메모리 덤프에서 Luks 암호화 크래킹

tag-icon tag-icon linux lvm encryption disk luks
메모리 덤프에서 Luks 암호화 크래킹

LUKS 암호화 비밀번호를 분실했는데 메모리 덤프에서 디스크를 복구할 수 있는 방법이 있다는 것을 알고 다음 게시물을 사용했습니다.서브해시 SN

덤프에서 키를 추출하기 위해 findaes를 사용합니다.

Searching snapshot.raw
Found AES-128 key schedule at offset 0x2ab8b02b:
99 d4 7b 6a d0 44 9a 51 cc bf 5d f1 3c f7 12 0f
Found AES-128 key schedule at offset 0x2d456d0d:
de 84 11 39 06 a1 de 36 66 72 55 38 31 d2 84 13
Found AES-256 key schedule at offset 0x330716ff:
79 8a 00 0f 0c 17 9e b8 97 4e 91 92 5b c3 ae ac 2c 8f bf 8d 67 98 60 03 f5 0b e6 11 cc 77 60 d4
Found AES-256 key schedule at offset 0x33071eff:
72 98 38 ae c8 d5 89 5e b0 7a 57 75 74 ec 6f 9e 5b 4d 30 c1 cb fd 51 59 1f 93 a1 30 92 1f 24 8d

SystemRescueCD를 사용하고 디스크를 마운트하면 출력은 다음과 같습니다 fdisk -l.

Disk /dev/sda: 100 GiB, 107374182400 bytes, 209715200 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x0cf378c8

Device     Boot   Start       End   Sectors  Size Id Type
/dev/sda1  *       2048    999423    997376  487M 83 Linux
/dev/sda2       1001470 209713151 208711682 99.5G  5 Extended
/dev/sda5       1001472 209713151 208711680 99.5G 83 Linux

다음 단계는 암호화된 파티션의 크기를 찾는 것입니다 /dev/sda5.

blockdev --getsz /dev/sda5
208711680

다음 단계는 파티션을 잠금 해제하고 해독하는 것입니다.

echo "0 <size> crypt aes-xts-plain64 <key> 0 </dev/drive> 4096" | sudo dmsetup create luks-volume

나는 그것을 다음과 같이 사용합니다 :

echo "0 208711680 crypt aes-xts-plain64 798a000f0c179eb8974e91925bc3aeac2c8fbf8d67986003f50be611cc7760d4729838aec8d5895eb07a577574ec6f9e5b4d30c1cbfd51591f93a130921f248d 0 /dev/sda5 4096" | dmestup create luks-volume.

오류나 경고가 표시되지 않습니다. 하지만 LVM을 사용하면 lsblk파티션을 볼 수 없습니다.

Disk /dev/sda: 100 GiB, 107374182400 bytes, 209715200 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x0cf378c8

Device     Boot   Start       End   Sectors  Size Id Type
/dev/sda1  *       2048    999423    997376  487M 83 Linux
/dev/sda2       1001470 209713151 208711682 99.5G  5 Extended
/dev/sda5       1001472 209713151 208711680 99.5G 83 Linux


Disk /dev/mapper/luks-volume: 99.5 GiB, 106843602944 bytes, 208678912 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

내가 무엇을 놓치고 있나요?

관련 정보