Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > První verze BitColdKit je na světě
říjen 16
První verze BitColdKit je na světě

Uf, tak jsem konečně uvedl do zveřejnitelného stavu svůj nový BitColdKit, tedy nástroje na forensní analýzu BitLocker zašifrovaných médií. Nic podobného na internetu nenajdete, možná nějaké linuxové mountování, nebo placený dešifrovač RAW obrazu disku.

Můj software bude mnohem komplexnější a už teď nabízí následující funkce, včetně plného zdrojového kódu v kombinaci PowerShell a C#. Zdroják obsahuje formáty key package souborů, napsal jsem si vlastní AES a úplně špičkový deklarativní popisovač dynamických paměťových bufferů s validací pro C# a čtečku VHD. Celkově to umí toto:

  • export key package souborů a 48 ciferných hesel (48 digit recovery password) a BEK souborů z běžícího systému (obdoba toho, co je součástí mého volatile forensics)
  • export key package souborů a 48 ciferných hesel (48 digit recovery password) z Active Directory online (msFVE-RecoveryPassword a msFVE-KeyPackage)
  • dešifrování key package vyexportovaných souborů a získní FVEK a VMK v čisté formě a dalších forensních informací
  • vyhledávání textových a binárních řetězců přímo v paměti běžících procesů, případně v souborech a memory dumpech
  • vyhledávání AES klíčů (a to i poškozených) přímo v paměti běžících procesů, případně v souborech a memory dumpech
  • čtení sektorů z offline VHD souborů
  • generování souborů, které zacpávají disk, aby bylo něco vidět
  • sežrání RAM paměti a její vyplnění požadovaným textem
  • rekonstrukce poškozených AES klíčů

V plánu zůstává dopsat čtení VHDX souborů a RAW imidž disků a následně jejich dešifrování. Uf. Zůstaňte naladěni :-)

Comments

There are no comments for this post.

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments