LUKS 标头已修改？

Question

LUKS 标头不包含可执行代码，仅包含 LUKS 分区主密钥的一个或多个加密副本。每个配置的密码/密钥文件/其他访问方法都会解密主密钥的副本，这是访问加密磁盘所需的。 LUKS 密码不会“发送到 LUKS 标头进行解密”：相反，cryptsetup luksOpen命令读LUKS 标头，然后使用密码在内存中对其进行解密。

如果黑客成功修改了 LUKS 标头，则几乎表明黑客（或黑客工具）已经知道 LUKS 密码，因为需要成功修改 LUKS 标头而不损坏它。

一种可能的情况是，黑客添加了cryptsetup修改后的命令来替换根分区的 initramfs 文件中的常规命令：修改后的命令cryptsetup会像普通命令一样请求您的 LUKS 密码，但是，除了解锁磁盘之外，还会重新启动您的 LUKS 密码。 - 使用攻击者已知的另一个密码加密 LUKS 分区的主密钥，并将其存储在 LUKS 标头中的空闲槽之一中。或者，它可以将未加密的主密钥存储在加密的 LUKS 分区之外的某个隐藏位置。然后，修改后的文件cryptsetup可能会用原始文件替换引导分区上修改后的 initramfs 文件，从而很难检测到底发生了什么。

cryptsetup luksDump可用于以人类可读的形式查看 LUKS 标头的内容。如果您发现正在使用的密钥槽比预期多，您可以使用cryptsetup luksKillSlot禁用未经授权的密钥槽，而无需知道与其关联的密码。请小心使用此命令：如果您使用此命令出错，则可能会将自己锁定在加密磁盘之外。

Answer 1

LUKS 标头不包含可执行代码，仅包含 LUKS 分区主密钥的一个或多个加密副本。每个配置的密码/密钥文件/其他访问方法都会解密主密钥的副本，这是访问加密磁盘所需的。 LUKS 密码不会“发送到 LUKS 标头进行解密”：相反，cryptsetup luksOpen命令读LUKS 标头，然后使用密码在内存中对其进行解密。

如果黑客成功修改了 LUKS 标头，则几乎表明黑客（或黑客工具）已经知道 LUKS 密码，因为需要成功修改 LUKS 标头而不损坏它。

一种可能的情况是，黑客添加了cryptsetup修改后的命令来替换根分区的 initramfs 文件中的常规命令：修改后的命令cryptsetup会像普通命令一样请求您的 LUKS 密码，但是，除了解锁磁盘之外，还会重新启动您的 LUKS 密码。 - 使用攻击者已知的另一个密码加密 LUKS 分区的主密钥，并将其存储在 LUKS 标头中的空闲槽之一中。或者，它可以将未加密的主密钥存储在加密的 LUKS 分区之外的某个隐藏位置。然后，修改后的文件cryptsetup可能会用原始文件替换引导分区上修改后的 initramfs 文件，从而很难检测到底发生了什么。

cryptsetup luksDump可用于以人类可读的形式查看 LUKS 标头的内容。如果您发现正在使用的密钥槽比预期多，您可以使用cryptsetup luksKillSlot禁用未经授权的密钥槽，而无需知道与其关联的密码。请小心使用此命令：如果您使用此命令出错，则可能会将自己锁定在加密磁盘之外。

LUKS 标头已修改？

答案1

相关内容