本文介绍了一种利用DRAM特性在计算机关机后短时间内获取敏感数据的方法。该方法通过特殊工具捕获内存镜像,并从中提取AES/RSA密钥等信息。适用于多种操作系统及加密技术。
DRAM中的数据在计算机关机之后的数秒钟内处于一个“逐渐”消失的过程,如果环境温度较低的话,这个时间更会持续数分钟,这就意味着在这段时间内计算机系统中的例如密码之类的某些数据并未消失,别用有心的人完全可以通过特殊的手段获取并破解这些敏感数据。下面就是这个破解的工具源码。
这套工具由三个部分组成:
允许你使用PXE网络远程启动计算机,或者使用USB存储器获取内存镜像(压缩包中的教程以iPOD为例说明了相应的步骤)则适用于EFI(Extensible Firmware Interface,可扩展固件接口)下的BSD系统环境;Automatic key-finding可分别从内存镜像中获取128/256位的AES或RSA密匙;Error-correction for AES key schedules则是为获取的AES密匙提供15%的误差修正。
由于DRAM的物理特点,整个破解方法适用于几乎所有的磁盘加密技术(Windows、Mac OS、Linux或者任何第三方磁盘加密工具),计算机处于非关机状态(包括锁定或休眠)意味着强行断掉计算机电源后在一小罐压缩冷却剂的帮助下内存条中 的所有密匙信息可以轻易被获取。
这套工具由三个部分组成:
允许你使用PXE网络远程启动计算机,或者使用USB存储器获取内存镜像(压缩包中的教程以iPOD为例说明了相应的步骤)则适用于EFI(Extensible Firmware Interface,可扩展固件接口)下的BSD系统环境;Automatic key-finding可分别从内存镜像中获取128/256位的AES或RSA密匙;Error-correction for AES key schedules则是为获取的AES密匙提供15%的误差修正。
由于DRAM的物理特点,整个破解方法适用于几乎所有的磁盘加密技术(Windows、Mac OS、Linux或者任何第三方磁盘加密工具),计算机处于非关机状态(包括锁定或休眠)意味着强行断掉计算机电源后在一小罐压缩冷却剂的帮助下内存条中 的所有密匙信息可以轻易被获取。
Memory imaging
| USB / PXE Imaging Tools | bios_memimage-1.0.tar.gz | (sig) | |
| EFI Netboot Imaging Tools | efi_memimage-1.0.tar.gz | (sig) |
Automatic key-finding
| AESKeyFinder | aeskeyfind-1.0.tar.gz | (sig) | |
| RSAKeyFinder | rsakeyfind-1.0.tar.gz | (sig) |
Error-correction for AES key schedules
| AESFix | aesfix-1.0.1.tar.gz | (sig) |
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
