А если на обычной включить в биосе тест памяти при загрузке. Он ведь не сохраняет состояние.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья Анализ дампа оперативной памяти
- Автор темы defaultuser0
- Дата начала
-
- Теги
- soc white hat анализ дампа
Думаю что стандарта нет на этот счет так что тест с одной мамки и даже с одной версии ее биоса ничго не даст для понимания как это на остальных. На одной и моих старых материнок чистило, давно проверял когда буткит писал.не проверял, у меня это везде Quick или Disabled.
попробуй и отпиши
Говорю же, тут рандом 50/50, никто не ведет статистику. Кто прям переживает доставайте аккум из ноута и после выключения выдергивайте питание шнуром, тогда 100% будет чиститься ОЗУ, но во всех остальных случаях аккум может продолжить питать ОЗУ, и та будет хранить инфу. ед. что еще не помню, важно и метод перезагрузки, при котором сохраняется ОЗУ - но это больше нужно криминалистам, вам для защиты от этого все что нужно это описано выше.
Хочу немного позанудствовать, но строго по делу. В ex-USSR всё черезвычайно смешалось и перемешалось. Криманализ это одно, кримфорензика это чуть иное, "криминалист" это вообще другое, технический эксперт третье. Проблема в том, что это идёт скопом и преподается в академиях МВД и не только. Это следует разграничить, как минимум потому что это мировая практика и СССР более нет.
Криминалист это независимый технический эксперт, которого аттестируют, даже если эта сука стоит на лестничной клетке покуривая iqos с операми и следователем и он в должности эксперта некоего органа, он в любом случае независимое лицо и только. Должен быть таким, хотя это утопия и именно поэтому стоило бы разграничивать.
Далее. То, что вы описываете получение неких сведений незаконно не может быть использовано в качестве доказательств, кроме особенных случаев, которые мы не будем рассматривать.
В идеале криминалисты должны быть независимы, те эксперты любой из судебных экспертиз, которые куда-то ушли, я бы лишал их возможности в будущем аттестации на независимую судебную экспертизу, это хуевая практика и хуевые уже люди. Я знаю о чем говорю, если бы не война как минимум парой из этой кодлы лично бы занялся. ))
Для этого не требуются такие чемоданчики и ультра-дорогое ПО.
Давайте не будем накидывать на вентилятор лепестки цветов. Дамп снимается, пароли возможны к прочтению в большинстве случаев и дефолтовых ситуацией без этой х#йни. Для этого, мой друг, достаточно ебнуть тумблер на щитке, всё блядь, полдела сделано. В ситуации где мы знаем что нет бесперебойника, аккума и лицо не сможет быть автономно. Вот и всё.
Последнее редактирование:
- Автор темы
- Добавить закладку
- #26
Я имел ввиду Энтерпрайз версию которая покупается ибшными контормаи + это не полный гайд по форензике, я прост описал как работает СОК чаще всего в таких моментах, чисто из личного опыта инцидент респонса. Конечно если ты идешь на киберкриминалиста то это слишком сырая инфа, но будем объективны таких людей тут единицы.
Начиная с версии Veracrypt 1.24 можно шифровать ключи в ОЗУ. По умолчанию опция отключена.
Чтобы включить, заходим Настройки > Быстродействие и настройки драйвера > Шифровать ключи и пароли в ОЗУ
В свое время тестил отечественный софт Forensic disk decryptor, делал дамп и пробовал извлечь ключи.
Извлекло ключи только тогда, когда том был смонтирован
Ставил галку шифровать ключи в ОЗУ и при этом том был смонтирован - пусто
Чтобы включить, заходим Настройки > Быстродействие и настройки драйвера > Шифровать ключи и пароли в ОЗУ
В свое время тестил отечественный софт Forensic disk decryptor, делал дамп и пробовал извлечь ключи.
Извлекло ключи только тогда, когда том был смонтирован
Ставил галку шифровать ключи в ОЗУ и при этом том был смонтирован - пусто
Тут ед. что могу посоветовать попробовать флагманские решение от ElcomSoft, мало вериться что получится в ОЗУ скрыть ключи. У них есть софт, как раз для анализа дампа ОЗУ, настолько простой что указываешь в одном месте криптоконтейнер, во втором путь на дамп ОЗУ и на выходе у тебя монтируется криптоконтейнер.
