Вы знаете реальные случаи вскрытия Veracrypt? вскрывали при обысках, аналитики, у друзей, сами вскрывали забытый том итд?
буду благодарен за реальные кейсы
буду благодарен за реальные кейсы
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Случаи вскрытия Veracrypt
- Автор темы lukas
- Дата начала
Когда дело доходит ло вскрытия криптованного тома, то дело труба.
Найдут кучу интересной инфы и без вскрытия тома, а не найдут, так подкинут.
Найдут кучу интересной инфы и без вскрытия тома, а не найдут, так подкинут.
Возможность есть вскрыть.
Особенно сейчас с современными мощностями.
Да и вообще если комп не успел выключить то имеются инструменты которые делают дамп оперативной памяти.
А там как раз пароль от диска в открытом виде который потом вытаскивают и на этом финиш.
И к стати этот хеш не самый медленный. Его вполне можно искать на мощном железе, хоть и придётся перебирать почти все
-m
Ведь даже сам комп не знает в какой метод его зашифровал, и при вводе пароля проверяет всё подряд...
Ниже файлик с хешем. Если есть желание можете попробовать.
Это бенч rtx 4090
* Hash-Mode 13711 (VeraCrypt RIPEMD160 + XTS 512 bit (legacy)) [Iterations: 655330]
-----------------------------------------------------------------------------------
Speed.#1.........: 6622 H/s (30.12ms) @ Accel:256 Loops:1000 Thr:1024 Vec:1
------------------------------------------------------------------------------------
* Hash-Mode 13712 (VeraCrypt RIPEMD160 + XTS 1024 bit (legacy)) [Iterations: 655330]
------------------------------------------------------------------------------------
Speed.#1.........: 3786 H/s (26.33ms) @ Accel:256 Loops:500 Thr:1024 Vec:1
------------------------------------------------------------------------------------
* Hash-Mode 13713 (VeraCrypt RIPEMD160 + XTS 1536 bit (legacy)) [Iterations: 655330]
------------------------------------------------------------------------------------
Speed.#1.........: 2649 H/s (37.66ms) @ Accel:256 Loops:500 Thr:1024 Vec:1
--------------------------------------------------------------------------------
* Hash-Mode 13721 (VeraCrypt SHA512 + XTS 512 bit (legacy)) [Iterations: 499999]
--------------------------------------------------------------------------------
Speed.#1.........: 6597 H/s (39.65ms) @ Accel:512 Loops:1000 Thr:512 Vec:1
---------------------------------------------------------------------------------
* Hash-Mode 13722 (VeraCrypt SHA512 + XTS 1024 bit (legacy)) [Iterations: 499999]
---------------------------------------------------------------------------------
Speed.#1.........: 3306 H/s (39.57ms) @ Accel:256 Loops:1000 Thr:512 Vec:1
---------------------------------------------------------------------------------
* Hash-Mode 13723 (VeraCrypt SHA512 + XTS 1536 bit (legacy)) [Iterations: 499999]
---------------------------------------------------------------------------------
Speed.#1.........: 2201 H/s (29.68ms) @ Accel:256 Loops:500 Thr:512 Vec:1
-----------------------------------------------------------------------------------
* Hash-Mode 13731 (VeraCrypt Whirlpool + XTS 512 bit (legacy)) [Iterations: 499999]
-----------------------------------------------------------------------------------
Speed.#1.........: 781 H/s (41.84ms) @ Accel:1024 Loops:250 Thr:128 Vec:1
------------------------------------------------------------------------------------
* Hash-Mode 13732 (VeraCrypt Whirlpool + XTS 1024 bit (legacy)) [Iterations: 499999]
------------------------------------------------------------------------------------
Speed.#1.........: 387 H/s (42.19ms) @ Accel:512 Loops:250 Thr:128 Vec:1
------------------------------------------------------------------------------------
* Hash-Mode 13733 (VeraCrypt Whirlpool + XTS 1536 bit (legacy)) [Iterations: 499999]
------------------------------------------------------------------------------------
