從資料救援需求分析WD USB 加密硬碟架構、暴力破解原理

Posted on Leave a commentPosted in 加解密

新聞上有提到WD  USB Passport 加密硬碟漏洞與破解
這是由Gunnar Alendal 跟 Christian Kison 資安專家
在2015 hardwear.io.(在荷蘭的頂尖硬體資安年會)所發表的演講與論文 (文一) (文二)

OSSLab整合豐富實戰經驗加上這作者理論.
來整理出WD USB加密硬碟架構與破解思路.

這篇先以 WD  USB I為範例
WD USB I 代(Jmicron 538)硬碟全扇區AES加解密.
WD USB II 已經沒有使用全扇區AES加密.使用類似ATA保護方式加密.因此可用繞過或修改韌體方法來解密.
WD  USB III 跟II一樣 使用韌體保護.但使用更嚴謹的韌體保護架構. 使用工廠指令會返回 :VSC ERR INV FUNC CODE REQ

AES 加解密Mount程式原始碼可參考 https://github.com/andlabs/reallymine

章節目錄

全扇區加密是怎回事?
怎控制 Usb to SATA Bridge 加解密與mount,umount?
變更用戶密碼狀況
當密碼忘了?

不瞭解破解底層解密結構算法的土法煉鋼
資料恢復設備PC3000 的Onfly 解密
可以暴力破解嗎?

結論 生命與技術都是會自己走出路

 

一.全扇區加密(Hardware-based full disk encryption)是怎回事?

 

 一般硬碟0 扇區的MBR

經過全扇區加密後 一般硬碟0 扇區的MBR

 

硬碟扇區會變成這樣 是因為透過USB to SATA Bridge IC 做硬體AES加解密運算 .在作業系統層就已經得到解密的LBA .可正常使用

打開WD USB 硬碟會發現如下狀況 發現使用了一體硬碟USB電路版

1

3

加密電路板其實就是在一般硬碟電路版上 多了一顆USB to SATA Bridge

做 WD  一體USB 硬碟資料救援第一步 
先改成SATA接頭
要處理的為先把介面改成 SATA 這邊有下面幾種方法

一體USB板本身還保留SATA接點 直接飛線就可以 此法要走USB供電

各路人馬 研發的各種夾具

把COM口通訊也做進去的夾具

當然 也可以用一般 WD SATA  PCB 來替換.但是因為沒有經過 USB to AES晶片.在碟片上資料都全扇區AES加密.

USB  to SATA AES 加密密鑰架構圖 請把下面定義看懂! 否則無法理解本文

KDF(salt+User PW) = KEK , User PW 做了sha⇒ Key-Encryption-Key (KEK):
 
KEK protects Data-Encryption-Key (DEK)  
KEK保護著DEK
DEK = holy long-term HW AES Key
 SATA to USB bridge SOC 接收DEK AES 來解密扇區 此為終極密鑰  有了他不需要eDEK 也不需要KEK
eDEK (encrypted Data Encryption Key)  
存放在  1.電路板上U14 eeprom  2.硬碟韌體區 3.硬碟LBA扇區 (放在尾端 LBA ,USB to SATa 控制器會屏蔽看不到 )  位置如下
 Initio
500GB: 976769032   750GB: 1465143304  1000GB: 1953519624

Symwave
500GB: 976770435  750GB: 1465144707  1000GB: 1953521027

Jmicron
500GB: 976769056  750GB: 1465143328   1000GB: 1953519648

USB to SATA  soc 運作時候是從U14 ROM上取得eDEK

如果想要不透過硬體而用軟體解密 
eDEK 取得方式:1.讀取特定位置LBA  2.短路E20與GND 接點進入USB Bridge downloader 模式 或解焊 dump U14 EEPROM   3.使用工廠指令讀取碟片上的韌體模塊區

一個加密儲存系統 當然不可能蠢到自己儲自己的密鑰(DEK)明碼.
必需同時有正確的eDEK(在ROM跟韌體區)與KEK (空白或用戶大腦中) 才能求得出正確的DEK . 

