исследование DriveCrypt

HELP! Помогите в исследовании DriveCrypt. нужно добраться до процедуры шифровки/расшифровки жесткого диска.

 

Помогите хотя бы распаковать exe-ник

 

Я уже тут постил что-то related to that DCrypt, please perform a search - might be helpful.

 

Не нашел на форуме.

Цель задачи - разобрать алгоритм шифрования и дешифрования SQUARE. Понятно, что реализацию SQUARE можно найти в инете, но нужен именно SQUARE драйвкрипта. Для чего - есть криптованный диск, известен пароль, но убиты 0 и 63(NTFS) сектора, без них диск не смонтируется, соответственно надо понять зависимость пароля и ключа (генерится при создании диска)+как происходит шифрование и расшифрование - в конечном итоге данные надо расшифровать.

 

что то мне подсказывает что остались вы без инфы навсегда

drivecrypt ? или pluspack?

если pluspack то в начальных бут секторах записывается инфо о токене(если токен не был вынесен на внешний накопитель)
так что, то что вы знаете пароль - ничем вам не поможет
токен там рандомный(насколько я помню)
и второй раз сгенерировать вам его не удастся

 

Именно DriveCrypt. Про пароль я понял. Ключ действительно при создании криптодиска генерится рандомно. Но где-то же он хранится! Если не в 0 и не в 63 секторах - то шанс есть. Прога таким образом работает - при попытке смонтировать диск - запрашивает пароль, если пароль верный - монтирует диск и расшифровывает какие-то сектора. Раз происходит расшифровка, значит ключ где-то хранится - вопрос где? Пароль и ключ скорее всего не зависят друг от друга.
Если же не будет найден ключ - возможно ли брутфорсом его подобрать учитывая, что известны расшиврованные байты (сигнатура NTFS копии 63 сектора - копия тоже зашифрована)?

 

Насколько я помню это практически нереально.

Это тоже вряд ли, если там все правильно сделано.

 

начнем с того что я не помню что DriveCrypt шифрует диски
он вроде только для контейнеров предназначался, и контейнеры это файлы на ФС
это DriveCrypt Plus Pack шифрует диски
и в бут рекорд пишет всю инфу

вы определитесь

 

Однозначно DriveCrypt 4.1 (29.01.2004)
Boot sector - как я понимаю это и есть нулевой сектор? а всю инфу пишет - это какую, ключ с паролем?

 

Andr_

Поиск - ссылка III в яндекс: http://www.wasm.ru/forum/viewtopic.php?id=38470

Есть и другие.

 

Andr_
оригинальный DriveCrypt до 5 версии был не запакован
если упакованя версия(армадила? ищите она распаковывается), значит вы используете хаченую версию
ищите оригинальные

я о PlusPack говорил
как работает обычный DriveCrypt с дисками, я не разбирал
из того что помню там только файловые контейнеры, и токены в бут там ну никак не пишутся, они там в отдельном файле кажется шли