Speed.#1.........: 257 H/s (31.75ms) @ Accel:128 Loops:250 Thr:256 Vec:1
-----------------------------------------------------------------------------------------------
* Hash-Mode 13741 (VeraCrypt RIPEMD160 + XTS 512 bit + boot-mode (legacy)) [Iterations: 327660]
-----------------------------------------------------------------------------------------------
Speed.#1.........: 13127 H/s (31.10ms) @ Accel:1024 Loops:256 Thr:1024 Vec:1
------------------------------------------------------------------------------------------------
* Hash-Mode 13742 (VeraCrypt RIPEMD160 + XTS 1024 bit + boot-mode (legacy)) [Iterations: 327660]
------------------------------------------------------------------------------------------------
Speed.#1.........: 7528 H/s (27.13ms) @ Accel:256 Loops:512 Thr:1024 Vec:1
------------------------------------------------------------------------------------------------
* Hash-Mode 13743 (VeraCrypt RIPEMD160 + XTS 1536 bit + boot-mode (legacy)) [Iterations: 327660]
------------------------------------------------------------------------------------------------
Speed.#1.........: 5271 H/s (38.76ms) @ Accel:256 Loops:512 Thr:1024 Vec:1
--------------------------------------------------------------------------------
* Hash-Mode 13751 (VeraCrypt SHA256 + XTS 512 bit (legacy)) [Iterations: 499999]
--------------------------------------------------------------------------------
Speed.#1.........: 9060 H/s (28.86ms) @ Accel:512 Loops:1000 Thr:512 Vec:1
---------------------------------------------------------------------------------
* Hash-Mode 13752 (VeraCrypt SHA256 + XTS 1024 bit (legacy)) [Iterations: 499999]
---------------------------------------------------------------------------------
Speed.#1.........: 4557 H/s (28.69ms) @ Accel:256 Loops:1000 Thr:512 Vec:1
---------------------------------------------------------------------------------
* Hash-Mode 13753 (VeraCrypt SHA256 + XTS 1536 bit (legacy)) [Iterations: 499999]
---------------------------------------------------------------------------------
Speed.#1.........: 3044 H/s (42.98ms) @ Accel:256 Loops:1000 Thr:512 Vec:1
--------------------------------------------------------------------------------------------
* Hash-Mode 13761 (VeraCrypt SHA256 + XTS 512 bit + boot-mode (legacy)) [Iterations: 199999]
--------------------------------------------------------------------------------------------
Speed.#1.........: 22728 H/s (29.45ms) @ Accel:512 Loops:1024 Thr:512 Vec:1
---------------------------------------------------------------------------------------------
* Hash-Mode 13762 (VeraCrypt SHA256 + XTS 1024 bit + boot-mode (legacy)) [Iterations: 199999]
---------------------------------------------------------------------------------------------
Speed.#1.........: 11360 H/s (29.45ms) @ Accel:256 Loops:1024 Thr:512 Vec:1
---------------------------------------------------------------------------------------------
* Hash-Mode 13763 (VeraCrypt SHA256 + XTS 1536 bit + boot-mode (legacy)) [Iterations: 199999]
---------------------------------------------------------------------------------------------
Speed.#1.........: 7591 H/s (44.12ms) @ Accel:256 Loops:1024 Thr:512 Vec:1
--------------------------------------------------------------------------------------
* Hash-Mode 13771 (VeraCrypt Streebog-512 + XTS 512 bit (legacy)) [Iterations: 499999]
--------------------------------------------------------------------------------------
Speed.#1.........: 306 H/s (26.65ms) @ Accel:256 Loops:125 Thr:256 Vec:1
---------------------------------------------------------------------------------------
* Hash-Mode 13772 (VeraCrypt Streebog-512 + XTS 1024 bit (legacy)) [Iterations: 499999]
---------------------------------------------------------------------------------------
