File Vault 1 password dal dump della memoria

4

Ho una macchina osx 10.9 con una partizione utente cifrata di File Vault1. Vorrei rimuovere la crittografia, ma non ricordo la "chiave master", che è l'unico modo per rimuovere la crittografia al volo senza reinstallare tutto.

Inoltre ho

  • accesso fisico
  • utente e password di root uguali (ma non masterkey diverso)
  • dump della memoria mentre la macchina era in esecuzione e il file system montato e leggibile (formato ELF RAW e MACH, ciascuno di circa 5gigabyte)

Quello che ho cercato di ottenere la password:

  • Con decryptor del disco per cercare automaticamente le chiavi. Il risultato sembra un elenco:

    Algorithm: 'PGP' Volume Master Key (AES-256) Key data (hex): 6f757268617264776f726b62797468657365776f72647367756172646564706c
    Quando l'ho convertito, ho ottenuto:
    ourhardworkbythesewordsguardedpl
    Quale non è la password, ma una stringa di fakesmc.kext. Esistono anche altri valori esadecimali, ma non leggibili dall'uomo se li converto da esadecimale a testo usando hex2text

  • Ho provato ciò che è inteso per filefault2 ricerca stringa leggibile dall'uomo

    stringhe memdump_0x100000-0x100000000.bin | grep --after-context = 5 AuthorityRequestType | grep --after-context = 1 password | sed "s / ^ '// g"

    Ma non mi restituisce nulla. Se rimuovo o modifico alcuni argomenti di grep mi restituisce un mucchio di stringhe di buchi, ma non so nemmeno cosa e dove guardare o come sia la struttura.

  • Guardati indietro nel backtrack / kali ma non riuscivo a capire come avrei dovuto avvicinarmi al passaggio finale.

Come posso estrarre la chiave master? Dovrebbe essere ancora più semplice perché la sua unica versione 1, ma nulla - sembra ancora più complessa, quindi qualsiasi aiuto è molto apprezzato =)

    
posta Stefan 16.03.2014 - 14:58
fonte

1 risposta

1

Sono passati nove giorni senza altre risposte, quindi farò questo povero tentativo. Come nota, i tuoi riferimenti sia alla "chiave principale" che alla "password principale" sono un po 'confusi.

Inizia guardando la mailing list di john-dev su FileVault cracking; in particolare, tale post elenca VileFault che potrebbe essere di qualche utilità per te e Openciphers sembra avere un'implementazione FileVault FPGA se hai un budget.

Inoltre, Jeremiah Grossman ha forse avuto un problema simile.

Peachpit include un articolo che fornisce indicazioni su come reimpostare la password principale assumendo conosci le password di FileVault, se questo ti aiuta.

La chiave di crittografia effettiva dovrebbe essere nella RAM quando puoi decrittografare i file: puoi vedere quali aree di RAM sono accessibili ogni volta che leggi i file?

Infine, presumo semplicemente copiandoli tutti su un'unità esterna e poi su una nuova partizione non è adatto, dato che hai menzionato "l'installazione" di nuovo tutto?

    
risposta data 25.03.2014 - 07:03
fonte

Leggi altre domande sui tag