Безумная тачка, полулегальный TPM и жидкий азот: чем запомнился NeoQUEST-2014 / Comments / Habr

mwizard Oct 9 2014 at 16:12

А что за пароль-то? И как этот пароль можно было понять по вот этим 48 байтам?

00: 1a 7b 97 81 99 ab 7e bf | 31 6f 21 58 6f 2e bd 85
01: 86 73 ae 16 f1 a5 6e 7f | 91 a8 cf 6f 5f 7b 50 8a
02: 0c 76 22 ab 64 30 3e 2d | 35 8e 0b 93 29 be 6f 72

NWOcs Oct 10 2014 at 16:27

Небольшая поправка: гость из зала вводил не пароль, а просто текст, который был зашифрован ключом. Этот ключ в итоге и был найден!

mwizard Oct 10 2014 at 16:29

А огласите ключ, пожалуйста — мы тоже хотим расшифровать текст с этой фотографии :)

NWOcs Oct 10 2014 at 17:17

:) Тут все непросто!
Потому что фотография с ключами была сделана за день до NeoQUEST, тогда ребята проводили проверку того, смогут ли они расшифровать раздел жесткого диска. Эти ключи и отобразились на фото, а вот зашифрованного текста и ключа непосредственно с NeoQUEST у нас, к сожалению, не сохранилось.
Но, чтобы понять, как ребята получили ключи с фотографии, можно выполнить следующие действия:
Шаг 1. Создать виртуалку с максимальной Windows 7.
Шаг 2. Зашифровать диск в виртуалке с помощью bitlocker.
Шаг 3. Поставить виртуалку на паузу.
Шаг 4. Скачать aeskeyfind.
Шаг 5. Скачать dislocker.
Шаг 6. В папке с виртуалкой найти файлик с расширением *.vmem, и передать его на вход aeskeyfind, вывод программы — это и есть то, что на фотографии на мониторе.
Шаг 7. Используя dislocker и полученные на шаге 6 ключи, расшифровать раздел жесткого диска виртуальной машины.