Speed.#1.........: 153 H/s (26.69ms) @ Accel:128 Loops:125 Thr:256 Vec:1
---------------------------------------------------------------------------------------
* Hash-Mode 13773 (VeraCrypt Streebog-512 + XTS 1536 bit (legacy)) [Iterations: 499999]
---------------------------------------------------------------------------------------
Speed.#1.........: 102 H/s (40.03ms) @ Accel:128 Loops:125 Thr:256 Vec:1
--------------------------------------------------------------------------------------------------
* Hash-Mode 13781 (VeraCrypt Streebog-512 + XTS 512 bit + boot-mode (legacy)) [Iterations: 199999]
--------------------------------------------------------------------------------------------------
Speed.#1.........: 763 H/s (27.39ms) @ Accel:256 Loops:128 Thr:256 Vec:1
---------------------------------------------------------------------------------------------------
* Hash-Mode 13782 (VeraCrypt Streebog-512 + XTS 1024 bit + boot-mode (legacy)) [Iterations: 199999]
---------------------------------------------------------------------------------------------------
Speed.#1.........: 380 H/s (27.47ms) @ Accel:128 Loops:128 Thr:256 Vec:1
---------------------------------------------------------------------------------------------------
* Hash-Mode 13783 (VeraCrypt Streebog-512 + XTS 1536 bit + boot-mode (legacy)) [Iterations: 199999]
---------------------------------------------------------------------------------------------------
Speed.#1.........: 252 H/s (41.49ms) @ Accel:128 Loops:128 Thr:256 Vec:1
Особенно сейчас с современными мощностями.
Да и вообще если комп не успел выключить то имеются инструменты которые делают дамп оперативной памяти.
А там как раз пароль от диска в открытом виде который потом вытаскивают и на этом финиш.
И к стати этот хеш не самый медленный. Его вполне можно искать на мощном железе, хоть и придётся перебирать почти все
-m
Ведь даже сам комп не знает в какой метод его зашифровал, и при вводе пароля проверяет всё подряд...
Ниже файлик с хешем. Если есть желание можете попробовать.
Это бенч rtx 4090
* Hash-Mode 13711 (VeraCrypt RIPEMD160 + XTS 512 bit (legacy)) [Iterations: 655330]
-----------------------------------------------------------------------------------
Speed.#1.........: 6622 H/s (30.12ms) @ Accel:256 Loops:1000 Thr:1024 Vec:1
------------------------------------------------------------------------------------
* Hash-Mode 13712 (VeraCrypt RIPEMD160 + XTS 1024 bit (legacy)) [Iterations: 655330]
------------------------------------------------------------------------------------
Speed.#1.........: 3786 H/s (26.33ms) @ Accel:256 Loops:500 Thr:1024 Vec:1
------------------------------------------------------------------------------------
* Hash-Mode 13713 (VeraCrypt RIPEMD160 + XTS 1536 bit (legacy)) [Iterations: 655330]
------------------------------------------------------------------------------------
Speed.#1.........: 2649 H/s (37.66ms) @ Accel:256 Loops:500 Thr:1024 Vec:1
--------------------------------------------------------------------------------
* Hash-Mode 13721 (VeraCrypt SHA512 + XTS 512 bit (legacy)) [Iterations: 499999]
--------------------------------------------------------------------------------
Speed.#1.........: 6597 H/s (39.65ms) @ Accel:512 Loops:1000 Thr:512 Vec:1
---------------------------------------------------------------------------------
* Hash-Mode 13722 (VeraCrypt SHA512 + XTS 1024 bit (legacy)) [Iterations: 499999]
---------------------------------------------------------------------------------
Speed.#1.........: 3306 H/s (39.57ms) @ Accel:256 Loops:1000 Thr:512 Vec:1
---------------------------------------------------------------------------------
* Hash-Mode 13723 (VeraCrypt SHA512 + XTS 1536 bit (legacy)) [Iterations: 499999]
---------------------------------------------------------------------------------
