Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› Disk расшифровка диска по USB донглу
Посл.ответ Сообщение

Ранг: 44.3 (посетитель)
Статус: Участник

Создано: 24 февраля 2019 21:43 New!
Цитата · Личное сообщение · #1

Доброго.
Имеется системный диск, с которого грузится Windows 10
Диск пошифрован Secret Disk-ом который по USB донглу при загрузке расшифровывает раздел на лету.
Диск пошифрован не полностью, MBR и бутовый раздел в 500 Мб незашифрованы, всё остальное - криптоданные, включая бут-сектор системного раздела, емкость 320 Гб.
Донгл в наличии, пароль известен, но ничего с системой сделать нельзя, учетная запись не имеет админских прав, нельзя сделать образ системы, требует пароль админа, который не известен.

Вопрос - как получить права админа в системе или расшифровать раздел по известному паролю от донгла?


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 25 февраля 2019 03:38 · Поправил: Gideon Vi New!
Цитата · Личное сообщение · #2

* удалил, речь о админе софта.

Ранг: 244.1 (наставник)
Статус: Участник

Создано: 25 февраля 2019 09:37 New!
Цитата · Личное сообщение · #3

Расшифровать никак - даже если ты узнаешь алгоритм шифрования и напишешь декриптор, без админ прав не получишь прямой доступ к диску.
Если комп никак не защищён физически, то переставь винт в другой комп где есть права, поставь тот же софт и расшифруй.
Других вариантов особо нету - сбросить пароль на учётку админа в пошифрованной системе ты не сможешь.

Ранг: 71.2 (постоянный)
Статус: Участник

Создано: 25 февраля 2019 11:30 · Поправил: kunix New!
Цитата · Личное сообщение · #4

Были статьи про атаки на различные шифровалки дисков типа TrueCrypt через внедреж трояна в MBR.
Троян из MBR мигрирует в основную систему и делает дело.

Ранг: 370.2 (мудрец)
Статус: Участник

Создано: 25 февраля 2019 15:01 · Поправил: ntldr New!
Цитата · Личное сообщение · #5

YURETZS пишет:
как получить права админа в системе

Через любой local root эксплоит из metasploit framework, если система не обновляется. Можно вставить карту IEEE1394 и через этот порт получить доступ к физической памяти.

YURETZS пишет:
расшифровать раздел

Получаем права админа и делаем дамп partition device в расшифрованном виде.

cppasm пишет:
Если комп никак не защищён физически, то переставь винт в другой комп где есть права, поставь тот же софт и расшифруй.

+1
Первым делом снять полную копию диска, а после разберёмся... Например можно примонтировать её в виртуалку, запущенной виртуалке поправить память и получить админа на guest OS.

Ранг: 44.3 (посетитель)
Статус: Участник

Создано: 25 февраля 2019 22:43 New!
Цитата · Личное сообщение · #6

Ok, ищу диск для дампа, завиртуалить не проблема, главное чтобы донгл пробросился, хотя софт Secret Disk-а (досовская оболочка) возможно вшит в UEFI бука, тогда будет сложнее.

Ранг: 370.2 (мудрец)
Статус: Участник

Создано: 25 февраля 2019 22:53 · Поправил: ntldr New!
Цитата · Личное сообщение · #7

Полный дамп памяти делается через IEEE1394. И он обязательно содержит ключевое расписание к применяемым к диску алгоритмам шифрования. В самом тяжком случае можно разреверсить софт и написать тулзу для поиска ключей и расшифровки дампа. Но куда проще снять дамп с работающей системы.

Получить админа можно записью в физическую память через IEEE1394. Ищем там сигнатуру функции ядра SeAccessCheck и патчим на xor eax, eax /inc eax/ ret, это вырубает всю систему безопасности на корню, делай всё что хош с любой учётки.

Ранг: 44.3 (посетитель)
Статус: Участник

Создано: 25 февраля 2019 23:31 New!
Цитата · Личное сообщение · #8

ntldr
Осталось придумать, как в современный бук воткнуть 1394 ...

Ранг: 370.2 (мудрец)
Статус: Участник

Создано: 25 февраля 2019 23:35 · Поправил: ntldr New!
Цитата · Личное сообщение · #9

PCMCIA слоты расширения есть? Ещё внутренний радиомодуль обычно подключается через PCI-X, должны существовать переходники с такого ушербного PCI-X слота на PC карту, поищи у китайцев на алиекспрессе.

И вообще - первым делом опробуй метасплоит. Может там незапатчена подходящая уязвимость.

Ранг: 251.0 (наставник)
Статус: Участник

Создано: 26 февраля 2019 07:53 New!
Цитата · Личное сообщение · #10

YURETZS пишет:
в современный бук воткнуть 1394

А снять жесткий с бука нельзя?

Ранг: 44.3 (посетитель)
Статус: Участник

Создано: 1 марта 2019 18:04 New!
Цитата · Личное сообщение · #11

TryAga1n
Можно, есть возможность сделать копию, но я не уверен, что воткнув в новое железо система запустится.

Ранг: 244.1 (наставник)
Статус: Участник

Создано: 1 марта 2019 19:12 New!
Цитата · Личное сообщение · #12

Зачем тебе запускать систему с этого винта, если есть ключ и знаешь пароль?
Поставь в рабочую систему вторым винтом, поставь этот софт (желательно той же версии), воткни ключ и расшифруй.
 eXeL@B —› Вопросы новичков —› Disk расшифровка диска по USB донглу

Видеокурс ВЗЛОМ