hashcat怎么在windows运行 2019 SDC 议题回顾 | 基于云数据的司法取证技术

在线wifi跑包 金刚包跑包 cap跑包 hccapx ewsa在线 就来 握手包跑包

各位好 又见面了 我是曹操 今天给大家带来一篇新的教程

希望各位细心学习 低调用网

hashcat怎么在windows运行

网络犯罪事件如网络钓鱼、网上欺诈、垃圾邮件、拒绝服务攻击、病毒、蠕虫、恶意代码、信用卡诈骗等层出不穷。在信息化时代,我们面临着越来越多的网络犯罪,对司法取证的要求也越来越高。为了追求更高水平的司法取证技术,许多技术研究人员致力于不断改进。下面让我们回顾一下2019年看雪安全开发者峰会上关于《基于云数据的司法取证技术》的精彩演讲。

编辑按 crownless:通过这次演讲,我们可以了解到以下几点:1、云存储了大量敏感数据,不仅包括通讯录和照片,还包括用户的活动记录。2、即使用户删除了云中的私人数据,这些数据仍然残留在云端。3、攻击者可以通过破解用户的电脑密码来获取访问云数据的权限。因此,在使用云服务时,我们需要谨慎行事!

嘉宾介绍

hashcat怎么在windows运行

程勋德是万兴科技的首席安全架构师,也是《加密与解密(第4版)》的联合作者,他在PC和Android逆向工作方面有着8年的经验。程勋德讲师在演讲中详细介绍了iOS iCloud和Google Cloud的备份和同步机制,以及Token缓存机制,并提供了解决数据获取技术难点的解决方案。最后,他通过实例演示了如何在未获得用户授权的情况下获取存储在iCloud云备份中的数据,让观众对最新的智能手机取证技术有了更深入的了解。他的演讲风趣幽默,多次引发观众的热烈掌声,并受到了广泛好评。

演讲具体内容

以下是演讲的速记全文:

大家好!我来自万兴科技,我们是一家低调的消费类软件研发、销售和技术支持公司,主要在海外市场运营。但自从去年上市以来,我们决定回归国内市场,因此开始更加积极参与像看雪这样的技术交流活动,与安全专家面对面交流,了解当前和未来的安全趋势,同时提升公司的知名度。

我今天的演讲主题是云取证,即如何从iCloud和Google Cloud中提取存储在iPhone和Android手机中的数据。在过去,取证通常有三种方式。第一种是使用硬件厂商提供的JTag调试接口进行数据读写,但这种方式成本较高,而且并非所有设备都具备该接口。此外,由于iPhone和Android都启用了全盘加密,读取到的数据价值有限。第二种是物理读取,例如使用ipbox2盒子提取苹果手机的数据,但提取的数据仍然是全盘加密的,无法有效利用。第三种是普通读写,需要解锁密码,并且由于权限问题,无法读取到许多数据。

云取证作为一种新的数据取证方法,可以作为前述三种方法的有力补充。iCloud和Google Cloud上存储的数据越来越多,已经成为不可忽视的取证来源。

hashcat怎么在windows运行

云取证的优点是云数据类型繁多,但也存在缺点,例如云取证接口因各厂商定制而不同,且云取证变得越来越困难,因为云服务商开始启用二步验证。

移动云的生态系统主要由安卓和苹果两大主流手机平台组成。我们主要关注iCloud和Google Cloud,这两个云服务在海外市场非常流行。iCloud开启同步和备份后,用户的所有数据都会上传到云端,包括联系人、收藏夹等等。在PC时代,取证相对容易,只需拆下硬盘进行物理读取即可访问数据。然而,随着云数据的增加,云取证变得更加复杂。iCloud分为备份和同步两部分。备份会将整个iOS设备的磁盘镜像上传到云端,但无法直接查看备份的详细数据类型。同步数据可以在icloud.com上查看,例如联系人和照片等。然而,一些数据无法在同步中看到,如iMessage聊天记录和keyChain等。

Google Cloud在国内市场影响较小,但在国外是较为主流的移动数据同步云服务。Google Cloud的同步数据种类非常多,只要用户使用谷歌系的应用程序,如安卓手机、Chrome和YouTube等,就能收集到详尽的信息,包括历史位置信息等。例如,历史位置信息可以提供详细的信息,如用户是在地铁、私家车还是自行车上。如果这些数据被无关人员获取,用户的隐私将受到威胁。Google Cloud收集的数据种类超过50种,分为多个类别。

获取云数据时必须解决的一个问题是二步验证。iCloud和Google Cloud在登录时都会弹出二步验证,以防止未经授权的第三方登录。然而,在取证过程中,我们必须找到绕过这一步骤的方法。目前的解决方案是从曾经登录过的PC/Mac或浏览器中提取历史记录,这些记录中保存了无需二步验证的Token。通过使用这些Token向云端发送请求,就可以避免二步验证的问题。

取证的思路是什么?iCloud和Google Cloud经过多年发展,拥有完善的安全和授权机制。直接攻击iCloud或Google Cloud是非常困难的,除非利用漏洞。然而,漏洞并不是随时都能遇到的,因此我们需要寻找其他方法。作为社会化动物,个人不仅拥有手机,还可能拥有PC/Mac设备。如果我们能够从其他设备入手,取证过程是否会变得简单?我们可以找到一种提取数据的方案吗?核心环节是获取PC/Mac的密码,这在PC时代的取证中是常见的做法,是可行的方案。

简单来说,Windows上可以通过提取SAM文件进行哈希枚举暴力破解,而Mac上可以提取login keychain进行暴力破解。通过使用hashcat进行暴力破解,结合彩虹表,即使是包含10位数字、大小写字母和特殊字符的密码,也可以在几分钟到几十分钟内破解。如果密码更长,可以利用hashcat的分布式密码破解功能,在几天内破解密码。

基于iCloud和Google Cloud的应用主要分为三类:司法取证、数据恢复和家长控制。我们的公司主要从事数据恢复业务,通过提取iCloud中的历史备份数据来恢复数据。此外,我们还在iCloud的基础上开发了更多功能,提供用户友好的数据展示界面,方便管理iCloud中的数据。此外,云数据取证可以为司法取证提供时间相关数据,并可以恢复已删除的数据,例如微信聊天记录。家长控制也是一个适合云数据的应用场景,家长可以获得授权,实时监控孩子的活动,以更好地保护他们免受危险。

最后,通过实例演示了如何在没有密码的情况下获取iCloud数据。通过获取PC/Mac的密码,我们可以绕过二步验证,并获取到iCloud中的数据。在Windows上,使用苹果系软件如iCloud面板和iTunes等,这些工具会缓存Token,而这些Token是使用当前登录的账户密码进行加密的。通过破解PC/Mac的密码,我们可以解密com.apple.AOSkit.plist文件,其中保存了Token。这个Token可以用于向iCloud服务器发送请求,获取用户的数据。用户的数据以复杂的组织形式存在,密钥使用椭圆曲线加密,数据使用AES加密。用户的数据在苹果云端以文件和容器的形式组织,通过解析这些数据,我们可以获取用户的通讯录和其他各种数据,包括备份和同步的数据。

最后,我想强调的是,最重要的不是上述技术,而是我们应该遵守法律,不要从事违法活动,并避免与他人产生冲突。

hashcat怎么在windows运行hashcat怎么在windows运行

请注意:点击原文链接查看完整演讲PPT。其他演讲PPT将在获得讲师许可后陆续发布,请继续关注看雪论坛和看雪学院公众号!

安全研究视角看macOS平台EDR安全能力建设
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com

赞(7)