Speed.#1.........: 2201 H/s (29.68ms) @ Accel:256 Loops:500 Thr:512 Vec:1
-----------------------------------------------------------------------------------
* Hash-Mode 13731 (VeraCrypt Whirlpool + XTS 512 bit (legacy)) [Iterations: 499999]
-----------------------------------------------------------------------------------
Speed.#1.........: 781 H/s (41.84ms) @ Accel:1024 Loops:250 Thr:128 Vec:1
------------------------------------------------------------------------------------
* Hash-Mode 13732 (VeraCrypt Whirlpool + XTS 1024 bit (legacy)) [Iterations: 499999]
------------------------------------------------------------------------------------
Speed.#1.........: 387 H/s (42.19ms) @ Accel:512 Loops:250 Thr:128 Vec:1
------------------------------------------------------------------------------------
* Hash-Mode 13733 (VeraCrypt Whirlpool + XTS 1536 bit (legacy)) [Iterations: 499999]
------------------------------------------------------------------------------------
Speed.#1.........: 257 H/s (31.75ms) @ Accel:128 Loops:250 Thr:256 Vec:1
-----------------------------------------------------------------------------------------------
* Hash-Mode 13741 (VeraCrypt RIPEMD160 + XTS 512 bit + boot-mode (legacy)) [Iterations: 327660]
-----------------------------------------------------------------------------------------------
Speed.#1.........: 13127 H/s (31.10ms) @ Accel:1024 Loops:256 Thr:1024 Vec:1
------------------------------------------------------------------------------------------------
* Hash-Mode 13742 (VeraCrypt RIPEMD160 + XTS 1024 bit + boot-mode (legacy)) [Iterations: 327660]
------------------------------------------------------------------------------------------------
Speed.#1.........: 7528 H/s (27.13ms) @ Accel:256 Loops:512 Thr:1024 Vec:1
------------------------------------------------------------------------------------------------
* Hash-Mode 13743 (VeraCrypt RIPEMD160 + XTS 1536 bit + boot-mode (legacy)) [Iterations: 327660]
------------------------------------------------------------------------------------------------
Speed.#1.........: 5271 H/s (38.76ms) @ Accel:256 Loops:512 Thr:1024 Vec:1
--------------------------------------------------------------------------------
* Hash-Mode 13751 (VeraCrypt SHA256 + XTS 512 bit (legacy)) [Iterations: 499999]
--------------------------------------------------------------------------------
Speed.#1.........: 9060 H/s (28.86ms) @ Accel:512 Loops:1000 Thr:512 Vec:1
---------------------------------------------------------------------------------
* Hash-Mode 13752 (VeraCrypt SHA256 + XTS 1024 bit (legacy)) [Iterations: 499999]
---------------------------------------------------------------------------------
Speed.#1.........: 4557 H/s (28.69ms) @ Accel:256 Loops:1000 Thr:512 Vec:1
---------------------------------------------------------------------------------
* Hash-Mode 13753 (VeraCrypt SHA256 + XTS 1536 bit (legacy)) [Iterations: 499999]
---------------------------------------------------------------------------------
Speed.#1.........: 3044 H/s (42.98ms) @ Accel:256 Loops:1000 Thr:512 Vec:1
--------------------------------------------------------------------------------------------
* Hash-Mode 13761 (VeraCrypt SHA256 + XTS 512 bit + boot-mode (legacy)) [Iterations: 199999]
--------------------------------------------------------------------------------------------
Speed.#1.........: 22728 H/s (29.45ms) @ Accel:512 Loops:1024 Thr:512 Vec:1
---------------------------------------------------------------------------------------------
* Hash-Mode 13762 (VeraCrypt SHA256 + XTS 1024 bit + boot-mode (legacy)) [Iterations: 199999]
---------------------------------------------------------------------------------------------
Speed.#1.........: 11360 H/s (29.45ms) @ Accel:256 Loops:1024 Thr:512 Vec:1
