Lösenords-hack + Clonfråga

[Stud]

I.

 

Nu får ni ta på er forensics-handskar & knäcka fingrarna. Jag vill utvinna keystrokes ur en dator för att lösenordet är bortglömt men viktigt.

Det var ett formulär på en hemsida där man fyllde i användarnamn + lösenord.

 

Datorn har XP Pro (build 5.1 .2600 )

 

Webbläsaren var Chrome (Googles motor,som ni vet sparar väldigt väldigt mycket information)

Det bästa är att burken har stått på relativt orörd sen dessa data matades in. Därav måste det finnas en rad spår i minnet antar jag. Så hjälp mig nu att

fixa fram datan. Det måste gå köra nån slags minnesdumpning, till hex ? etc

 

All hjälp Beivras! Helgens Hjälte någon?

 

 

I I.

Försöker med en programvara för att köra diskklon-image-mfl. Deras egna forum med amerikanska deltagare lämnar mycket att önska så jag chansar här.

-När man kör en systemavbildning.Typ då Diskklon av hela disken /eller partitionen ska man väl tänka på Boot-delen osv va? Botsekt alltså.

 

-Programmet ifråga kan göra en Image av en ordinarie disk (systemavbildning) men påstår att Måldisken (extern dd) kommer bli överskriven.

Wtf? Det konstiga är att Easeus-Todo 5.1 advanced Trial påstår att man t o m kan konvertera imagefilen till en .vmdk fil för att emigrera till vmwares virtuella.

Men varför skulle en sådan fil (stor image) överskriva all data på en måldisk? Måste den vara tom just i klon-skedet eller... :S

 

 

PS. Information som Googles Chrome ( Chromium source code ) sparar är ex : Timestamp, clientID , RLZ-tracking , URL-tracking , Error report, mfl och till sist "Suggest" där alltså alla fält du skriver i sparas för att sen skickas iväg för att optimera sökningar för omvärlden.

[NordicOne]

Det måste gå köra nån slags minnesdumpning, till hex ?

 

WinHex Hex Editor

 

http://www.winhex.com/winhex/hex-editor.html

[Stud]

WinHex Hex Editor

 

http://www.winhex.co...hex-editor.html

 

 

Tackar.

Och eftersom jag inte har en susning. Tillvägagångssätt? Man vill väl minimera att mer minne/data skrivs över ?

Jag tänkte typ att man kör

Hex/Scan/Dump från ett USB-sticka eller något portabelt. Dvs helst inte lokalt på systemet?

 

Tack på förhand

[Cecilia]

Är Google Chrome inställd på att spara lösenord?

http://support.google.com/chrome/bin/answer.py?hl=en&answer=95606

 

Lite oklart vad du menar med minne och "relativt orörd". Med minne brukar man mena RAM-minne och det nollställs när man stänger av datorn. Om datorn har stått på så pågår det ju diverse aktivitet automatiskt och innehållet i minnet har ändrats. Men jag tror inte att det går att göra vad du vill. Även om man nu skulle lyckas hitta den del av RAM-minnet som Chrome använder och man har sådan tur att det inte den bit som upptogs av lösenordet har skrivits över, så hur ska man hitta just de ca 10 bytes som gäller ett lösenord bland de mer än 100000 bytes som Chrome använder.

[Stud]

Är Google Chrome inställd på att spara lösenord?

http://support.googl...en&answer=95606

 

Lite oklart vad du menar med minne och "relativt orörd". Med minne brukar man mena RAM-minne och det nollställs när man stänger av datorn. Om datorn har stått på så pågår det ju diverse aktivitet automatiskt och innehållet i minnet har ändrats. Men jag tror inte att det går att göra vad du vill. Även om man nu skulle lyckas hitta den del av RAM-minnet som Chrome använder och man har sådan tur att det inte den bit som upptogs av lösenordet har skrivits över, så hur ska man hitta just de ca 10 bytes som gäller ett lösenord bland de mer än 100000 bytes som Chrome använder.

 

Google - spara lösenord = antagligen inte. Får återkomma.

 

Ja datorns minne alltså. Ordinär PC med windos xp pro & det måste ju finnas hundratals fall där Polisen etc kan utvinna lösenord så varför skulle

mitt fall genast bli omöjligt? Det bästa är att den har stått väldigt orörd sen denna "inmatning" gjordes & dessutom ALDRIG avstängd. Vilka processer skulle kunna förstöra det på ca 20h ? Jag vet vad som matades in innan lösen så datasträngarna måste väl säkert

kunna länkas av någon stark programvara.Även om det krävs tid-datorkraft måste det ju vara bland de lättare fallen för alla som sysslar med dataforensics...

 

-Jag undrar fortfarande dock min tes om att slippa installera programvara-mfl på den lokala maskinen utan om är bättre att försöka köra winHex via en usb eller något? Varje steg man gör kommer ju överskriva nuvarande minne och försvåra mera.

[Jari Karivainio]

Hej!

Det enklaste brukar vara att gå till aktuell sida, skriva in användarid och välja alternativet "glömt lösenord".

I regel sänds lösenordet eller "lösenordstoken" till det registrerade epostkontot.

Fungerar utmärkt för de flesta siter.

// Jari

[Stud]

Hej!

