من اخیرا امتحان پزشکی قانونی و نفوذ را امتحان کردم و امیدوار بودم که کسی بتواند توضیح دهد که اطلاعات زیر چگونه است و چگونه می توان آن را برای حملات ضد حمله (هشک) علیه مک بوک ها مورد استفاده قرار داد.
VEK Wrpd "،" KEK Wrpd "،" HMAC "و" PW Key "؟ و آیا می توان آنها را برای تکثیر رمز عبور FileVault استفاده کرد اگر به درستی حدس زده شود؟
برای تخلیه داده ها از apfs-fuse استفاده کردم:
$ ./apfs-fuse -d 16 / dev / sda2 / / path / to / mount
دستگاه / dev / sda2 باز شد اندازه 250790436864 است
شروع LoadKeybag
تمام بلوک ها تأیید شده اند
هدر نوع 6b657973 است
macOS1 دوره رمزگذاری شده است
رمز عبور اشاره: به دنبال نوع کلیدی 3 برای حجم 1342XXXX-XXXX-XXXX-XXXX-XXXXXXXX4251 در m_container_bag
تلاش برای بارگیری کیسه کلیدی از recs_block
شروع LoadKeybag
تمام بلوک ها تأیید شده اند
هدر نوع 72656373 است
رمز عبور: به دنبال کلید 4 برای حجم 1342XXXX-XXXX-XXXX-XXXX-XXXXXXXX4251 در recs_bag
رمز عبور را وارد کنید:
GetVolumeKey: کیوبگ ظرف مخزن.
کلاهبرداری کیبوگ
نسخه: 2
کلید: 2
بایت: e0
کلید 0:
UUID: 1342XXXX-XXXX-XXXX-XXXX-XXXXXXXX4251
نوع: 3 [Keybag Ref]
طول: 10
ناشناخته: 0
بلوک: 7c1f57
تعداد: 1
کلید 1:
UUID: 1342XXXX-XXXX-XXXX-XXXX-XXXXXXXX4251
نوع: 2 [VEK]
طول: 7c
ناشناخته: 0
[Blob Header]
Unk 80: 0
HMAC: 106BXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX9921
نمک: 5493XXXXXXXX1F47
[VEK]
Unk 80: 0
UUID: 1342XXXX-XXXX-XXXX-XXXX-XXXXXXXX4251
Unk 82: 0 1 9e b1
VEK Wrpd: 06391FA9XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX552582F2
GetVolumeKey: به دنبال کلید 3 برای حجم 1342XXXX-XXXX-XXXX-XXXX-XXXXXXXX4251 در m_container_bag
کلیدی یافت شد
اندازه داده ها مطابق با key_extent_t است
تلاش برای بارگیری کیسه کلیدی از recs_block
شروع LoadKeybag
تمام بلوک ها تأیید شده اند
هدر نوع 72656373 است
کیسه کلید کلید با موفقیت بارگذاری شد محتوای انباشته
کباب دمیدن (recs)
نسخه: 2
کلید: 3
بایت: 220
کلید 0:
UUID: 257AXXXX-XXXX-XXXX-XXXX-XXXXXXXX7975
نوع: 3 [KEK]
طول: 94
ناشناخته: 0
[Blob Header]
Unk 80: 0
HMAC: F047XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXF6A8
نمک: 630CXXXXXXXX268
[KEK]
Unk 80: 0
UUID: 257AXXXX-XXXX-XXXX-XXXX-XXXXXXXX7975
Unk 82: 0 2 9e b1
KEK Wrpd: BB7FXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX07F8
Iterat: 100000
نمک: 863CXXXXXXXXXXXXXXXXXXXXXXXX2F51
کلید 1:
UUID: CDF5XXXX-XXXX-XXXX-XXXX-XXXXXXXXE4CA
نوع: 3 [KEK]
طول: 94
ناشناخته: 0
[Blob Header]
Unk 80: 0
HMAC: 5A2AXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXEE8
نمک: BFBFXXXXXXXX5FD6
[KEK]
Unk 80: 0
UUID: CDF5XXXX-XXXX-XXXX-XXXX-XXXXXXXXE4CA
Unk 82: 0 2 9e b1
KEK Wrpd: 43A8XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX0E07
ایترات: 117590
نمک: 8751XXXXXXXXXXXXXXXXXXXXXXXXB0DA
کلید 2:
UUID: EBC6XXXX-XXXX-XXXX-XXXX-XXXXXXXECEC
نوع: 3 [KEK]
طول: 94
ناشناخته: 0
[Blob Header]
Unk 80: 0
HMAC: 9F92XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX5706
نمک: E363XXXXXXXX09
[KEK]
Unk 80: 0
UUID: EBC6XXXX-XXXX-XXXX-XXXX-XXXXXXXECEC
Unk 82: 0 2 9e b1
KEK Wrpd: CF35XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXEC04
Iterat: 127270
نمک: 3780XXXXXXXXXXXXXXXXXXXXXXXXA2E7
کلید PW: EE62XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX6AB5
KEK Wrpd: BB7FXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX07F8
KEK: A60EXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX4D78
KEK IV: F7ECXXXXXXXX202A
کلید PW: 6363XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX6191
KEK Wrpd: 43A8XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX0E07
KEK: EB9FXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXD6F9
KEK IV: 5932XXXXXXXX4ACB
کلید PW: 6B62XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXEEFF
KEK Wrpd: CF35XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXEC04
KEK: B579XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXAD90
KEK IV: A3E7XXXXXXXXCA4F