---------------------------------------------------------------------------------------------
* Hash-Mode 13763 (VeraCrypt SHA256 + XTS 1536 bit + boot-mode (legacy)) [Iterations: 199999]
---------------------------------------------------------------------------------------------
Speed.#1.........: 7591 H/s (44.12ms) @ Accel:256 Loops:1024 Thr:512 Vec:1
--------------------------------------------------------------------------------------
* Hash-Mode 13771 (VeraCrypt Streebog-512 + XTS 512 bit (legacy)) [Iterations: 499999]
--------------------------------------------------------------------------------------
Speed.#1.........: 306 H/s (26.65ms) @ Accel:256 Loops:125 Thr:256 Vec:1
---------------------------------------------------------------------------------------
* Hash-Mode 13772 (VeraCrypt Streebog-512 + XTS 1024 bit (legacy)) [Iterations: 499999]
---------------------------------------------------------------------------------------
Speed.#1.........: 153 H/s (26.69ms) @ Accel:128 Loops:125 Thr:256 Vec:1
---------------------------------------------------------------------------------------
* Hash-Mode 13773 (VeraCrypt Streebog-512 + XTS 1536 bit (legacy)) [Iterations: 499999]
---------------------------------------------------------------------------------------
Speed.#1.........: 102 H/s (40.03ms) @ Accel:128 Loops:125 Thr:256 Vec:1
--------------------------------------------------------------------------------------------------
* Hash-Mode 13781 (VeraCrypt Streebog-512 + XTS 512 bit + boot-mode (legacy)) [Iterations: 199999]
--------------------------------------------------------------------------------------------------
Speed.#1.........: 763 H/s (27.39ms) @ Accel:256 Loops:128 Thr:256 Vec:1
---------------------------------------------------------------------------------------------------
* Hash-Mode 13782 (VeraCrypt Streebog-512 + XTS 1024 bit + boot-mode (legacy)) [Iterations: 199999]
---------------------------------------------------------------------------------------------------
Speed.#1.........: 380 H/s (27.47ms) @ Accel:128 Loops:128 Thr:256 Vec:1
---------------------------------------------------------------------------------------------------
* Hash-Mode 13783 (VeraCrypt Streebog-512 + XTS 1536 bit + boot-mode (legacy)) [Iterations: 199999]
---------------------------------------------------------------------------------------------------
Speed.#1.........: 252 H/s (41.49ms) @ Accel:128 Loops:128 Thr:256 Vec:1
а как вскрыть если кейфайл заюзан?
все сами отдавали пароли, например тот же бедби, рассказывает - вообще х#й знает почему я им пароль дал от шифродиска, хотя тогда я подозреваю он юзал даже не верку а труекрипт, давно ведь было.
Последнее редактирование:
Вроде как он и не скрывал что шустро начал кооперировать) Так что дал вполне осознанно
Да, это возможно, и более того, даже возможно видеть изображение человека через радиочастотные волны WIFI! И много другого интересного в современном мире можно увидеть. Только увидеть разве что - в лабораторных условиях.
А человек просит предоставить РЕАЛЬНЫЕ КЕЙСЫ из повседневной жизни. Хотя бы найти реальный пример без разницы в какой стране это было на практике во благо правоохранительным органам.
- Автор темы
- Добавить закладку
- #8
Теме апчек )
вы знаете РЕАЛЬНЫЕ КЕЙСЫ из повседневной жизни вскрытия Veracrypt ?
вы знаете РЕАЛЬНЫЕ КЕЙСЫ из повседневной жизни вскрытия Veracrypt ?
вот вполне реальный кейс:
но если стоит галочка "шифровать ключи в памяти", то дамп памяти (скорее всего) не поможет.
кешировать пароли в памяти драйвера = вот это?
по умолчанию отключено
https://xss.pro/threads/98554/post-683321
На одном из IT-форумов есть статья "Расшифровываем криптоконтейнер TrueCrypt с помощью Volatility и MKDecrypt". Кейсов по расшифровке VeraCrypt пока нет.