User 密碼to KEK的算法  不論機種 鹽都固定為 “WDC.”
以下為 User Password=abc123 為例

Counter = 0
KEK = ”WDC.abc123”
while counter < 1000 do
KEK = SHA256(KEK) counter+ = 1
end while

所以當User Password=abc123
The final KEK (hex) =
82 44 bc 08 9c 4a ab 5e 53 aa ec 57 ae 90 19 a7
3f 3c a0 6e de 80 7a 70 5b bb a7 10 cf 7c 3a c8

User 密碼to KEK 是由WD 客戶端軟體算出來傳給 Usb to sata AES bridge 晶片. (控制晶片本身不吃User 密碼明碼)

沒密碼時候
這叫hardcoded KEK  
=   
03 14 15 92 65 35 89 79 32 38 46 26 43 38 32 79 FC
EB EA 6D 9A CA 76 86 CD C7 B9 D9 BC C7 CD 86

同系列晶片未設定密碼時候,KEK都是如上一樣的,但是eDEK可不同了.因此DEK也會不同

 

 

怎控制 Usb to SATA Bridge 加解密與mount,umount?

WD 客戶端軟體軟體使用 VSC 工廠ATA指令集(Vendor Specific Commands) 對控制晶片下達 
status, unlock (authentication), erase, setpassword, changepassword, removepassword.
這邊可以用 sg3 util  程式下達scsi command 做範例.
上鎖
sg raw −r 1 k / dev / sdb c1 e1 00 00 00 00 00 00 28 45 00 00 00 00 00 00 20 <32-byte KEK>
(如用戶密碼為上述abc123 , KEK就為03 14 15 92......)
這時候 就會產生eDEk. 

變更用戶密碼狀況

變更用戶密碼時候如果把DEK給變換了,整個硬碟扇區就要重新寫入.很耗費時間並且對原有資料很不安全
因此變化用戶密碼時候還是一樣的DEK.不同的是eDEK 變化了.
變化的用戶密碼(KEK)+變化的eDEK=原來的 DEK 

當密碼忘了?

使用官方程式時候.用戶密碼輸入錯誤五次時候.可以選擇Erase 

下Factory reset (Erase) 時候 ,可改變DEK ,而產生新的DEK 與eDEK.  
因此要救援的Erase的硬碟 若是沒有保留erase前的 eDEK . 光有原有KEK 想要再恢復資料非常困難.

function GENERATEDEK(HostSuppliedBLOB)
// Key material bytes provided by host computer
KeyBytesHost = HostSuppliedBLOB[8 : 8 + KeyLength]
// Host computer decides if on-board RNG generated key material should be mixed in
bM ixKeyBytesHost = HostSuppliedBLOB[3]
if bM ixKeyBytesHost == 0x01 then
for i = 0;i < KeyLength;i + + do
// Mix key material from host computer with My Passport on-board RNG
DEK[i] = KeyBytesHost[i] ⊕ HWRNGBYTE()
end for
else
for i = 0;i < KeyLength;i + + do
// Use host supplied key material as raw DEK key
DEK[i] = KeyBytesHost[i]
end for
end if
return DEK
end function

對於整個AES 加解密想要更了解 
這有程式原始碼可參考 https://github.com/andlabs/reallymine

不瞭解破解底層解密結構算法的土法煉鋼

 
所以資料恢復公司則是用原來硬體環境來處理解密來獲取資料 
南京數據恢復開發的WD 解密電路版.把原來的U14 EEPROM (eDEK) 放在上面IC腳座
再配合空白或已知用戶密碼(KEK). 就可對硬碟解密.
但使用此方法需要全扇區備份.萬一硬碟狀況不理想時候.會降低資料恢復的成功性.
 

