• Volatility. Encontrar datos de un proceso (TrueCrypt)

  • Plantea tus dudas sobre malware a los compañeros del foro.
Plantea tus dudas sobre malware a los compañeros del foro.
 #494890  por banderas20
 04 Jul 2019, 18:29
Buenas.

Tengo un volcado de memoria de una máquina Windows y estoy analizándola con Volatility.

La máquina tenía un volumen cifrado con TrueCrypt, y éste estaba en ejecución en el momento del volcado.

Quiero encontrar la clave de cifrado. He probado con los comandos

volatility truecryptmaster
volatility truecryptsummary
volatility truecryptpassphrase

Los dos primeros me muestran resultados, pero el último (el que me da la clave) no me arroja ningún resultado.

Si está el proceso en ejecución, la clave debe estar en memoria ¿Cómo puedo encontrarla?

Gracias!
 #494896  por Balloffet
 06 Jul 2019, 14:34
Si, la clave debería estar en memoria física si el volumen estaba montado, porque TrueCrypt no guarda contraseñas en memoria paginada. Si el volumen estaba cifrado por defecto (AES/XTS), deberías probar AESKeyFinder ([ Debe registrarse para ver este enlace ]) sobre la imagen que dumpeaste. Entiendo que otros algoritmos requieren un análisis más exhaustivo.
 #494900  por banderas20
 06 Jul 2019, 15:46
Hola.


Antes de nada, muchas gracias por responder.


Sí. Está cifrado con XTS.


TrueCrypt summary me dice esto:


Registry Version    TrueCrypt Version 7.1a
Process              TrueCrypt.exe at 0x85703ae8 pid 4016
Service              truecrypt state SERVICE_RUNNING
Kernel Module        truecrypt.sys at 0xaa0ac000 - 0xaa0e3000
Symbolic Link        Volume{7ddaae16-7f7f-11e2-b195-002243057110} -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Volume{7ddaae16-7f7f-11e2-b195-002243057110} -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
Symbolic Link        Q: -> \Device\TrueCryptVolumeQ mounted 2013-02-25 21:30:24 UTC+0000
File Object          \Device\TrueCryptVolumeQ\ at 0x57db528
File Object          \Device\TrueCryptVolumeQ\ at 0x5f76868
Driver              \Driver\truecrypt at 0x6491030 range 0xaa0ac000 - 0xaa0e2b80
Device              TrueCryptVolumeQ at 0x856f37a0 type FILE_DEVICE_DISK
Container            Path: \??\C:\Documents and Settings\alberto\Mis documentos\fichero
Device              TrueCrypt at 0x85d56030 type FILE_DEVICE_UNKNOWN

truecryptmaster, esto:

Hidden Volume: No
Removable: No
Read Only: No
Disk Length: 786432 (bytes)
Host Length: 1048576 (bytes)
Encryption Algorithm: AES
Mode: XTS
Master Key

Y el resultado de aeskeyfind, lo siguiente

25eb8884034c1f4f5acba47a0b98caaeede6dbf1beca68045250469d3f889252
04e1afe7b6434ac1f0b73bcf6893f97867aa3ea79df231760a4331b6afb3399d
000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f
affd67a85f33c38e95a4d6ca39b97578
74c49a8db21d10bc39c71178cb55c4dd
affd67a85f33c38e95a4d6ca39b97578
affd67a85f33c38e95a4d6ca39b97578
5825e3d30e5e6977f7e6e9890820cacfb9aa0574b6daa7b062c162d49bc955ab
74c49a8db21d10bc39c71178cb55c4dd
74c49a8db21d10bc39c71178cb55c4dd
affd67a85f33c38e95a4d6ca39b97578
000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f
000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f
000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f
000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f
000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f
5825e3d30e5e6977f7e6e9890820cacfb9aa0574b6daa7b062c162d49bc955ab
000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f
affd67a85f33c38e95a4d6ca39b97578
74c49a8db21d10bc39c71178cb55c4dd
Keyfind progress: 100%


¿Son las claves en hexa, o cómo se interpreta?

Gracias mil!