а вот это уже отключено по умолчанию (
так вот же он:
правда, это кейс с прямым доступом к оперативной памяти таргета (к виртуалке со стороны гипервизора), но Volatility и MKDecrypt будет работать и с физической оперативой в случае Cold Boot атаки при не выставленной галке "шифровать ключи в памяти"
Ликбез: восстанавливаем доступ к зашифрованным дискам, крипто-контейнерам и скрытым томам
Шифрование диска, раздела или использование зашифрованного виртуального диска – чрезвычайно распространённые способы сокрытия улик. В отличие от шифрования файловой системы, которое часто используется в сетевых хранилищах, шифрование диска позволяет скрыть не только содержимое файлов, но и структуру
blog.elcomsoft.ru
Расшифровка криптоконтейнеров VeraCrypt
VeraCrypt – фактическая замена популярной программе шифрования дисков TrueCrypt и самый распространённый на сегодняшний день криптоконтейнер. В сравнении с TrueCrypt, VeraCrypt предлагает широкий выбор алгоритмов шифрования и хеширования паролей. Как выбранные алгоритмы влияют на безопасность данных
blog.elcomsoft.ru
Вы знаете, у VeraCrypt есть файл справки, всё что касается windows по сути описание различных вариативных сценариев вскрытия veracrypt. Системный раздел без скрытой системы, переносной диск в зашифрованной системе/live CD с настройками логов BIOS/UEFI, описание 98 ошибки, win shellbags, предостережение о NTFS health model и live check и многое другое.
Достаточно изучить это, не так просто выбрать на винде вариант использования, этого никто не читает, это представляется чем-то сложным, или таким на что прямо сейчас нет времени. А потом люди узнают о тройке авторов (как их назвали "всадники апокалипсиса") James/Gladyshev/Zhu и всяких comparative methodology в цифровой криминалистике, книгах об уликах и в formal event reconstruction. Оказывается в файле справки это было, даже ссылки. Подраздел об утечке данных и путях утечки довольно кратко и полно это перечисляется, правда инфа не самая новая, но ее достаточно.
Шифрование памяти дают нагрузку она отжирает 10-15% резерва оперативной памяти, меньше если камень не ноутбучный. Сама-по-себе она не дает ничего, более того, API файла гибернации win начали предоставлять для шифрования после отказа предоставлять таковое API для Win XP. Опять же, нет гарантий утечки и снятия главных ключей. По части возможных утечек и то что само-по-себе это шифрование ничего не даст в файле справки описано. Скрытая система так же, есть возможности о которых не знают, если факт ее наличия принципиален, то нужно это изучить. Потому что зачем контейнер в контейнере делать, когда о нем будут знать что он есть? Это в квадрате масштабирует тебе проблем, насколько я понимаю причины такой матрешки, крайне важно что бы не знали что она есть.
Реальные случаи будут под каждый выбор разных операционных систем. Как это возможно и какие вариации - ей Богу в файле справки всё это описано.
Если вас интересуют случаи, то странно если бы участники следственных действий об этом рассказывали, не важно в какой роли.
Что касается подкинуть что-то, то для чего понятые и видеосъемка события? Должна делаться посекторная копия диска, если на усмотрения эксперта требуется, то пусть дампит образ системы. Так и должно быть, а не иначе. Нет препятствий или причин в большинстве случаев изымать системник, материнку, оперативу, носители информации, таких случаев меньшинство, когда это необходимо, в большинстве случаев не нужно изымать ничего и видеосъемки и протокольного снятия аутентичной копии достаточно. Просто вот именно что разные ситуации и отнятое имущество, иногда вопрос сохранности зашифрованных данных, да и работоспособности имущества так же, всё это рычаг влияния для давления на подозреваемых.
- Автор темы
- Добавить закладку
- #17
Степаныч, ты знаешь реальные кейсы? пришли к человеку, у него накрыт винт Верой. комп выключен, забрали железо, вскрыли Веру
и все равно кто приходил, спецслужбы разных стран мира или просто бандиты
знаешь реальные случаи, поделись )
пиздежа много, реальных случаев ноль, тот же трукрипт ушел непобежденным, если не считать слабость самих алгоритмов шифрования.
Если и были, то только по ошибке самого холдера.
был реальный случай, федералы ломали контейнер еще труекриптовый (хз ломали ли - или тупили) ~2 года с нулевым выхлопом.
здравая идея криптовать и системный раздел в котором хз сколько мусора логов и дт. все exel текст доки в дампах памяти особенно те которые на авто сохранение
и дополнительно контейнер или второй хард уже возможно с ключ файлами
здравая идея криптовать и системный раздел в котором хз сколько мусора логов и дт. все exel текст доки в дампах памяти особенно те которые на авто сохранение
и дополнительно контейнер или второй хард уже возможно с ключ файлами