資料恢復設備PC3000 的Onfly 解密

 

PC3000 在2015 7 更新後 可以 Onfly 模擬 AES解密檔案系統 就不用替整個硬碟做全扇區鏡像了

 

PC3000 會從硬碟碟上韌體模塊區取得 eDEK.

 

可以暴力破解嗎?

理解 WD AES加密演算架構後  就有AES 暴力破解方式 .
目前資料救援設備MRT產品就提供此項功能.

原理如下
正常硬碟的首扇區最末尾是有特征碼”55AA”的,那麼當被加密的首扇區被解密時如果出現了這個特征碼,那麼程式便認為已經猜解出正確的密碼(KEK)。
因此必需先讀取出加密過後的硬碟首扇區。

加密硬盤的加解密系統在解密時,一樣必須先在硬碟模塊(韌體)或U14 EEPROM 獲得“eDEK”,
暴力破解原理是用“eDEK”與“用戶密碼 (KEK)”合成算法再跟0扇區結尾55AA做比對 如果一樣 表示破解求得KEK成功.
再結合eDEK回算出正確DEK.將整個硬碟扇區解密.

但此項功能會耗時很久.

MRT WD AES 加密USB  密碼找回功能圖

結論 生命與技術都是會自己走出路


雖然只是個廉價並且生活隨處可見的外接式硬碟.但是從中我們可以學習加解密原理.

其實ACELab 逆向整個WD Passportr加密硬碟 是在這三位資安專家發表之前. 並且已經實做成設備內的功能.
這是因為大量資料救援公司客戶需求 , 有需求就有人會去逆向工程.
所以現實的說 
有真實客戶需求 –>可以有真正獲利–>逆向工程技術->有用的0day ->成熟穩定的產品->不停的修改前進的產品

不管是資料救援設備公司ACELab 、MRT  或是一般資料恢復公司. 就想盡各種手段與設備.
來處理WD USB一體硬碟的資料救援

如果像數位鑑識設備公司客戶群沒辦法使用他們產品產生正面營收.自然不會研發底層0 day技術
(買個30萬設備 一年只有個位數使用次數 無法回本) 而只能用別人現成的exploit .

感謝我們在一個資訊開放與分享時代. 

OSSLab 的WD USB恢復成功案例

從Seagate COM port lock談TTL (Telnet SSH)通訊口保護機制

Posted on Leave a commentPosted in 加解密

不管是硬碟或是SSD基本上都有TTL(Transistor-Transistor Logic)Serial接口,可用於工廠維修中心的硬體與韌體診斷等 。
 

但在Seagate 新款硬碟如(如Greada系列或一些SED加密款式), COM port會被上鎖無法直接使用, 這方面硬碟維修工具PC3000 MRT 等有支持解開Seagate 硬碟診斷Port.

來說一下Seagate原廠加密保護方式.

Seagate 終端示意圖 

Diagnostic Port Enable  的Seagate硬碟 (老款的硬碟大部分都有打開)

 

Diagnostic Port DisEnable  的Seagate硬碟

也就是說 不讓非官方授權能夠進入儲存裝置的 Tech mode(技術模式).

自己要做實驗的話
請先將usb to TTL 接上Seagate硬碟 參考這

 


終端上鎖畫面

第一部份必須藉由修改ROM 來啟用 TCG Seril port Enable

使用PC3000 MRT 設備 算法處理Seagate grenada 系列硬碟 原來與Patched Rom樣本檔  (可自行比對研究)

啟動Diagnostic Port 後
已啟動硬碟終端工廠模式 .但是還是有Handshake 保護 避免一般人使用 
如果使用單純帳密 容易流出去與破解 所以使用Handshake 方式保護

 


Enable 後 每次啟動的handshake都不同 , 要輸入正確的回應值 . 只有有算法的人(原廠或是原廠授權人員) 可以解開 .來保護不讓非原廠人員可在終端下對這硬碟下工廠指令
.

