TrueCrypt Kennwort aus RAM auslesen (Key data (hex))

[pcfreak10]

Hallo,

ich habe folgendes Problem. Ich habe meine externen Festplatten sowie meine Systemfestplatte mit TrueCrypt verschlüsselt.

Leider ist mir das Passwort abhanden gekommen. Die Platten sind noch eingebunden. Ich habe nun mit einer Software versucht aus einem RAM-Abbild das Kennwort auszulesen.

Folgende Ergebnisse habe ich bekommen:

Algorithm: 'PGP' Volume Master Key (AES-256)
Key data (hex): xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx [...]

Algorithm: 'TrueCrypt' Volume Master Keys
Key data (hex): xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx [...]

Algorithm: 'PGP' Volume Master Key (AES-256)
Key data (hex): xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx [...]

Algorithm: 'PGP' Volume Master Key (AES-128)
Key data (hex): xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx [...]

Von den Algorithm: 'PGP' Volume Master Key sind sehr viele EInträge vorhanden. TrueCrypt nur einer.

Wie kann ich nun mit den "Key data (hex)" Die Platten wieder einbinden bzw. das Kennwort im Klartext sehen?

Oder gibt es noch eine andere Möglichkeit im laufenden Betrieb das Passwort auszulesen?

Bin für jede Hilfe dankbar.

Viele Grüße
pcfreak10

 

[abdayd]

garnicht ...


sonst wäre Truecrypt sinnlos

wenn es so einfach wäre

 

[azereus]

keine rescue disc erstellt?

 

[Zeroflow]

Sollte funktionieren, da Truecrypt die Daten mit dem Master-Key verschlüsselt und diesen dann mit deiner Passphrase verschlüsselt.
Gibt sicher n Tutorial wie man mit bekanntem Master-Key ein neues Passwort vergibt.

http://lmgtfy.com/?q=truecrypt+mount+with+master+key

 

[pcfreak10]

Danke für die Antworten...

@abdayd
Ja wäre sicherlich sinnlos aber wenn die HDDs noch eingebunden sind müssen irgendwo auch die Daten zur Entschlüsselung sein. Sicher ist es bestimmt wenn die nicht mehr eingebunden sind... Sonst würde es keine Software geben die diesen Master Key auslesen kann oder Software die über FireWire Daten zur Entschlüsselung auslesen kann.

@azereus
rescue disc wurde erstellt ist aber ohne Passwort recht sinnfrei oder sehe ich das falsch? Zumindest zum Entschlüssen wird das Passwort verlangt. Auch zum Ändern das Passworts muss man zuerst das alte Passwort eingeben. Was ja an sich auch Sinn macht...

@Zeroflow
Danke für den Hinweis. Werde ich mir mal anschauen

Komishc ist nur das ich "nur" einen "Volume Master Key" habe aber 2 Platten, eine Systemplatte und eine Datei eingebundne ist mit unterschiedlichen Passwörtern. WOher weiß ich nun zu welchem Datenträger der Key gehört?

 

[Spik3]

Ist das Thema noch aktuell ? Hast du es nun geschafft ?

Wenn nicht kann ich dir folgendes anbieten:

Habe ein Programm mit dem man unter anderem TC Volumes bruteforcen kann usw.
Dieses kann auch Passwörter aus einem "memory image" deines RAMs auslesen. Sofern die Container usw. gemountet waren, was bei dir ja der Fall war oder immernoch ist !?

Wenn du also mir soweit vertraust und dein Arbeitsspeicher dump als .DD / .img oder .bin Datei zur Verfügung stellst, kann ich diese Funktion mal testen.

Sollte es funktionieren schicke ich dir dein pw via PM hier !
Logischerweise solltest du es dann ändern weil es min. eine weitere Person auf dem Planeten gibt, der es dann kennt .

Und NEIN, "dieses Programm" kann und werde ich dir nicht zur Verfügung stellen und hier auch nicht weiter darauf eingehen / es diskutieren.

 

[=DarkEagle=]

Programme dafür gibt es ja auch seit mehreren Jahren von offiziellen Anbietern. Passware Kit Forensic wäre sowas.