06-27 08:15:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanyuan7783/article/details/140002889
版权

对于 LUKS2 密码进行恢复,Elcomsoft Distributed Password Recovery (简称 EDPR) 软件可以构建高性能集群,以更快地破解密码。EDPR 软件提供零开销的可扩展性,并支持 GPU 加速,以加快恢复速度。EDPR 可帮助在取证服务中用最少时间来破解最复杂的密码和强大的加密密钥。

LUKS2 是 LUKS 的更新、更好、更安全的版本。根据开发人员的说法,LUKS2 以更灵活的方式存储元数据、冗余信息以在元数据区域损坏的情况下提供恢复,从而扩展了 LUKS。它还引入了一个接口来存储外部管理的元数据,以便与其他工具集成。更重要的是 LUKS2 实现默认密钥派生函数 (KDF) 的方式的更改。LUKS2 开发人员没有将哈希轮数无限增加到数百万,而是决定使用 Argon2,这是一个关键派生函数,被选为 2015 年密码哈希竞赛的获胜者。新的默认 KDF 在最大限度地抵御 GPU 破解攻击。LUKS2 通过新的密钥派生函数使 Linux 磁盘加密更加安全,在攻击 LUKS2 卷时有效禁止 GPU 加速。这反过来只能让我们利用计算机的 CPU 而不是更快的 GPU 来攻击受 argon2id 保护的 LUKS2 磁盘。下面就对 LUKS2 密码恢复思路进行介绍:

  1. 使用Elcomsoft Forensic Disk Decryptor或Elcomsoft System Recovery从加密设备或磁盘映像中提取加密元数据。
  2. 使用提取的元数据(一个小文件)通过 Elcomsoft Distributed Password Recovery 对密码发起攻击。
  3. 找到密码后,挂载磁盘卷或解密数据。

使用 Elcomsoft Forensic Disk Decryptor 提取加密元数据。

  1. 启动Elcomsoft取证磁盘解密器。
  2. 选择“提取/准备数据以进行进一步的密码恢复”。
  3. 打开包含 LUKS2 卷的物理设备或磁盘映像。
  4. EFDD 将显示加密卷列表。选择要从中提取加密元数据的卷。
  5. 单击“下一步”提取加密元数据并将其保存到文件中。

攻击密码。

虽然 LUKS2 密码禁止调用 GPU 能力进行破解,但注册版软件目前支持多达 10,000 台计算机用于使用 Elcomsoft 分布式密码恢复,利用 CPU 暴力攻击单个密码。如果算力资源有限也可以根据获得现有密码内容信息,采用字典加密码突变选项来进行靶向破解。可以参照以下步骤:

  1. 启动Elcomsoft Distributed Password Recovery。
  2. 打开在上一步中使用 Elcomsoft Forensic Disk Decryptor 获得的加密元数据的文件。
  3. 将显示可用的密钥插槽以及哈希迭代次数。指定要攻击的密钥槽。

4、配置并启动攻击。

暴力破解模式,破解时间较长而且需要大规模计算能力。我们可以根据现有资源搭建分布式集群服务器选择“brute force”选项配合字符串,开启高算力的暴力破解模式。

如果已知用户的现有密码是一个很好的起点。这些密码可以从用户的 Google 帐户、macOS、iOS 或 iCloud 钥匙串、Microsoft 帐户中提取,也可以简单地从用户的计算机中提取。我们可以采用字典攻击模式,配合相关密码变体。

如果我们想要破解强密码,需要配合突变选项“Mutations”,如下图例,选择级别和突变类型。

  • 大小写突变(Case):程序检查密码中任何字符的大写/小写字母的所有变体。
  • 顺序突变(Order):字符顺序颠倒(即密码变成drowssap),一个单词重复几次(passwordpassword);反转的单词可以添加到普通单词 (passworddrowssap) 中。
  • 元音突变(Vowels):元音可以省略 (psswrd) 或变大/变小 (pAsswOrd、PaSSWord)。
  • 剥离突变(Strip):删除一个字符,就像在 assword 或 pssword 中一样。
  • 交换突变(Swap):角色交换和改变位置(例如psasword)。
  • 重复突变(Duplicate):某些字符重复(ppassword、paassword)。

现在数字和特殊字符开始发挥作用:

  • 数字突变(Digit):在单词的开头或结尾添加数字(1passowrd、password2)。
  • 年份突变(Year):将年份添加到单词的末尾 (password2009)。
  • 边框突变(Border):可以在末尾或开头添加常用的数字和特殊符号组合,或两者兼而有之(password123、#password#、password007)。
  • 分隔符突变(Delimiter):在字符之间添加分隔符(例如 p.a.s.s.w.o.r.d、p-a-s-s-w-o-r-d)
  • 怪异的突变(Freak):字母被替换为外观相似的特殊符号,如p@ssw0rd或p@$$word。
  • 缩写突变(Abbreviation):用作单词替代品的常见缩写 (Umean2secure4hackers)。