 

進入硬碟技術模式. 這指令為清洗SMART 歸零 包含硬碟通電時間

看到這邊各路硬體Hack高手應該想到一個類似機制.就是這會很像Bios 密碼遺失時候,會產生安全代碼.準備發票購買證明把這串代馬給原廠維修.會生成解密碼給你.
當然市面已有一些機種的Bios hash算法破解網站
(注:目前最強的Bios password hash 保護是Apple )

ATA加密與SED自我加密硬碟剖析

Posted on Leave a commentPosted in 加解密

儲存加密安全是很重要的課題 這邊來說明一下 ATA加密與SED自我加密硬碟剖析
筆記型電腦上Bios設定有 Password 後,也會自動對機體的儲存裝置設定ATA Password.
這塊其實是弱保護的.WD ,Seagate ,Hitachi ,Toshiba 等舊款硬碟ATA加密 在專用的資料救援設備前是不堪一擊的.

ATA Security 應用還可以應用SSD 開卡處理.或是讓SSD瞬間資料全扇區=0
這對於SSD的硬碟用久了之後,當空間越來越少,也是會有著效能下降的問題,一般若沒有原廠Flash開卡控制程式.則可用安全性的抹除,來恢復效能.

這邊就來從頭講解ATA加密原理與應用。

 

辨識與解鎖有密碼保護的ATA磁碟

 
ATA/ATAPI指令提供一個使用密碼的安全性功能來限制存取硬碟。當這個功能啟用,除非提供要求的密碼,不然韌體會預防一些ATA指令的執行,包括存取內容。這單純只是存取管控的功能,並沒有使用加密來保護磁碟上的資料。
 
Linux 下 hdparm 這個工具可以判斷硬碟是否有啟動安全功能。例如:

# hdparm -I /dev/sda
Commands/features:
              Enabled Supported:
                      *      Security Mode feature set
Security:
               Master password revision code = 1
                               supported
                               enabled
                               locked
              not           frozen
              not           expired: security count
                               supported: enhanced erase
              security level high
              60min for SECURITY ERASE UNIT. 60min for ENHANCED SECURITY ERASE UNIT.

 
這個 Commands/features: 資訊指出 Security Mode feature set 是存在而且啟用了,然後在 Security: 的資訊也證實了功能是支援並被啟用了。
 
如果 Security: 有列出 enabled,就代表使用者密碼已經被設定,磁碟也會在開機時上鎖。如果磁碟上鎖,像是例子的過程是無法存取直到提供正確的密碼。作業系統在存嘗試存取硬碟時或許會生成一個硬碟錯誤或者失敗的指令錯誤。T13標準描述了哪些指令在硬碟上鎖的時候可以使用。在磁碟上鎖的時候存取某些指令包含查詢 SMART 資訊還是可行的。
 
密碼有兩種,一種為 user,一種為 master,兩者在管理的權限上有所不同,如果設定了 user 密碼,Security 功能會被啟用(就如前面的例子),只設定 master 密碼並不會啟動 Security。
 
兩個密碼會有兩種安全性層級的管控,而安全性層級是參照 T13 標準的 MASTER PASSWORD CAPABILITY 位元,可以設定為 high 或是 maximum。如果安全層級設定為 high,那麼 user 或 master 密碼都可以將硬碟解鎖。如果安全性層級設定為 maximum,master 密碼只能做安全性抹除,只有 user 密碼可以解鎖硬碟。
 
如果Master跟user密碼都沒有,又沒特異技術或是設備 .沒錯 這顆硬碟就變成磚塊了.(硬碟ATA Password 存放在碟片上的韌體區 所以更換電路板也不會有用)
 
