passware kit forensic、hashcat使用

已于 2025-07-30 17:46:07 修改
阅读量6k 收藏 30
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 取证 文章标签: 网络
于 2023-07-03 17:13:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wow0524/article/details/131519669
本文介绍了在离线情况下从Windows注册表文件中提取密码的方法,使用字典攻击解密加密文件,通过HashCat工具破解iPhone备份的Manifest.plist以及处理Linux系统中/etc/shadow文件的密码提取过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、passware kit forensic从外部注册表文件提取密码 

适用于不联网的情况下,例如2023盘古石杯的NAS取证

找到Windows/System32/config并在本地打开

将路径填充到config folder中

跑出来了John电脑对应的密码是paofen,NAS的密码是P@88w0rd

二、passware kit forensic字典攻击

选择加密文件

选择自定义攻击方式 

添加攻击方式 

添加其他字典 

添加完自己的字典后就会发现它出现在列表中,选择它

 开始攻击

密码爆出来了

三、加密的备份iPhone解密(爆破Manifest.plist)

关键文件Manifest.plist

1.Passware Kit Forensic

参考中科实数杯 2023 题解 - XDforensics-Wiki (xidian.edu.cn)

 5位数字爆破

2.HashCat

参考破解 iTunes 备份密码 | CTF导航 (ctfiot.com)

利用网站

https://www.onlinehashcrack.com/tools-itunes-backup-hash-extractor.php

或用itunes_backup2hashcat先算出hash值 GitHub - philsmd/itunes_backup2hashcat:从 Manifest.plist 文件中提取所需的信息,将其转换为与 hashcat 兼容的哈希值

 5位数字掩码攻击用-a 3,iOS 版本 >10.2用 -m 14800

hashcat -m 14800 -a 3 $itunes_backup$*10*e72a7510f38b1ac84d90a7957f4fdf7b641ada32e8d7479cf0e63a682715aa2055b0f66f0735f871*10000*23d7d7a6d4c8e0fcb02fd3cbda1f05cc90f6398d*10000000*6ef09887d48b725f7b3305989e8c60114bb9660d ?d?d?d?d?d

得到备份密码是25922

四、hashcat字典攻击/etc/shadow文件,提取虚拟机密码

/etc/shadow文件,火眼直接导出shadow文件

$6$i/6MgZHjOv5fkf95$FBbQe2Qupv9SKfoVl8LV8i1lM8XdUtbUoEevuvmbaeKHw5tbNEnr6KA2YKUjAubrRCav/8yLLUYEjm6cwnPsi.

用密码本进行爆破

hashcat -a 0 $6$i/6MgZHjOv5fkf95$FBbQe2Qupv9SKfoVl8LV8i1lM8XdUtbUoEevuvmbaeKHw5tbNEnr6KA2YKUjAubrRCav/8yLLUYEjm6cwnPsi. commonPwd.txt

逻辑:hashcat + -a 0(指字典攻击)+密文+密码本

五、有格式爆破

2025盘古石晋级赛

1、passware kit forensic

规则:Pgs+4位数字+d3j,爆破加密容器的密码

选择加密文件

选择加密类型 

 

 选择攻击方式

选择自定义爆破规则

记得清除其他爆破规则

 开始爆破,爆破成功

2、HashCat 爆破密码

复现参考2025盘古石杯初赛 - XDforensics-Wiki

https://hashcat.net/forum/thread-10993.html

为了破解 Veracrypt 容器的密码,您有两种可能性:

- 恢复容器的前 512 字节并将其用作“哈希”;接下来,选择正确的 Veracrypt-'legacy' 模式并运行您的作业
- 或者,在您的容器上使用提供的 veracrypt2hashcat 脚本;这将给出一个“$veracrypt$...”格式化哈希;接下来,选择正确的 Veracrypt 模式并运行您的作业

提取加密容器哈希,veracrypt2hashcat.py在hashcat-6.2.6\tools里,或者hashcat/tools at master · hashcat/hashcat · GitHub

