Per facilitare il lettore, la versione breve:
MacBook Pro che esegue Mountain Lion. Un utente ha dimenticato la sua password FileVault e il codice di ripristino principale. FileVault 2 è non abilitato, solo la directory home dell'utente è crittografata ed esiste come sparsebundle. Vorrei spezzare lo spasebundle ma sto avendo problemi a ottenere l'hash. Tutto ciò che desidero / devo veramente fare è essere in grado di decodificare la cartella utente in modo che i suoi dati possano essere di nuovo accessibili.
A proposito, ho visto da qualche parte che è possibile ripristinare la password di FileVault tramite Apple ID Apple? È vero quando la crittografia a disco intero di FileVault 2 non è abilitata?
La versione lunga:
Si tratta di un Macbook Pro che esegue Mountain Lion in cui l'utente ha cambiato la propria password utente e non riesce a ricordare né la password originale né la password in cui è stata modificata. Tutto ciò che ricordano delle password era che non erano parole vere, poiché erano acronimi della prima lettera di ogni parola in una frase (che non ricorda neanche), in lettere maiuscole e maiuscole e probabilmente contenevano alcuni simboli. Potrebbe essere ovunque da 4 a 9 caratteri. Per riottenere l'accesso al computer, sono stato avviato in modalità utente singolo e mi sono creato un account amministratore, quindi ho utilizzato quell'account per modificare la password di accesso dell'utente originale. Ora, quando l'utente originale si collega con la nuova password, gli viene detto che la sua password di filevault non è la sua password di accesso e che deve inserire la vecchia password prima di poter effettuare il login. Il problema è, naturalmente, che non lo ricorda. No conosce il codice di ripristino del master di filevault.
Ecco cosa penso di conoscere fino ad ora: Sarebbe inutile rompere la password dell'utente, poiché è già nota. Sono ancora un po 'incerto sui portachiavi, ma memorizzano solo la password corrente, corretta? Le password di accesso utente precedenti non vengono memorizzate da nessuna parte, vero?
Parlando di portachiavi, ho sia le chiavi pubbliche e private per il portachiavi master filevault. C'è qualcosa che posso fare con questi per sbloccare il portachiavi master di filevault senza conoscere la password di filevault? O posso in qualche modo usare questi per decodificare lo sparsebundle?
MacBook Pro sta eseguendo OSX Mountain Lion ma non è abilitato il filevault 2, solo la cartella utente è crittografata ed esiste come sparsebundle. Ho cambiato i permessi in modo che potessi accedere allo sparsebundle ... da quello che capisco potrei provare a crackare il keychain master.filevault o lo sparsebundle stesso. Da qualcosa che ho letto, sono portato a credere che l'hash dello Sparsebundle potrebbe non essere salito perché è un Mac aggiornato? Suppongo che ciò significhi perché è stato calcolato in una versione precedente di OSX che non ha saltato gli hash, ma non lo so.
Per quanto riguarda il portachiavi master.filevault, l'hash è in chiaro, circondato da zero, corretto? Non ha molta importanza, suppongo, poiché provare a craccarlo sarebbe probabilmente troppo difficile dato che dovrei solo forzarlo con lettere maiuscole e minuscole, simboli e 4-9 caratteri. Ho un computer forense con schede video 3xATI pronto e in attesa, ma ha detto qualcosa come 320.000 anni. (Domanda a parte: è possibile utilizzare un elenco di dizionari come parole che la password NON sarà? La password qui, se ricordi, era la prima lettera di ogni parola di una frase quindi non è assolutamente una parola inglese o una variante di un.)
Quindi, credo che darò una possibilità di crackare il pacchetto sparseimage; qualcuno può dirmi come ottenere l'hash per questo? È veramente in / private / var / db / shadow sotto il GUID dell'utente? È questo l'hash della password di filevault per l'utente o solo della password di accesso dell'utente? Quello che ho letto non era chiaro su questo punto e le indicazioni su come estrarre l'hash dal file GUID erano un po 'confuse.
Quello che sto chiedendo, suppongo, è se qualcuno può aiutarmi; tutto ciò che desidero / devo veramente fare è essere in grado di decodificare la cartella utente in modo che i suoi dati possano essere nuovamente consultati. Sia sbloccando il portachiavi filevault.master, utilizzando in qualche modo la chiave privata e il certificato del portachiavi filevault.master per concedere l'accesso, crackando la password dell'immagine sparsebundle o qualsiasi altra cosa, non mi interessa. Se sai come posso farcela, sono tutto orecchie.
A proposito, ho visto da qualche parte che puoi avere la reimpostazione della password di filevault tramite il tuo ID Apple? È solo per la crittografia dell'intero disco di filevault 2 o si applica a tutti i file / cartelle codificati con filevault? Funziona solo su Maverick? Mi piacerebbe che tutto ciò fosse vero, dal momento che il suo ID Apple è forse l'UNICA password che ricorda in realtà.
Qualsiasi aiuto sarebbe gradito- grazie in anticipo per la risposta;)