 
有些電腦或許會在啟動後執行安全性凍結命令以避免發送更進一步的安全指令,甚至有正確的密碼也會(以避免惡意的密碼設定攻擊)。透過 hdparm 的 Security 輸出結果可以判斷這顆磁碟是否被凍結。許多 USB 連接上沒凍結的磁碟就會自動運作,但如果還有問題,這邊有幾個可能性要試試看:
  • 檢查BIOS設定確認啟用/停用凍結指令
  • 使用開機光碟來避免凍結指令被啟用
  • 將硬碟接到不同的硬碟控制卡(非主機板內建)
  • 將硬碟熱插拔(如果支援)
  • 使用一個不支援凍結指令的主機板
 如果你知道 user 密碼而且硬碟還沒有凍結,你可以使用以下的指令來解開磁碟:


#hdparm –security-unlock “mysecret99” /dev/sdb
security_password=”mysecret99″
 
/dev/sdb:
Issuing SECURITY_UNLOCK command, password=”mysecret99″, user=user

 
預設狀態下,user 密碼可以使用 hdparm 指令來提供,而且使用 masrer 密碼需要精確的指定命令列參數 。如果你知道 master 密碼而且安全層級式設定為 high,你可以使用 master 密碼來解所下列的硬碟:
 

#hdparm –user-master m –security-unlock “companysecret22” /dev/sdb
security_password=”companysecret22″
 
/dev/sdb:
Issuing SECURITY_UNLOCK command, password=”companysecret22″, user=master

 
如果不知道密碼,使用一般的工具是不可能存取這顆硬碟。密碼的資訊儲存在磁碟的 service/system 區域中,如果沒有特殊的硬體或工具是無法存取到的。
 
而這些加密方式在安全性強度設定的不同情況之下,有的可以透過原廠預設的值來進行重設進而獲得控制權,有些可透過硬體工具從 service area 回復或重置 ATA 安全功能組的密碼。
 
有些硬碟可能可以透過硬體或韌體的破解而取得資訊,所以安全性研究社群也在不停的創新的方法在難以到達的區域存取與修改資料。
 
 
辨識與解鎖 Opal 自我加密磁碟
Self-encrypting drives(SEDs)是一種全磁碟加密(full-disk encryption,FDE)的形式。不像軟體的FDE(TrueCrypt、FileVault、LUKS 之類)是由 OS 來管理,SEDs是真正建立在磁碟的電路及韌體上的加密。SEDs 是非特定作業系統而且基於非廠商制定的標準。這個國際化的標準制定是由 Trusted Computing Group(TCG)所制定。這個標準是 TCG Security Subsystem Class : Opal,規格V2.00。
一個磁碟的物理驗證如果他是Opal SED的話 會有PSID。Physical Secure ID(PSID)字串會印在磁碟的標籤。這個字串是用在 Opal RevertSP 功能,這個功能可以安全的製造新的金鑰、摧毀所有資料以及將磁碟回到原始的出場狀態。PSID無法從磁碟中查到而且必須直接閱讀或透過QR條碼讀取。有 PSID 字串不代表這顆磁碟有上鎖或有設定密碼,它只是代表這顆磁碟支援 Opal 全磁碟加密。
dsc_0094
全磁碟加密有個雞生蛋還是誕生雞的問題,如果整顆磁碟加密,包括開機磁區,那系統要怎樣執行 MBR 與詢問密碼或其他安全性證書?而解決方案就是在磁碟的系統區域儲存一個影子MBR(與SMART資料、壞區列表等資料同一個區域)。當一個 Opal 磁碟在上鎖的狀態,只有影子MBR可以被看見。它是一群沒有被加密的磁區(可以大到150MB),執行起來就像一般的MBR。這個替代方案可以執行程式碼來要求一個密碼、存取TPM或智慧卡片、或其他安全證書。當磁碟解開後,一般的MBR可被看見,而且普通的開機程序就能進行。
 
有個開源的命令列工具是用來在 Linux 下管理 Opal SED 加密。通常叫它 msed,不過這個工具最近重新命名成 sedutil-cli 並搬家到 https://github.com/Drive-Trust-Alliance/sedutil/。這個工具還在持續開發而且不一定能在所有磁碟上運作。小心的根據指示並確定核心裡的 libata.allow_tpm 有被啟用。
 