运行一下

python veracrypt2hashcat.py C:\Users\五五六六\Desktop\dsf2wecasdcqwed12434 > C:\Users\五五六六\Desktop\dsf2wecasdcqwed12434\vc_hash.txt

 -m hash的类型:搜一下vera对应的编码, VeraCrypt 的默认加密方式是SHA512 + XTS 512 bit,编码13721

-a 攻击方式

0 | Straight 字典破解 1 | Combination 组合破解 3 | Brute-force 掩码破解 6 | Hybrid Wordlist + Mask 混合字典 + 掩码 7 | Hybrid Mask + Wordlist 混合掩码 + 字典

hashcat.exe -m 13721 -a 3 "C:\Users\五五六六\Desktop\vc_hash.txt" "Pgs?d?d?d?dd3j"

这种方式不知道为什么报错No hash-mode matches the structure of the input hash.

没有成功就很奇怪

第二种方式

VeraCrypt的加密过程将关键加密信息存储在容器的前512字节中,导出

dd if=./dsf2wecasdcqwed12434 of=./vc-hash bs=512 count=1

hashcat -a 3 -m 13721 ./vc-hash "Pgs?d?d?d?dd3j",成功Pgs8521d3j,确实挺快

【加解密篇】Passware Kit Forensic暴力美学-已知部分密码自定义解密详细参数设置
xnxqwzy的博客
03-23 5093
都说"自制武器不一定是最强的,但最强的武器一定是自制的",对于取证工具也是一样,虽然默认配置足够强,但如果我们能根据实时情景自定义参数配置,那么往往能事半功倍—【蘇小沐】暴力破解设置:密码开头wlzhg@,密码结尾是@xn,中间缺少4位数字,所有密码长度为13。根据已知条件,可以直接设置为:wlzhg@*@xn。【星号*和问号?有些区别,可以自行尝试,建议使用星号*二选一即可,更推荐第二种方式,第一种字典破解更适合了解密码组成规律,然后自生成的字典。
Passware Kit Forensic 9.7 汉化版
04-09
多功能密码破解软件 含暴力破解!包括压缩文件 office05-2010文档文件 网络密码 windows登录密码等等。
Passware Kit Forensic
11-13
恢复word、excel,access,pfd等文档的密码,不用再用忘记密码担心! 此工具不要用作商业用途或者,如用作其他非法用途本人概不负责!
【亲测免费】 Passware Kit Enterprise绿色汉化版
最新发布
gitblog_06742的博客
05-04 786
Passware Kit Enterprise绿色汉化版 【下载地址】PasswareKitEnterprise绿色汉化版 Passware Kit Enterprise绿色汉化版是一款高效的密码恢复工具,支持多种文件类型,如Microsoft Office文档、PDF及压缩文件等。该版本经过汉化处理,用户界面友好,操作...
PasswarekitForensic13.2
03-29
Passware Kit ForensicPassware 公司所开发的系列密码恢复软件中功能最为强大也是最新的一个密码恢复工具合集。 它支持 Excel、Word、WinZip、Windows 7/2008/Vista/2003/XP/2000/NT、Internet Explorer、Firefox、Access、Outlook、Acrobat、QuickBooks、FileMaker、WordPerfect、VBA、Lotus Notes、 ACT! ……等多种文件类型密码和操作系统密码的恢复。
passware kit forensic v13.5
08-18
passware kit forensic v13.5
Passware Kit\ Passware Kit Enterprise V8.3 Build 2867 绿色汉化版.
05-25