利用掩码选项破解,是在已知密码字符的情况下,其他未知得字符用掩码掩盖。这样节约破译复杂程度和时间。例如,您知道密码包含8个字符,以“x”开头,以“99”结尾;其他符号是小写字母或大写字母。可以设置的掩码是“x????99”,后面字符集设置为“大写拉丁字母”和“小写拉丁字母”。有了这些选项,*EDPR*将尝试的密码总数将与您使用的5个字符密码相同,而不是包含数字;这比长度设置为8并且选中所有“字符组”复选框的情况要小得多,如下图示。

当然掩码字符是可以自定义,如果已知密码中有“?”字符,你就需要把这个掩码改成别的字符,再进行配置。

鸿萌数据安全
关注
  • 13
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
LUKS磁盘格式
bemind1的专栏
06-01 3726
1 介绍 LUKS是"Linux Unified Key Setup"的简写。LUKS最初是为了解决用户在从更改用户空间和忘记命令行参数中导出加密设置时的问题。目前qemu的磁盘加密格式是luks格式。 LUKS磁盘格式如下: LUKS phdr KM1 KM2 ... KM8 bulk data LUKS phdr: LUKS partition header。包含了使用的
solokey-full-disk-encryption:使用SoloKey解锁LUKS加密分区
04-17
您可以对根OS分区进行加密,并在启动过程中的initramfs阶段使用solokey来解锁加密分区,以及在运行系统上的其他分区。 SoloKey使用质询和凭据这两个输入来生成响应。 该响应将用作您的LUKS加密卷密码。 除了...
加密磁盘密钥设置方案浅析 — LUKS1
Take Easy,Work Hard!
11-14 659
本文简单介绍密钥设置方案在虚拟化场景磁盘加密技术中的应用,LUK1加密磁盘格式
Elcomsoft 取证工具包系列: Elcomsoft Forensic Disk Decryptor 加密磁盘解密工具
sanyuan7783的博客
02-19 1655
Elcomsoft Forensic Disk Decryptor 软件支持即时访问存储在加密的 BitLocker、FileVault 2、PGP Disk、TrueCrypt 和 VeraCrypt 磁盘和容器中的数据。该工具从 RAM 镜像、休眠和页面文件中提取加密密钥,或使用纯文本密码或托管密钥来解密存储在加密容器中的文件和文件夹,或将加密卷挂载为新的驱动器号,以便即时、实时访问。
加密磁盘密钥设置方案浅析 — TKS1
Take Easy,Work Hard!
11-14 455
本文主要介绍虚拟化加密磁盘密钥设置的理论基础:开源密钥设置方案TKS1
磁盘加密技术保障数据安全之七种武器
数据恢复技术研究
03-17 1313
转自:http://security.ctocio.com.cn/securitycomment/431/8116931.shtml北亚数据恢复中心整理(http://www.bysjhf.com)  TruCrypt、PGP、FreeOTFE、BitLocker、DriveCrypt和7-Zip,这些加密程序提供了异常可靠的实时加密功能,可以为你确保数据安全,避免数据丢失、被偷以及被
【加解密篇】Passware Encryption Analyzer快速检测加密文件软件
蘇小沐的电子数据取证博客
11-03 1291
【加解密篇】Passware Encryption Analyzer快速检测加密文件软件 ​ 密码加密分析仪是一种免费工具,可扫描系统以检测受保护或加密的文件、存档和其他加密类型的文件—【suy】 文章目录【加解密篇】Passware Encryption Analyzer快速检测加密文件软件(一)扫描对象1、加密文件检测2、加密容器检测3、扫描区域(二)扫描结果1、详细报告2、通过加密对文件进行排序(二)可识别文件类型1、适用平台2、软件版本总结 (一)扫描对象 ​ 可全盘扫描或者自定义扫描驱动或文件夹等
2017第三届美亚杯全国电子数据取证大赛个人赛write up
weixin_42744595的博客
01-02 3156
2017美亚杯全国电子数据取证大赛个人赛write up
LUKS 磁盘加密规范 版本号V1.2.3
04-02
LUKS是"Linux Unified Key Setup"的简写。目前qemu的磁盘加密格式是luks格式。
yubikey-full-disk-encryption:使用YubiKey解锁LUKS分区
02-04
LUKS(Linux Unified Key Setup)是Linux下的一个标准加密层,它提供了一种灵活且安全的方式来加密磁盘分区。本文将深入探讨如何使用YubiKey作为密钥来解锁LUKS分区,主要关注于Arch Linux系统,但这些概念同样适用...
LUKS2 On-Disk Format Specification version 1.1.0, 2022-01-10
05-05
LUKS2 是用于磁盘加密管理的 Linux 统一密钥设置的第二个版本。它是 LUKS1 [1, 2] 格式的后续版本,扩展了磁盘格式的功能并消除了一些已知问题和限制。 LUKS1 的大部分基本概念仍然保留在 Clemens Fruhwirth 在硬盘...
fido2luks:使用兼容FIDO2的身份验证器解密您的LUKS分区
05-08
fido2luks 这将允许您使用FIDO2兼容密钥解锁LUKS加密磁盘。 注意:仅在Fedora 31, , 使用独奏键,Trezor Model T,Yubibi(fw> = )进行了测试。设置先决条件dnf install clang cargo cryptsetup-devel -y设备git ...