下面的指令掃描了一台本地端系統用來找出支援 Opal SED 的磁碟。可以看到四顆硬碟中,有一顆是被偵測到使用Opal 第 2 版:

# sedutil-cli –scan
Scanning for Opal Compliant disks
/dev/sda    2     Crucial_CT250MX200SSD1                              MU01
/dev/sda  no    WDC WD20EZRX-00D8PB0                              80.00A80
/dev/sda  no    INTEL SSDSA2CW300G3                                   4PC10302
/dev/sda  no   Kingsron SHPM2280P2H/240G                       0C34L5TA
No more disks present ending scan

可以查詢磁碟來得到關於 Opal 狀態這些資訊,包含磁碟是否加密、上鎖,或者有影子MBR(這些都顯示在這個範例)

# sedutil-cli –query /dev/sda
/dev/sda ATA Crucial_CT250MX200SSD1                            MU01                               15030E69A241
Locking function (0x0002)
       Locked = Y, LockingEnabled = Y, LockingSupported = Y, MBRDone = N,
       MBREnabled = Y, MediaEncrypt = Y

兩個指令在這使用:一個是停用 locking 然後第二個是通報硬碟影子 MBR是不被需要的(MBR 已經 “Done”)。在這個範例中,密碼是 xxmonkey:

# sedutil-cli –disableLockingRange 0 xxmonkey /dev/sda
– 16:33:34.480 INFO: LockingRange0 disabled
# sedutil-cli –setMBRDone on xxmonkey /dev/sda
– 16:33:54.341 INFO: MBRDone set on

 在這邊,核心資訊(dmesg)會顯示裝置的變化。這個例子中的狀態就會變成如下的顯示:

# sedutil-cli –query /dev/sda
/dev/sda ATA Crucial_CT250MX200SSD1                            MU01                       15030E69A241
Locking function (0x0002)
       Locked = N, LockingEnabled = Y, LockingSupported = Y, MBRDone = Y,
       MBREnabled = Y, MediaEncrypt = Y

磁碟再也沒有上鎖,而且影子MBR也看不見,真正的MBR與其餘加密磁碟的部分都可使用,而且他們只需要使用一般的取證工具就能存取。現在Linux安裝的磁區表可被看見,顯示如下:
screen-shot-2016-11-22-at-8-07-28-pm 
一個上鎖的磁碟如果沒有啟用影子MBR的話,使用核心dmesg輸出狀態時會出現多個錯誤訊息。
 
有些 Opal 磁碟使用這個工具或許會有看起來不同的結果,在真實的狀況下,金鑰或許不是個簡單的密碼,而是與TPM綁定,或是其他的企業級安全機制。如過在這種情況下使用了錯誤的指令, 磁碟上的資料會不可挽回的摧毀(如果金鑰被毀的話會即刻發生)
 
從取證的方面來看,映像影子MBR來分析或許是很有用的,它會包含從這個磁碟加密被設定起的有趣人造痕跡。它也可以預料到相容Opal 的磁碟會把資料隱藏在影子MBR區域裡。
 
 
ATA安全刪除的指令
 
ATA標準定義了一個安全刪除的指令讓你可以直接對磁碟做抹除。這個 ATA SECURITY ERASE UNIT 指令會對磁碟上所有使用者可以存取的磁區寫零。而 EXTENDED SECURITY ERASE 會寫入一個預先定義的範本(由磁碟製造商定義)來取代寫零。
 
如果沒有先設定密碼,有些磁碟會拒絕刪除的指令。下面的範例是有顆硬碟已經使用過,並在使用 –security-erase 命令前先將密碼設定為 dummy:
 

#hdparm –security-erase dummy /dev/sdh
security_password=”dummy”
 
/dev/sdh:
Issuing SECURITY_ERASE command, password=”dummy”, user=user

這個磁碟已經被安全的抹除並可以再度使用。如果磁碟要求設定一組密碼,別忘記在安全的刪除完成後去停用密碼。 

這擦除指令也可應用於 SSD 清除回收垃圾塊.恢復速度.