【软件介绍】 一个功能极为强大的密码恢复工具合集,它包含32个密码恢复模块,支持 Excel、Access、Outlook、Word、WinZip、Windows NT、 Windows 2000、Windows XP、Windows 2003、Windows Vista、Acrobat WordPerfect、Lotus Notes、Quicken QuickBooks、Quattro Pro、 Internet Explorer、Outlook Express、ACT、1-2-3、Paradox 等,新版本除加强了对 Windows XP/2000/NT、QuickBooks和Internet Explorer 密码的恢复功能外,还加强了对 MSN Messenger、Google Talk Messenger、Yahoo Messenger 的支持,对微软最新的操作系统 Vista 和 Office 2007 也有很好的支持,尤其是在 Windows Key 恢复模块上体现更为明显,以前使用 Windows Key 创建系统重置光盘映像后,还需要使用第三方刻录软件进行刻录,现在无需使用第三方刻录软件即可完成映像的刻录,为你免去了不少的麻烦,真正实现了映像创建、刻录的一体化。总之,它是一款不可多得的密码恢复工具集合。如果你在使用软件过程中需要更多的帮助,请参阅其帮助文件(我已作了汉化)。
Passware Kit Forensic使用笔记
weixin_43387480的博客
07-21 5041
5、由于我的电脑显卡是1060,显存6G,卡比较弱,跑了5天2个小时,终于把密码跑出来了,如果显卡比较好,应该用不了这么长时间。版权声明:本文为优快云博主「知远同学」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。重点说明的地方是,在模式里面,可以写上自己知道的部分,不知道的部分用?4、设置如图,将密码的位数选择8-8字符,字母全小写、字母全大写、number全部勾选上;3、将已有的规则全部清除,然后左下角点击添加攻击方式;示例:wlzhg@8888@xn。
Passware Kit Forensic 2017.1.1
09-05
Passware Kit ForensicPassware 公司所开发的系列密码恢复软件中功能最为强大也是最新的一个密码恢复工具合集。它将所有的密码恢复模块全部集成到一个主程序中。恢复文件文件密码时,无需再像以前的它的姊妹版那样恢复哪种文件类型的密码需要启用哪种类型的密码恢复模块了,你只需启动主程序,凡是它所支持的文件格式,它都可以自动识别并调用内部相应的密码恢复模块。 它支持 Excel、Word、WinZip、Windows 7/10/Vista/2003/XP/2000/NT、Internet Explorer、Firefox、Access、Outlook、Acrobat、QuickBooks、FileMaker、WordPerfect、VBA、Lotus Notes、 ACT! ……等多种文件类型密码和操作系统密码的恢复。
【加解密篇】Passware Kit Forensic自定义解密类型教程
热门推荐
蘇小沐的电子数据取证博客
11-03 1万+
【加解密篇】Passware Kit Forensicz自定义解密类型教程 ​ 都说"自制武器不一定是最强的,但最强的武器一定是自制的",对于取证工具也是一样,虽然默认配置足够强,但如果我们能根据实时情景自定义参数配置,那么往往能事半功倍。—【suy】 文章目录【加解密篇】Passware Kit Forensicz自定义解密类型教程(一)指定常规密码格式1、选择加密文档(二)三种破解模式1、使用预定义设置2、运行向导3、高级:自定义设置总结 ​ Passware Kit Forensic是一款非常优秀的
Passware Kit 中文版
11-23
下载了一个挺牛X的Excel,但有好多密码,对文档感兴趣,找了些软件都没有成功解密,包括宏密码保护密码等,最后下载了这个软件,17个密码解密用了16秒钟,分享一下。
Passware kit【极为强大的密码恢复工具合集】V10.0
11-24
Passware Kit Enterprise【极为强大的密码恢复工具合集】 V10.0 Build 1772 汉化纯净安装版 by 千岛掠影。   Passware Kit Enterprise 是一个功能极为强大的密码恢复工具合集。自 9.0 版起,开发商便对它进行了重大改进,将所有的密码恢复模块全部集成到一个主程序中。恢复文件文件密码时,再也无需像以前那样恢复哪种文件类型的密码需要手动启用哪种类型的密码恢复模块了,你只需启动主程序,凡是它所支持的文件格式,它都可以自动识别并调用内部相应的密码恢复模块。它支持 Excel、Word、WinZip、Windows 2008/Vista/2003/XP/2000/NT、Internet Explorer、Firefox、Access、Outlook、Acrobat、QuickBooks、FileMaker、WordPerfect、VBA、Lotus Notes、 ACT! ……等多种文件类型密码和操作系统密码的恢复。