Я пытаюсь восстановить утерянный пароль зашифрованной файловой системы. Используемое программное обеспечение — CenterTools DriveLock, какая-то старая версия, проприетарная, без документации. Подобно VeraCrypt работает с зашифрованным диском внутри нескольких больших файлов и исполняемого файла. В строках исполняемого файла упоминаются AES/3DES/Blowfish/Twofish/CAST5/SHA-1/RIPEMD/PMC/Serpent/Whirlpool. Так что, вероятно, AES
Запуск binwalk для первого зашифрованного файла дал закрытый ключ:
1164 0x48C Private key in DER format (PKCS header length: 4, sequence length: 329
Необработанный файл(В кодировке Base64):
MIIBSQIBADGB5jCB4wIBADBMMDgxNjA0BgNVBAMTLURyaXZlTG9jayBDb250YWluZXItYmFzZWQg RW5jcnlwdGlvbiBSZWNvdmVyeQIQJ4WOaLFnRpJI18AOLBgV8jANBgkqhkiG9w0BAQEFAASBgIXT KLIzEFfYpfnouNEZndIGVWZRsumstx2RxBSUxwFei9deaeljlb9rhxBL07AQsmSK1+bjmq5XSOR+ SDBx1YFUdYYX08xQl5prQbEclHrrEgvOMlJDrHLuDwErkymHuIzMyBNX0yhbndeW0HepC+swtcCI bTM9hLAugEkApONLMFsGCSqGSIb3DQEHATAMBggqhkiG9w0DBAUAgEAjCk9WujyWarnk2c3/8U1u Euq6yIlEVN/c2NwIGYBNLTBC+mrsw7wX465zvXi4cpLsWTbpR8Sg5Vino3wUlUhe
openssl asn1parse -inform DER -in der_private_key
0:d=0 hl=4 l= 329 минусы: ПОСЛЕДОВАТЕЛЬНОСТЬ
4:d=1 hl=2 l= 1 prim: INTEGER :00
7:d=1 hl=3 l= 230 минус: SET
10:d=2 hl=3 l= 227 минусы: ПОСЛЕДОВАТЕЛЬНОСТЬ
13:d=3 hl=2 l= 1 prim: INTEGER :00
16:d=3 hl=2 l= 76 минусы: ПОСЛЕДОВАТЕЛЬНОСТЬ
18:d=4 hl=2 l= 56 минусы: ПОСЛЕДОВАТЕЛЬНОСТЬ
20:d=5 hl=2 l= 54 минус: SET
22:d=6 hl=2 l= 52 минус: ПОСЛЕДОВАТЕЛЬНОСТЬ
24:d=7 hl=2 l= 3 prim: ОБЪЕКТ :commonName
29:d=7 hl=2 l= 45 prim: PRINTABLESTRING : Восстановление шифрования на основе контейнера DriveLock
76:d=4 hl=2 l= 16 prim: INTEGER :27858E68B167469248D7C00E2C1815F2
94:d=3 hl=2 l= 13 минусы: ПОСЛЕДОВАТЕЛЬНОСТЬ
96:d=4 hl=2 l= 9 prim: ОБЪЕКТ :rsaEncryption
107:d=4 hl=2 l= 0 первичный: NULL
109:d=3 hl=3 l= 128 prim: ОКТЕТНАЯ СТРОКА [HEX ДАМП]:85D328B2331057D8A5F9E8B8D1199DD206556651B2E9ACB71D91C41494C7015E8BD75E69E96395BF6B87104BD3B010B2648AD7E6E39AAE5748E47E483071D58154758617D3CC50979A6B41B102947AEB120BCE325243AC72EE0F012B932987B88CCCC81357D3285B9DD796D077A90BEB30B5C0886D333D84B02E804900A4E34B
240:d=1 hl=2 l= 91 минус: ПОСЛЕДОВАТЕЛЬНОСТЬ
242:d=2 hl=2 l= 9 prim: ОБЪЕКТ :pkcs7-data
253:d=2 hl=2 l= 12 минус: ПОСЛЕДОВАТЕЛЬНОСТЬ
255:d=3 hl=2 l= 8 первичный: ОБЪЕКТ :rc4
265:d=3 hl=2 l= 0 первичный: NULL
267:d=2 hl=2 l= 64 первичный: продолжение [ 0 ]
наверное сертификат для шифрования?
Как мне преобразовать его для использования в атаке по списку слов с помощью crackpkcs12 или аналогичного?
решение1
Этот файл выглядит как PKCS#7 (CMS, S/MIME) EnvelopedData. Он не имеет закрытого ключа сертификата; он имеет некоторые данные (вероятно, симметричный ключ файла)зашифровано с помощьюсертификат (по сути, это похоже на файл, зашифрованный с помощью PGP).
(Я думаю, binwalk перепутал его с зашифрованным закрытым ключом PKCS#8, поскольку они оба являются файлами ASN.1 DER, но фактическое содержимое совсем не похоже на PKCS#8.)
Пароли не участвуют в шифровании этого файла, поэтому нет списков слов. Они помогут только если вы нашли фактический закрытый ключ, который соответствует этому сертификату "DriveLock Container-based Encryption Recovery".