 
 
毀掉加密磁碟的金鑰
 
你可以透過毀掉所有已知的金鑰來摧毀加密磁碟與檔案系統。如果這個金鑰是透過安全裝置像是智慧卡、TPM 或 Opal 磁碟產生,那它只會有一支金鑰存在。如果是企業環境中的檔案系統或磁碟,他們或許會有個備份或第三方拷貝以方便做回復。
 
清掉金鑰的動作在作業系統層級的加密磁碟上,像是微軟的 BitLocker、蘋果的 FIleVault、Linux 的 LUKS/sm-crypt 或 TrueCrypt 等版本,會需要詳細的知識才知道金鑰被存放在哪。金鑰或許是密碼/短語保護摒除存在磁碟中一個檔案或某幾個區塊裡。它們也可能儲存在別處的一個金鑰檔。如果沒辦法鎖定並完全清除掉那個私人金鑰,那只能清掉磁碟並做全磁碟的清除。
 
基本上,加密外接USB隨身碟在弄丟密碼時會有個原廠重設功能,這可以用來毀掉金鑰及整個磁碟的內容。
 
毀掉 Opal SED 磁碟上的內容也是迅速而簡單的,只要透過輸入 PSID 來摧毀加密金鑰。PSID通常會用QR條碼印在外盒上,可以用掃描代替手動輸入。PSID 無法透過 ATA 指令查詢磁碟來獲得,只能在磁碟的外盒找到。
 
而 sedutil-cli 指令中有個特別的選項用 PSID 來做無法倒回的重置磁碟金鑰:

# time sedutil-cli –yesIreallywantotERASEALLmydatausingthePSID  
                                3HTEWZB0TVOLH2MZU8F7LCFD28U7GJPG    /dev/sdi
    – 22:21:13.738 INFO: revertTper completed successfully
 
real 0m0.541s
user 0m0.000s
sys 0m0.000s

 
磁碟中的加密金鑰已經被重置了,而且資料也有效的清除了。磁碟現在是原廠重置、解開、也可以再使用.擦除一顆120GB的SSD所需的時間大約是半秒鐘。
 
 
 
 
 未知密碼ATA 加密的破解
 
舊款硬碟ATA 密碼 沒有鎖死限制 這邊這套硬體工具MRT 可以做 暴力破解ATA密碼
但是對於硬碟比較不適用 因為硬碟通電上電要時間.耗時會頗長
image_thumb.png
 
 
 
或是使用 Pc3000 ,MRT等韌體層工具,可以直接從硬碟Service area 讀取ATA 密碼
image_thumb.png
 
 
 
或重設定密碼 
image_thumb.png
 
這些都能夠簡易破解密碼 但是針對都偏向於非SED硬碟與SSD.

破解Windows 登入密碼實驗

Posted on Leave a commentPosted in 加解密

未用EPS 加密 的Windows 2000 ,2003 Sever , XP ,7   ,Vista 各版本 (已經過實測 ,2008尚未)

Windows 將其登入密碼存入於註冊表的  SAM     HKEY_LOCAL_MACHINE\SAM     使用者及密碼的資料庫
以可讀取Ntfs 分區的開機os 開啟後,再用 Offline nt 修改windows sam文件系統
若帳號資料在AD內 ,無法修改.

指紋辨識原機器也將其指紋密碼存SAM  因此用此法清空後也可登入系統.

參考本文後配合 微軟官方全部 VHD image file +虛擬機 可以實證全部狀況

另外方法. 

1.http://ophcrack.sourceforge.net/
2.http://jay-fva.blogspot.com/2009/12/…nistrator.html

參考前文準備好 下載 XP mode 檔案,並轉成 VHD file , 

啟動此  XP  VM VHD in Virtualbox
剛好XP mode 的VM 預設administrator 一定要設定密碼