USDT第三方支付

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

从某种程度上来讲,黑客是网络前沿手艺的掌握者,好比对虚拟机的使用。他们学习了若何在智能手机中隐藏信息以及若何对笔记本电脑举行加密。攻击者通过平安通道举行通讯,且从不让密码泄露,且尽最大努力不留下任何痕迹。取证考察员每隔一天就会遇到新的挑战。在本文中,取证职员将讨论攻击者用来掩饰其踪迹的另一种工具:加密的虚拟机。

由于虚拟机使用可移植的,独立于硬件的环境来执行与现实盘算机基本相同的义务,在虚拟机内部执行的用户流动大部分保留在虚拟机映像文件中,而不在主机上,因此很自然地限制了跟踪的数目和威胁性。一些最受迎接的虚拟机包罗VirtualBox,Parallels和VMWare。虽然Microsoft提供了Hyper-V(在Windows 10上建立虚拟机的工具),然则Hyper-V提供了有限的加密选项,需要将Windows Server作为主机操作系统。由于这样或那样的缘故原由,Hyper-V(微软的一款虚拟化产物,是微软第一个接纳类似Vmware ESXi和Citrix Xen的基于hypervisor的手艺)很少被攻击者使用。

将虚拟机作为犯罪工具

可以对攻击者使用的许多类型的虚拟机举行平安加密,使用加密的虚拟机可以使攻击者有机遇遮盖其在虚拟珍爱伞下的流动,降低了犯罪证据意外泄露的风险。

虚拟机通常具有多种攻击优势,主要优势是与正常事情环境完全隔离。纵然存在多种攻击,这不会引起什么注重,如虚拟机逃走。另一方面,虚拟机可提供完整的桌面体验,可以针对虚拟机的特定用途举行完全调整。其中大多数是正当用途,好比虚拟环境中的盘算机取证剖析。

在考察犯罪嫌疑人的盘算机时,取证专家不仅可以简朴地对硬盘举行映像,还可以制作功效齐全的虚拟机,以便举行进一步的取证现场考察,模拟真实盘算机的事情。这提供了更多的可能性,例如从内存中提取数据和密码,在虚拟机上启动取证映像。

固然,这是一把双刃剑。犯罪分子也使用虚拟机,今天比以往任何时候都要频仍。这听起来像是一个好主意,网络为到达目的所需的所有工具,准备提议恶意软件流传或DDoS攻击,损坏远程系统等。所有这些都不再是一劳永逸的事情,需要大量软件、剧本和数据。

相反,他们需要准备所需的一切,将其打包为虚拟机,将映像上传到快速可靠的托管服务器,并随身携带仅带有裸机的笔记本电脑。到达最终位置后,他们可以快速下载映像,运行该映像,然后从内陆驱动器中将其删除,详细请查看《Maze勒索软件攻击者若何通过虚拟逃避检测》。

在上面的形貌中,我有意省略了关键步骤。像大多数数据一样,虚拟机映像可以受密码珍爱。在已经发现的攻击样本中,就有攻击者使用了多个受密码珍爱的虚拟机。不外本文的研究方式是通过提取密码哈希来手动恢复密码,然后使用文中提取的工具恢复它们,本文提到的工具是Distributed Password Recovery,其开发者已经将手动恢复密码功效添加到其中了。

解锁虚拟机后,另有许多事情要做,详细请参阅《盘算机取证:虚拟系统的取证问题》、《盘算机取证:若何通过虚拟机取证证据数据》。

若是虚拟机需要新的密码,例如,有Windows帐户密码或BitLocker珍爱,请使用Elcomsoft System Recovery 。进入后,我建议首先运行Elcomsoft Internet Password Breaker ,以网络保存在Web浏览器中的所有密码。

若何破解加密的虚拟机:恢复VMWare、Parallels和VirtualBox的密码

如上所述,虚拟机使用可移植的,独立于硬件的环境来执行与现实盘算机基本相同的角色。在虚拟珍爱伞下执行的流动将线索留在虚拟机映像文件中,而不是在主机上。执行数字考察时,剖析虚拟机的功效变得至关重要。

攻击者使用的许多类型的虚拟机均具有平安加密功效,由于只有在可以提供原始加密密码的情况下,才气接见存储在加密的虚拟机映像中的证据。因此取证职员构建了一个工具,使专家可以对密码执行硬件加速的分布式攻击,从而珍爱由VMWare,Parallels和VirtualBox建立的加密拟机映像。

虚拟机加密

可以加密整个映像的最常见虚拟机是Parallels,VMWare和VirtualBox。然则,这些虚拟机之间的加密强度和由此发生的密码恢复速率差异很大。让取证职员看一下这三个虚拟机的开发职员为珍爱其内容所做的事情。

Parallels

Parallels Desktop 被称为 macOS 上最壮大的虚拟机软件。可以在 Mac 下同时模拟运行 Win、Linux、Android 等多种操作系统及软件而不必重启电脑,并能在差别系统间随意切换。

虽然云云,Parallels在这三家公司中的珍爱力度最弱,虽然Parallels使用AES-128 CBC算法对数据举行加密,但加密密钥是通过过时的MD5哈希函数的仅有的两次迭代获得的。因此,Parallels的攻击速率最快。在Intel i7处理器上,研究职员已经能够到达每秒1900万个密码的速率。有了这样的速率,纵然没有GPU加速,也可以恢复相当庞大的密码。这样的速率足以使用通俗的暴力破解来发现简朴的密码,而更庞大的密码仍然需要使用字典攻击。

