我正在尝试恢复加密文件系统丢失的密码。使用的软件是 CenterTools DriveLock,一些旧版本,专有,没有文档。与 VeraCrypt 类似,它可处理多个大文件和可执行文件中的加密磁盘。可执行字符串提到 AES/3DES/Blowfish/Twofish/CAST5/SHA-1/RIPEMD/PMC/Serpent/Whirlpool。所以可能是 AES
在第一个加密文件上运行 binwalk 得到了一个私钥:
1164 0x48C Private key in DER format (PKCS header length: 4, sequence length: 329
原始文件(Base64 编码):
MIIBSQIBADGB5jCB4wIBADBMMDgxNjA0BgNVBAMTLURyaXZlTG9jayBDb250YWluZXItYmFzZWQg RW5jcnlwdGlvbiBSZWNvdmVyeQIQJ4WOaLFnRpJI18AOLBgV8jANBgkqhkiG9w0BAQEFAASBgIXT 提交评论 SDBx1YFUdYYX08xQl5prQbEClHrrEgvOMlJDrHLuDwErkymHuIzMyBNX0yhbndeW0HepC+swtcCI bTM9hLAugEkApONLMFsGCSqGSIb3DQEHATAMBggqhkiG9w0DBAUAgEAjCk9WujyWarnk2c3/8U1u Euq6yIlEVN/c2NwIGYBNLTBC+mrsw7wX465zvXi4cpLsWTbpR8Sg5Vino3wUlUhe
openssl asn1parse -inform DER -in der_private_key
0:d=0 hl=4 l= 329 缺点:序列
4:d=1 hl=2 l= 1 prim:整数:00
7:d=1 hl=3 l= 230 缺点:设置
10:d=2 hl=3 l= 227 缺点:序列
13:d=3 hl=2 l= 1 prim:整数:00
16:d=3 hl=2 l= 76 缺点:序列
18:d=4 hl=2 l= 56 缺点:序列
20:d=5 hl=2 l= 54 缺点:设置
22:d=6 hl=2 l= 52 缺点:序列
24:d=7 hl=2 l= 3 原始:对象:commonName
29:d=7 hl=2 l= 45 prim: PRINTABLESTRING :DriveLock 基于容器的加密恢复
76:d=4 hl=2 l= 16 原始:整数:27858E68B167469248D7C00E2C1815F2
94:d=3 hl=2 l= 13 缺点:序列
96:d=4 hl=2 l= 9 prim:对象:rsa加密
107:d=4 hl=2 l= 0 原始:NULL
109:d=3 hl=3 l= 128 prim: 八位字节字符串 [十六进制转储]:85D328B2331057D8A5F9E8B8D1199DD206556651B2E9ACB71D91C41494C7015E8BD75E69E96395BF6B87104BD3B010B2648AD7E6E39AAE5748E47E483071D58154758617D3CC50979A6B41B102947AEB120BCE325243AC72EE0F012B932987B88CCCC81357D3285B9DD796D077A90BEB30B5C0886D333D84B02E804900A4E34B
240:d=1 hl=2 l= 91 缺点:序列
242:d=2 hl=2 l= 9 原始:对象:pkcs7-数据
253:d=2 hl=2 l= 12 缺点:序列
255:d=3 hl=2 l= 8 原始:对象:rc4
265:d=3 hl=2 l= 0 原始:NULL
267:d=2 hl=2 l= 64 原始: 续 [ 0 ]
可能是加密的证书?
我如何将其转换为使用 crackpkcs12 或类似工具进行单词列表攻击?
答案1
此文件看起来像 PKCS#7 (CMS, S/MIME) EnvelopedData。它没有证书的私钥;它有一些数据(可能是文件的对称密钥)加密证书(基本上类似于 PGP 加密文件)。
(我认为 binwalk 将它与 PKCS#8 加密的私钥混淆了,因为它们都是 ASN.1 DER 文件,但实际内容看起来根本不像 PKCS#8。)
此文件的加密不涉及密码,因此没有单词表。只有当您找到与此“DriveLock 基于容器的加密恢复”证书匹配的实际私钥时,这些才会有帮助。