multisim仿真电路实例700例.rar
07-01
multisim仿真电路图
2007-2021年 企业数字化转型测算结果和无形资产明细
07-01
企业数字化转型是指企业利用数字技术,改变其实现目标的方式、方法和规律,增强企业的竞争力和盈利能力。数字化转型可以涉及企业的各个领域,包括市场营销、生产制造、财务管理、人力资源管理等。 无形资产是指企业拥有的没有实物形态的可辨认的非货币性资产,包括专利权、商标权、著作权、非专利技术、土地使用权、特许权等。无形资产对于企业的价值创造和长期发展具有重要作用,特别是在数字经济时代,无形资产的重要性更加凸显。 相关数据及指标 年份、股票代码、股票简称、行业名称、行业代码、省份、城市、区县、行政区划代码、城市代码、区县代码、首次上市年份、上市状态、数字化技术无形资产、年末总资产-元、数字化转型程度。 股票代码、年份、无形资产项目、期末数-元。
quickjs实现C++和js互相调用的代码示例
07-01
quickjs实现C++和js互相调用的代码示例
基于C语言开发的Foc的矢量控制驱动器+源码+硬件资料+3D模型+项目文档(毕业设计&课程设计&项目开发)
07-01
基于C语言开发的Foc的矢量控制驱动器+源码+硬件资料+3D模型+项目文档,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 基于C语言开发的Foc的矢量控制驱动器+源码+硬件资料+3D模型+项目文档,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 基于C语言开发的Foc的矢量控制驱动器+源码+硬件资料+3D模型+项目文档,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 基于C语言开发的Foc的矢量控制驱动器+源码+硬件资料+3D模型+项目文档,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 基于C语言开发的Foc的矢量控制驱动器+源码+硬件资料+3D模型+项目文档,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~
XML-RPC实现WebService示例InterFace程序.rar
07-01
Web Service就是为了异构系统的通信而产生的,它基本的思想就是使用基于XML的HTTP的远程调用提供一种标准的机制,而省去建立一种新协议的需求。目前进行Web Service通信有两种协议标准,一种是XML-RPC,另外一种是SOAP。XML-RPC比较简单,出现时间比较早,SOAP比较复杂,主要是一些需要稳定、健壮、安全并且复杂交互的时候使用。 PHP中集成了XML-RPC和SOAP两种协议的访问,都是集中在xmlrpc扩展当中。另外,在PHP的PEAR中,不管是PHP 4还是PHP 5,都已经默认集成了XML-RPC扩展,而且该扩展跟xmlrpc扩展无关,能够独立实现XML-RPC的协议交互。windows下要使用xmlrpc需要在php.ini中打开:extension=php_xmlrpc.dll;资源里是一个xml_rpc客户端发送和服务器端接收处理的程序:
444363039639459PDF电子版.zip
最新发布
07-01
444363039639459PDF电子版.zip
luks linux 加密磁盘,用luks方式对磁盘进行加密以及加密磁盘的自动挂载
06-10
LUKS(Linux Unified Key Setup)是Linux系统中一种非常流行的磁盘加密方式。使用LUKS加密磁盘可以保护数据的机密性,即使磁盘被盗也无法访问数据。 以下是使用LUKS磁盘进行加密的步骤: 1. 安装cryptsetup工具:`sudo apt-get install cryptsetup` 2. 创建加密卷:`sudo cryptsetup luksFormat /dev/sdb1` 3. 打开加密卷:`sudo cryptsetup luksOpen /dev/sdb1 my_encrypted_disk` 4. 创建文件系统:`sudo mkfs.ext4 /dev/mapper/my_encrypted_disk` 现在,磁盘已经被加密并格式化,可以使用以下步骤将其自动挂载: 1. 创建一个目录来挂载加密磁盘:`sudo mkdir /mnt/my_encrypted_disk` 2. 编辑/etc/crypttab文件并添加以下行: `my_encrypted_disk /dev/sdb1 none luks` 这个文件是用来描述需要自动挂载的加密卷,其中my_encrypted_disk是自定义的名称,/dev/sdb1是加密卷的设备名称,none表示不需要密码,luks表示使用LUKS加密方式。 3. 编辑/etc/fstab文件并添加以下行: `/dev/mapper/my_encrypted_disk /mnt/my_encrypted_disk ext4 defaults 0 2` 这个文件是用来描述系统启动时需要挂载的文件系统,其中/dev/mapper/my_encrypted_disk是加密磁盘的设备名称,/mnt/my_encrypted_disk是挂载点的路径,ext4是文件系统类型,defaults表示使用默认参数,0表示不备份,2表示在启动时挂载。 现在,重启系统后,加密磁盘应该会自动挂载到/mnt/my_encrypted_disk目录下。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鸿萌数据安全

你的鼓励将是我创作的巨大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值