,

Usdt第三方支付接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

VMware

VMvare使用相同的AES-128加密算法,然则,其现实珍爱与Parallels相比则差别。 VMware使用10000轮更强的PBKDF-SHA1哈希从密码中获得加密密钥。纯CPU攻击每秒可发生约10000个密码,因此强烈建议使用受支持的GPU辅助恢复。单个NVIDIA GeForce 2070 RTX板的使用将恢复速率提高到每秒160万个密码,这样可以找到相当庞大的密码。尽管云云,照样建议使用具有合理变异设置的目的字典。

VirtualBox

VirtualBox 是一款开源虚拟机软件。VirtualBox 是由德国 Innotek 公司开发,由Sun Microsystems公司出品的软件,使用Qt编写,在 Sun 被 Oracle 收购后正式更名成 Oracle VM VirtualBox。

不外Oracle VirtualBox提供了最强的珍爱和最平安的加密,加密算法可以是AES-XTS128-PLAIN64或AES-XTS256-PLAIN64,而SHA-256哈希函数用于通过密码派生加密密钥。哈希迭代的次数取决于AES加密密钥的长度,高达120万哈希迭代的惊人值。因此,仅使用cpu的攻击速率异常慢,恢复速率只有每秒15个密码。GPU辅助的攻击速率要快得多,在单个NVIDIA GeForce 2070 RTX板上每秒可提供多达2700个密码。除了优越的GPU外,取证职员强烈建议你使用针对性的字典和合理的变异设置。

攻击虚拟机加密的步骤

取证职员将使用 Elcomsoft Distributed Password Recovery 来打开加密的虚拟机,并设置对其密码的攻击。

为此,你将需要使用Elcomsoft Distributed Password Recovery 4.30或更高版本才气攻击虚拟机密码。为了发动攻击,你不需要打开整个容器,它可能异常大。相反,我们将使用虚拟机文件夹中相对较小的文件。对于Parallels,取证职员需要config.pvs文件。对于VirtualBox,取证职员需要.vbox文件。对于VMware,则是.vmx文件。这些文件很小(只有几个KB),是发动攻击所需的所有文件。

1.启动Elcomsoft Distributed Password Recovery 4.30 或更高版本;

2.如下图所示打开虚拟机,对每种类型的虚拟机使用响应的文件。

2.1对于Virtualbox,打开.vbox文件:

2.2对于VMware,打开.vmx文件:

2.3对于Parallels,从包罗虚拟机的文件夹中打开config.pvs文件。

3.使用字典,变体或新的“规则”选项卡设置并启动攻击,以使用John the Ripper语法设置夹杂攻击,你可以在此文中领会有关夹杂攻击的更多信息。John the Ripper是一个快速的密码破解工具,用于在已知密文的情况下实验破解出明文,支持现在大多数的加密算法,如DES、MD4、MD5等。它支持多种差别类型的系统架构,包罗Unix、Linux、Windows、DOS模式、BeOS和OpenVMS,主要目的是破解不够牢靠的Unix/Linux系统密码。除了在种种Unix系统上最常见的几种密码哈希类型之外,它还支持Windows LM散列,以及社区增强版本中的许多其他哈希和密码。它是一款开源软件,Kali中自带John。

一旦你发动攻击,你可以考察恢复速率。Parallels将是最快的攻击,纵然只有一个CPU:

对于攻击者来说,虚拟机的使用正在增添。通俗虚拟机提供的易用性和珍爱级别使他们可以在虚拟珍爱伞下悄悄提议攻击,从而减少了意外泄露治罪证据的风险。本文所讲的取证者构建了一个工具,该工具将通过尽最大努力在尽可能短的时间内破解加密密码来辅助执法机构接见存储在加密虚拟机中的证据。

本文翻译自:https://blog.elcomsoft.com/2020/10/the-rise-of-the-virtual-machines/ https://blog.elcomsoft.com/2020/10/breaking-encrypted-virtual-machines-recovering-vmware-parallels-and-virtualbox-passwords/: Allbet Gaming声明:该文看法仅代表作者自己,与阳光在线无关。转载请注明:usdt手机钱包(www.caibao.it):若何对加密虚拟机举行取证剖析?
发布评论

分享到:

16年了!“梅姨案”又一被拐儿童被找回!
2 条回复
  1. USDT钱包支付(www.usdt8.vip)
    USDT钱包支付(www.usdt8.vip)
    (2021-10-29 00:06:05) 1#

    Usdt第三方支付平台很爱很爱的

  2. aLLbet代理开户(www.aLLbetgame.us)
    aLLbet代理开户(www.aLLbetgame.us)
    (2021-10-31 00:08:03) 2#

    鲸鱼算力官网www.ipfs8.vip)是IPFS官方指定硬件服务商、矿场合作方平台。鲸鱼算力官网实时更新IPFS矿机的FiLecoin(FIL币)收益数据、提供FiLecoin(FIL币)节点运维、FiLecoin(FIL币)矿机出售信息、IPFS矿机出售合租拼购、IPFS算力出售合租拼购、IPFS代理全国招商等业务。
    太A了!!

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。