Volatility. Encontrar datos de un proceso (TrueCrypt)

Iniciado por banderas20, 4 Julio 2019, 18:30 PM

0 Miembros y 1 Visitante están viendo este tema.

banderas20

Buenas.


Tengo un volcado de memoria de una máquina Windows y estoy analizándola con Volatility.


La máquina tenía un volumen cifrado con TrueCrypt, y éste estaba en ejecución en el momento del volcado.


Quiero encontrar la clave de cifrado. He probado con los comandos


volatility truecryptmaster

volatility truecryptsummary

volatility truecryptpassphrase



Los dos primeros me muestran resultados, pero el último (el que me da la clave) no me arroja ningún resultado.


Si está el proceso en ejecución, la clave debe estar en memoria ¿Cómo puedo encontrarla?


Gracias!

MCKSys Argentina

Sobre qué Windows estás trabajando? Porque windows 10 no parece estar soportado por esa tool: https://github.com/botherder/volatility

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


banderas20

Cita de: MCKSys Argentina en  4 Julio 2019, 20:13 PM
Sobre qué Windows estás trabajando? Porque windows 10 no parece estar soportado por esa tool: https://github.com/botherder/volatility

Saludos!

La imagen es de un Windows XP SP3.

Gracias!

MCKSys Argentina

#3
Probaste esto?

Citar
3. To get more information on a Windows memory sample and to make sure Volatility supports that sample type, run 'python vol.py imageinfo -f <imagename>' or 'python vol.py kdbgscan -f <imagename>'

Esta en el README de github

Saludos!

EDIT: El soporte paraTrueCrypt en win esta aca: https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L583
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


banderas20

Sí.

Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : FileAddressSpace (/home/folder1/folder2/memdump)
                      PAE type : PAE
                           DTB : 0x2ce000L
                          KDBG : 0x80545ae0L
          Number of Processors : 1
     Image Type (Service Pack) : 3
                KPCR for CPU 0 : 0xffdff000L
             KUSER_SHARED_DATA : 0xffdf0000L
           Image date and time : 2013-03-17 22:17:12 UTC+0000
     Image local date and time : 2013-03-17 23:17:12 +0100




Si ejecuto

truecryptsummary


Registry Version     TrueCrypt Version 7.1a
Process              TrueCrypt.exe at 0x85703ae8 pid 4016
Service              truecrypt state SERVICE_RUNNING
Kernel Module        truecrypt.sys at 0xaa0ac000 - 0xaa0e3000
Symbolic Link        Volume{7ddaae16-7f7f-11e2-b195-002243057110} -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Volume{7ddaae16-7f7f-11e2-b195-002243057110} -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
File Object          \Device\TrueCryptVolumeQ\ at 0x57db528
File Object          \Device\TrueCryptVolumeQ\ at 0x5f76868
Driver               \Driver\truecrypt at 0x6491030 range 0xaa0ac000 - 0xaa0e2b80
Device               TrueCryptVolumeQ at 0x856f37a0 type FILE_DEVICE_DISK
Container            Path: \??\C:\Documents and Settings\Pepe\Mis documentos\Mine
Device               TrueCrypt at 0x85d56030 type FILE_DEVICE_UNKNOWN


truecryptmaster

Container: \??\C:\Documents and Settings\Pepe\Mis documentos\Mine
Hidden Volume: No
Removable: No
Read Only: No
Disk Length: 786432 (bytes)
Host Length: 1048576 (bytes)
Encryption Algorithm: AES
Mode: XTS
Master Key


truecryptpassphrase

Nada  :-[


MCKSys Argentina

Si lo corres con un IDE, puedes poner un BP cuando va a printear la MasterKey.

Osea, poner un BP en https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L662 y ver desde ahí los valores que obtiene.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


banderas20

Cita de: MCKSys Argentina en  4 Julio 2019, 22:52 PM
Si lo corres con un IDE, puedes poner un BP cuando va a printear la MasterKey.

Osea, poner un BP en https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L662 y ver desde ahí los valores que obtiene.

Saludos!

Disculpa, pero no entiendo a que te refieres con BP ni cómo usar ese .py.

Gracias!

MCKSys Argentina

Me refería a correr el codigo python en un IDE y depurarlo.

BP = BreakPoint.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."