Есть конечно исключение, к примеру когда я еще был по другую сторону барикады, ElcomSoft не мог ничего сделать LUKS, даже имея дамп ОЗУ, но это лишь камень в сторону ElcomSoft и не значит что не получилось примонтировать LUKS))
видимо, это было очень давно, с 21го года у них всё намного лучше. а LUKS вообще в большинстве дистрибутивов неправильно настраивается, в первую очередь из-за того, что GRUB не умеет в Argon2id
21-м пробовал, тогда еще плевался на ElcomSoft, за то что берут овердохера за свое добро, но при этим распространённый LUKS с коробки взять не могут. Не помню с чем именно возникла проблема, или ключ в ОЗУ не мог найти или смонтировать не мог с имеющимся ключом, но 100% помню что по итогу бесплатным решением воспользовался, но каким именно уже не помню.
Под линукс есть неплохая связка Volatility+MKDecrypt
Volatility извлекаем ключи из дампа, MKDecrypt с помощью извлеченного ключа расшифровываем контейнер
В Elcomsoft насколько знаю, не так давно добавили поддержку для дисков LUKS2.
Но там идет только извлечение метаданных для дальнейшего перебора пароля
Volatility извлекаем ключи из дампа, MKDecrypt с помощью извлеченного ключа расшифровываем контейнер
В Elcomsoft насколько знаю, не так давно добавили поддержку для дисков LUKS2.
Но там идет только извлечение метаданных для дальнейшего перебора пароля
если есть дамп памяти, то ничего перебирать не надо, достаточно найти в дампе очень рандомные строки, похожие на ключи.
вот моя статья по теме: https://xss.pro/threads/98554/
я даже не пробовал такой серьёзный софт как Volatility и MKDecrypt, делал всё с помощью отвёртки, скотча и такой-то матери
а серьёзный софт типа вышеуказанного или от Elcomsoft точно сделает это всё лучше - и ключ найдёт, и расшифрует.
Можно, если закинуть его на зашифрованный раздел, например, системный в винде, где он по умолчанию и располагается.
DDR5 вроде из коробки шифруется.
что какбэ намекает на то что юзера тинкапдов будут оттраханы по сторонним каналам - для тех кто не понял о чем уважаймый пират вещал.
зы - меряя температурку, частоты и напряжение - любая даже military grade крипта дешится на раз. и нет вы не найдете в паблике готового решения
also - не знаю насчет отвертки и скотча бро, они вещи конечно безценные - но вот в памяти обьемчиком в 256гб (а бывало и 1Тб дампил -
спросите как? - не спрашивайте - тот еще секс - в рантайме куски дампа шипать на материнский корабль приходиться -
дак вот короче поиск нужного в дампах рам порой очень и очень не-легкая задача.
зы2 - если вы чувствуете что способны писать плагины для волатили - велком в пм. цены выше рынка обещаю. гарант и все дела.
ой бля... подтвержадаю. ВТ пиздобол каких мало. нынче кажеться любой драйвер не засвеченый на loldrivers - по мнению ВТ - не палиться - поверьте это не так
to Stupor
>> Кстати они используют естественно ВСЕ свой драйвер, установку драйверов можно запретить для начала.
ой я тебя умоляю если мапиш неподписаный драйвер в память - то думаешь челы что писали целебрайта и подобные им так не могут?
драйвер будет в рам и доступен софту в рантайме - исходи из этого и надо бы по-хитрее как-то не дефолтными средствами и методами
бороть такое. к примеру скан памяти раз в 30 сек и бсод с предварительным засиранием рам или еще что. вопрос отнюдь не тривиальный.
Последнее редактирование:
Мы следим больше за качеством отстука и его показателями, не шифрование этих данных не как не вредит нашему продукту.
В данный момент у нашего продукта достаточно высокие показатели отстука, которые доходят до 90+ процентов после запуска в системе, при хорошем крипте.
Есть товарищ, который криптует и отстук у него 98%
Нормально наш кодер получает и работает с нами с 2018 года и как видите, мы единственный софт, который работает столь продолжительное время и имеет хорошую популярность.
Наш продукт достаточно качественный, возьмите подписку и попробуйте его в боевых условиях.