Comments 11
Предвидя возмущения со стороны некоторых читателей по вопросу использования не актуального ПО
В чём заключается неактуальность TC? Насколько знаю, он до сих пор более чем надёжен и не имеет выявленных уязвимостей, даже имеет ряд преимуществ над VС, а описанное в теме и "исправленное в VC" - это всё относится к выполнению на хост машине, т.е. если система не скомпрометирована или посторонний не сможет получить доступ к включенном компьютеру - то это нивелирует все выявленные недостатки.
Учитывая туманную историю, на которой закончился TC, я бы доверял ему больше, чем "преемнику".
Ну а против физического доступа к компьютеру ни один "-крипт" стопроцентно не поможет, только увеличит шансы.
Как раз преемник трукрипта - веракрипт - вполне надёжен, и проходил аудит несколько раз. Трукрипт был проверен однократно, после чего стал считаться небезопасным, именно из-за туманной истории с исчезновением разработчиков и их странными заявлениями.
Ну и конечно, для работы с тс- контейнерами есть несколько сторонних программ, не столь удобных, но открывающих контейнеры.
В итоге не понятно, насколько сильно помог этот самый дамп памяти. Логичней было задать более сложный пароль, который не подбирается за минуту по словарю и посмотреть, как поможет анализ дампа.
Простите, но я не очень понял - вы сняли дамп памяти с примонтированным образом? А что мешало зайти на сам криптоконтейнер и скопировать файлы? Зачем дамп памяти то снимать, если файлы доступны?
Лучше расскажите, как вскрыть криптоконтейнер, с дампом памяти, когда он не смонтирован? Ну, сразу после загрузки снимаете дамп памяти, не запуская перед этим трукрипт. Пароль от контейнера тоже в памяти будет? Или ещё лучше - как снять дамп памяти с выключенного разобранного компьютера, какой программой? Какие команды вписывать и куда, в соседний компьютер, наверное?
Просто то что вы сказали - это как подбирать код к уже открытому сейфу, чтобы вытащить из него деньги. Зачем?
дамп может получиться случайно, например при падении windows
Лучше расскажите, как вскрыть криптоконтейнер, с дампом памяти, когда он не смонтирован? Ну, сразу после загрузки снимаете дамп памяти, не запуская перед этим трукрипт.
Типичный сценарий работы Трукрипта такой: в дверь вежливо стучат тараном и видят компьютер, который только что выключился, перегрузился или спрашивает пароль для входа. Где-то в памяти при этом могут остаться искомые ключи.
И нет, содержимое динамической памяти не исчезает моментально при выключении питания, даже при комнатной температуре.
Погодите, вы хотите сказать, что после перезагрузки компьютера - в оперативной памяти остаются доступные средствами операционной системы данные с прошлого сеанса? Быть того не может, перезагрузка обнуляет память в самом начале работы.
То, что вы говорите - снятие данных с памяти - возможно опосредовано - за 10 минут вытащить плашки памяти, подключить их к считавающему устройству, а если его с собой нет - то залить жидким азотом. В теории возможно, на практике - скорее нет, для этого надо заранее знать что на компе был открытый криптоконтейнер и компьютер не успели перезагрузить, а только выключили (впрочем можно отрубить электричество).
Вот кстати насчёт случайного дампа системы или работы файла подкачки - это было бы любопытно и актуально, статью была бы намного интересней, рассмотреть разные варианты операционных систем, разные варианты настроек ос для создания служебных дампов. А так - вообще ни о чем, впрочем пример с брутфорсом пароля "password" - ещё смешнее
Если есть исходный код программы, конечно можно пошагав дебагером узнать, что почем, написать "десериализатор" дампа и достать пароль, НО если исходного кода нет, найти с помощью реверс инженеринга какие там происходят преобразования, какой алгоритм шифрования пароля используется еще разгадать дополнительные трюки сокрытия пароля в памяти(вариант два есть известная уязвимость шифровальщика)....ну хз, наверно такое только в фильмах. Считаю любой нормальный "хакер" имея полный доступ к хосту не будет заниматься всей этой ерундой с дампами, а просто поставит "кейлогер" и возьмет пароль.
Вскрытие криптоконтейнера через дамп оперативной памяти