新版本对密码恢复引擎进行了优化(多核 CPU 加速,GPU 加速),密码恢复速度和老版本比起来得到了较大的提升,尤其是在 MS Office 2007 文件和 RAR压缩文件的密码恢复上体现得更为明显。除此之外,软件还整合了 Encryption Analyzer Pro 用于扫描电脑中受密码保护的项目,并在扫描结果的列表中给出相应的破解方案,以加快对密码的破解;新的 10.0 版在原有的基础上(破解日志、破解调节器、密码恢复向导……等等),还在菜单中增加了“工具”一项(包括选项和许可管理器),使软件的界面更显得人性化,在实际的应用中你可以选择是否启用分布式密码恢复、启用内置的 Passware Kit 代理和启用 nVidia GPU 加速等,并可以随时在许可管理器中对你的序列号进行添加或更改以根据实际需要启用更多的分布式密码恢复;在 Windows 密码重置 CD 的映像创建上也有较大的改进,你可以选择直接刻录或者仅保存映像文件以后再刻录。总之,新版的改进非常多,功能也更加强大,你可以在使用中细细体会。如果你在使用软件过程中需要更多的帮助,请参阅其帮助文件(我已作了汉化)。   主要特点:   * 恢复 180 + 文件类型密码   * 解密硬盘   * 扫描计算机上受密码保护的文件(整合 Encryption Analyzer Professional)   * 在多功能于一体的用户界面中集成 30+ 密码恢复模块和 Encryption Analyzer   * 重置本地 Windows 管理员密码   * 解密 TrueCrypt 卷   * 在线解密 Word/Excel 文件   * 恢复使用 BitLocker 保护的硬盘加密密钥   * 多 TACC 加速用于恢复 MS Office 2007 文件、Zip 和 RAR 压缩文件、PGP 密码   * 恢复 PGP 压缩文件、虚拟磁盘、密钥文件密码   * 多核 cpu 现在被有效地用于加快密码的恢复处理   * 8 个不同的破解类型(和他们的任意组合)可以在一个向导设置或拖放破解编辑器中使用   * 基本密码恢复破解:字典破解、Xieve 破解、暴力破解、已知密码/部分破解、先前密码破解   * 密码调节器支持(更改字母、反转单词等)   * 组合密码破解,例如“strong123password”   * 密码恢复破解的简易安装向导   * GPU 加速用于恢复 MS Office 2007 文件密码   * nVidia GPU (当可用时)可加快 3500% 的 MS Office 2007 文件密码恢复速度   * 保存所有已恢复的密码并可重复用于其他文件
PasswarekitEnterprise全能密码工具软件
09-03
给出一个全能的密码工具软件PasswarekitEnterprise,很实用。
office密码移除-PasswareKit-13-5.rar
06-05
仅供学习参考,office密码移除-PasswareKit-13-5
buucft hashcat
weixin_34979095的博客
09-21 806
把1.ppt去掉,只保留符号到后面的数字,最终内容为: 符号到后面的数字为:‘office$*2010*100000*128*16*265c4784621f00ddb85cc3a7227dade7*f0cc4179b2fcc2a2c5fa417566806249*b5ad5b66c0b84ba6e5d01f27ad8cffbdb409a4eddc4a87cd4dfbc46ad60160c9`用记事本打开这个文件,会发现里面有一大串数字,这个时候,把没用的东西去掉,9919打开ppt,第七页发现隐藏文字。
【亲测免费】 Passware Kit Forensic 13.2 资源文件下载
gitblog_09809的博客
10-21 678
Passware Kit Forensic 13.2 资源文件下载 【下载地址】PasswareKitForensic13.2资源文件下载 Passware Kit Forensic 13.2 是由 Passware 公司开发的一款功能强大的密码恢复工具合集。该软件支持多种文件类型和操作系统密码的恢复,是专业人士和安全研...
maven properties标签
03-16
Maven中的properties标签用于定义一组键值对,可以在POM文件中的任何地方使用这些属性。这些属性可以用于简化POM文件的编写,也可以用于在构建过程中动态地设置值。例如,可以使用properties标签定义项目的版本号、依赖库的版本号等。在POM文件中使用这些属性时,只需要使用${key}的形式即可。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值