Det enklaste brukar vara att gå till aktuell sida, skriva in användarid och välja alternativet "glömt lösenord".

I regel sänds lösenordet eller "lösenordstoken" till det registrerade epostkontot.

Fungerar utmärkt för de flesta siter.

// Jari

 

Uteslutet.

men tack

 

Jag har fortfarande inte rört datorn.

Behöver gärna mer hjälp hur jag ska "dumpa minnet" eller använda WinHex programmet.

Huvudsaken är väl att få en "dumpfil" på något vis manuellt som man sedan i lugn och ro kan titta på för det går väl inte

kika på minnet i realtid ? (via exempelt portabelt program som inte körs lokalt)

 

Och köra med nån Debugger är ju inte direkt aktuellt om man inte vet vad man gör? Även om ex KernelDebugger som x i386kd verkar kunna kika på minnet:

 

"Moreover, it will disassemble binary code, list hex dumps of memorycontents in various formats"

[Cecilia]

Finns ett tips i sista inlägget på http://www.computing.net/answers/hardware/ram-copy/62340.html men jag har inte kollat om programmet fortfarande finns. Sedan förstår jag inte hur du har tänkt hitta just de tecken som är lösenordet, RAM-minnet omfattar ju miljoner tecken.

 

(via exempelt portabelt program som inte körs lokalt)

Programmet måste ju köras i datorn för att komma åt RAM-minnet och det spelar ju ingen roll om dess fil ligger på hårddisken eller på ett USB-minne för det kommer ju att laddas in i RAM-minnet i vilket fall som helst.

 

Polisen etc kan utvinna lösenord

I de fall de kan göra det så är det väl när det har lagrats i webbläsaren eller liknande för de jobbar ju med hårddisken och inte med RAM-minnet.

 

Vilka processer skulle kunna förstöra det på ca 20h ?

Det kan ju finnas schemalagda processer, antivirusprogram som uppdateras, Windows filindexerare mm som gör att RAM-minne måste frigöras från befintliga processer.

[Stud]

Finns ett tips i sista inlägget på http://www.computing...copy/62340.html men jag har inte kollat om programmet fortfarande finns. Sedan förstår jag inte hur du har tänkt hitta just de tecken som är lösenordet, RAM-minnet omfattar ju miljoner tecken.

 

I de fall de kan göra det så är det väl när det har lagrats i webbläsaren eller liknande för de jobbar ju med hårddisken och inte med RAM-minnet.

Det kan ju finnas schemalagda processer

 

Det här är helt sjukt.

Jag satt i timmar bara för att sortera ut relevant information om kerneldebugging etc. Laddade hem flertalet verktyg som

används för "volatilt minne" i Forensiska termer. En sak är märklig, Det går absolut inte utföra "manuell dumpning" av minnet via Windows utan det som händer är

vid blåskärm eller liknande fel så skapas ofta en minivariant av dumpfil som sparas i %systemroot% dvs C:/Windows

 

Därefter sökte jag efter program. Tydligen finns det en del forensiska verktyg som kan läsa en aktiv PC via ex LAN/eller USB och skapa en

fil som är strax över minnets storlek. dvs 2GB = ca 3GB arbetsfil/image.

Sen vad programmet kan utröna med ASCI,HEX,binärkod etc är ett annat kapitel...

 

Bla "WinEn" standalone. Win32dd och testade detta i min harmlösa virtuella xp-dator eftersom det är ganska tveksam signering på dessa program.

 

pmdump (kör i kommandotolken) fungerade ej.

Win32dd gnällde att det behövdes nån Python-ramverk

det tredje programmet behövde libr från nått annat...

 

Motgångar utan dess like! Fram till imorgonbitti är sista chansen sen kör jag en partition/system klon av datorn ifråga & hoppas att viss information går att

utläsa av datan som programmen sparar. (I min testmiljö, virtuell vmware XP så kan WinHex hitta klartext i "application data" Bla inloggningsnamn & lösenord som jag skrev i ett GoogleChrome fönster. Dock måste man vara utbildad i ämnet för att förstå samband > länka sektorer > mm ... )

 

Ber er gärna anstränga er för att hitta relevant expert ASAP. Ni har väl fina nätverk.

[Stud]

...För den som undrar

 

Löste jag problemet! Det fanns ett dos-verktyg som kör en minnesdump av RAM-minnet och sparar till rådata (.raw)

Detta gick att exekvera och spara från en usb-sticka för minimal påverkan av det volatila minnet

 

Sen var det bara att öppna data i WinHex /eller liknande program. EnCase

[Cecilia]

Hur kunde hitta lösenordet bland de andra miljonerna tecken?

[Stud]

Hur kunde hitta lösenordet bland de andra miljonerna tecken?

 

 

Sätt in 1,3 miljoner kronor på mitt konto så berättar jag !

 

Allt handlar om vilka "data" som finns i närheten av lösenordet + loginname kan man säga.

Styrkan ligger i WinHex vill jag påstå. Inte konstigt IT-poliserna nuförtiden satsar allt på att kyla ram-stickorna och försöka hitta data där vid svåra fall.

I min iver lusläste jag även nån doktorsavhandling om volatilt minne gjord av några studenter på KTH typ och tänkte ut en bra strategi.