Volatility. Encontrar datos de un proceso (TrueCrypt)

banderas20 · 4 Julio 2019, 18:30 PM

Buenas.

Tengo un volcado de memoria de una máquina Windows y estoy analizándola con Volatility.

La máquina tenía un volumen cifrado con TrueCrypt, y éste estaba en ejecución en el momento del volcado.

Quiero encontrar la clave de cifrado. He probado con los comandos

volatility truecryptmaster

volatility truecryptsummary

volatility truecryptpassphrase

Los dos primeros me muestran resultados, pero el último (el que me da la clave) no me arroja ningún resultado.

Si está el proceso en ejecución, la clave debe estar en memoria ¿Cómo puedo encontrarla?

Gracias!

MCKSys Argentina · 4 Julio 2019, 20:13 PM

Sobre qué Windows estás trabajando? Porque windows 10 no parece estar soportado por esa tool: https://github.com/botherder/volatility

Saludos!

banderas20 · 4 Julio 2019, 20:16 PM

Cita de: MCKSys Argentina en 4 Julio 2019, 20:13 PM
Sobre qué Windows estás trabajando? Porque windows 10 no parece estar soportado por esa tool: https://github.com/botherder/volatility

Saludos!

La imagen es de un Windows XP SP3.

Gracias!

MCKSys Argentina · 4 Julio 2019, 20:21 PM

Probaste esto?

Citar
3. To get more information on a Windows memory sample and to make sure Volatility supports that sample type, run 'python vol.py imageinfo -f <imagename>' or 'python vol.py kdbgscan -f <imagename>'

Esta en el README de github

Saludos!

EDIT: El soporte paraTrueCrypt en win esta aca: https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L583

banderas20 · 4 Julio 2019, 20:41 PM

Sí.

Código [Seleccionar]

Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
                     AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                     AS Layer2 : FileAddressSpace (/home/folder1/folder2/memdump)
                      PAE type : PAE
                           DTB : 0x2ce000L
                          KDBG : 0x80545ae0L
          Number of Processors : 1
     Image Type (Service Pack) : 3
                KPCR for CPU 0 : 0xffdff000L
             KUSER_SHARED_DATA : 0xffdf0000L
           Image date and time : 2013-03-17 22:17:12 UTC+0000
     Image local date and time : 2013-03-17 23:17:12 +0100

Si ejecuto

truecryptsummary

Código [Seleccionar]

Registry Version     TrueCrypt Version 7.1a
Process              TrueCrypt.exe at 0x85703ae8 pid 4016
Service              truecrypt state SERVICE_RUNNING
Kernel Module        truecrypt.sys at 0xaa0ac000 - 0xaa0e3000
Symbolic Link        Volume{7ddaae16-7f7f-11e2-b195-002243057110} -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Volume{7ddaae16-7f7f-11e2-b195-002243057110} -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
File Object          \Device\TrueCryptVolumeQ\ at 0x57db528
File Object          \Device\TrueCryptVolumeQ\ at 0x5f76868
Driver               \Driver\truecrypt at 0x6491030 range 0xaa0ac000 - 0xaa0e2b80
Device               TrueCryptVolumeQ at 0x856f37a0 type FILE_DEVICE_DISK
Container            Path: \??\C:\Documents and Settings\Pepe\Mis documentos\Mine
Device               TrueCrypt at 0x85d56030 type FILE_DEVICE_UNKNOWN

truecryptmaster

Código [Seleccionar]


Container: \??\C:\Documents and Settings\Pepe\Mis documentos\Mine
Hidden Volume: No
Removable: No
Read Only: No
Disk Length: 786432 (bytes)
Host Length: 1048576 (bytes)
Encryption Algorithm: AES
Mode: XTS
Master Key

truecryptpassphrase

Nada

MCKSys Argentina · 4 Julio 2019, 22:52 PM

Si lo corres con un IDE, puedes poner un BP cuando va a printear la MasterKey.

Osea, poner un BP en https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L662 y ver desde ahí los valores que obtiene.

Saludos!

banderas20 · 4 Julio 2019, 23:05 PM

Cita de: MCKSys Argentina en 4 Julio 2019, 22:52 PM
Si lo corres con un IDE, puedes poner un BP cuando va a printear la MasterKey.

Osea, poner un BP en https://github.com/botherder/volatility/blob/5eb15741a095c5f0dec9bd771f6c4a63b06137c1/volatility/plugins/tcaudit.py#L662 y ver desde ahí los valores que obtiene.

Saludos!

Disculpa, pero no entiendo a que te refieres con BP ni cómo usar ese .py.

Gracias!

MCKSys Argentina · 5 Julio 2019, 00:23 AM

Me refería a correr el codigo python en un IDE y depurarlo.

BP = BreakPoint.

Saludos!