Ho una macchina osx 10.9 con una partizione utente cifrata di File Vault1. Vorrei rimuovere la crittografia, ma non ricordo la "chiave master", che è l'unico modo per rimuovere la crittografia al volo senza reinstallare tutto.
Inoltre ho
- accesso fisico
- utente e password di root uguali (ma non masterkey diverso)
- dump della memoria mentre la macchina era in esecuzione e il file system montato e leggibile (formato ELF RAW e MACH, ciascuno di circa 5gigabyte)
Quello che ho cercato di ottenere la password:
-
Con decryptor del disco per cercare automaticamente le chiavi. Il risultato sembra un elenco:
Algorithm: 'PGP' Volume Master Key (AES-256) Key data (hex): 6f757268617264776f726b62797468657365776f72647367756172646564706c
Quando l'ho convertito, ho ottenuto:
ourhardworkbythesewordsguardedpl
Quale non è la password, ma una stringa di fakesmc.kext. Esistono anche altri valori esadecimali, ma non leggibili dall'uomo se li converto da esadecimale a testo usando hex2text -
Ho provato ciò che è inteso per filefault2 ricerca stringa leggibile dall'uomo
stringhe memdump_0x100000-0x100000000.bin | grep --after-context = 5 AuthorityRequestType | grep --after-context = 1 password | sed "s / ^ '// g"
Ma non mi restituisce nulla. Se rimuovo o modifico alcuni argomenti di grep mi restituisce un mucchio di stringhe di buchi, ma non so nemmeno cosa e dove guardare o come sia la struttura.
-
Guardati indietro nel backtrack / kali ma non riuscivo a capire come avrei dovuto avvicinarmi al passaggio finale.
Come posso estrarre la chiave master? Dovrebbe essere ancora più semplice perché la sua unica versione 1, ma nulla - sembra ancora più complessa, quindi qualsiasi aiuto è molto apprezzato =)