从 FileVault 2 加密的磁盘映像中提取用户名
Extraction of usernames from FileVault 2-encrypted disk image
我正在处理使用 File Vault 2 加密的 MacBook (Mac OS X 10.11.6) 磁盘的比特流 (dd) 图像。我没有任何密码、密码或恢复密钥来解锁驱动器,但我对 unlocking/decrypting 驱动器不感兴趣。
我只需要提取所有可能与登录屏幕相关的信息。此信息应包括允许登录的用户名和密码建议(如果有)。对于密码建议,我指的是点击密码框右侧的问号(?)可以得到的建议。
这是登录屏幕的示例:
Login screen example
据我所知,系统会启动一个特殊的 EFI 预引导,它会显示 FileVault 2 解锁屏幕,其中包含指定的 OS X 帐户已获准解锁磁盘的图标。登录信息(用户名等)不应加密,因为它们在您启动系统时和用户使用密码登录之前(即磁盘尚未解锁)可用且可见。
我也尝试通过附加图像然后使用 sudo fdesetup list -device <UUID> 来获取此信息,但显然外部设备不允许此操作。同样,我无法解锁图像,因为我没有任何密码。但是,我认为用户名应该以未加密格式存在于某处,因为它们在我启动系统时可见。
这是 diskutil list 在使用 hdiutil attach -nomount /Volumes/USB/image.dd.dmg 附加磁盘映像(存储在外部 USB 驱动器中)后的输出:
/dev/disk0 (internal):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme 500.3 GB disk0
1: EFI EFI 314.6 MB disk0s1
2: Apple_APFS Container disk1 500.0 GB disk0s2
/dev/disk1 (synthesized):
#: TYPE NAME SIZE IDENTIFIER
0: APFS Container Scheme - +500.0 GB disk1
Physical Store disk0s2
1: APFS Volume Macintosh HD 143.2 GB disk1s1
2: APFS Volume Preboot 21.0 MB disk1s2
3: APFS Volume Recovery 522.1 MB disk1s3
4: APFS Volume VM 1.1 GB disk1s4
/dev/disk2 (external, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *3.0 TB disk2
1: Microsoft Reserved 16.8 MB disk2s1
2: Microsoft Basic Data TARGET 3.0 TB disk2s2
/dev/disk3 (disk image):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme +121.3 GB disk3
1: EFI EFI 209.7 MB disk3s1
2: Apple_CoreStorage Macintosh HD 120.5 GB disk3s2
3: Apple_Boot Recovery HD 650.0 MB disk3s3
Offline
Logical Volume Macintosh HD on disk3s2
UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
Locked Encrypted
这是 diskutil cs list 的输出:
CoreStorage logical volume groups (1 found)
|
+-- Logical Volume Group UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
=========================================================
Name: Macintosh HD
Status: Online
Size: 120473067520 B (120.5 GB)
Free Space: 12656640 B (12.7 MB)
|
+-< Physical Volume UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
| ----------------------------------------------------
| Index: 0
| Disk: disk3s2
| Status: Online
| Size: 120473067520 B (120.5 GB)
|
+-> Logical Volume Family UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
----------------------------------------------------------
Encryption Type: AES-XTS
Encryption Status: Locked
Conversion Status: Complete
High Level Queries: Fully Secure
| Passphrase Required
| Accepts New Users
| Has Visible Users
| Has Volume Key
|
+-> Logical Volume XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
---------------------------------------------------
Disk: -none-
Status: Locked
Size (Total): 120108089344 B (120.1 GB)
Revertible: Yes (unlock and decryption required)
LV Name: Macintosh HD
Content Hint: Apple_HFS
如果我尝试 fdesetup 命令,我会收到以下错误:
$ fdesetup status -device XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Error: The -device option is not allowed for this operation.
每次尝试使用另一个 UUID 都会导致此错误:Error: The specified volume or device 'UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU' did not return any information.
最后的问题是"How can I extract login information (not passwords) from a disk image encrypted with File Vault 2?"。根据在输入密码之前此信息的可用性,我假设用户名和其他信息(例如,密码提示)未加密并且可以从磁盘映像中提取。
期待您的反馈。
非常感谢。
步
在其中一个分区上,您会找到一个目录 "Preboot"。该目录包含一个具有唯一编号的目录,例如52C97122313-4B77-... 在这个目录中有目录 "var" 和目录 "db"。在这里您可以找到包含所需信息的 plist 文件 CryptoUserInfo.plist。
/Preboot/52C97122313-4B77.../var/db/CryptoUserInfo.plist
您可以使用文本编辑器来显示值
我正在处理使用 File Vault 2 加密的 MacBook (Mac OS X 10.11.6) 磁盘的比特流 (dd) 图像。我没有任何密码、密码或恢复密钥来解锁驱动器,但我对 unlocking/decrypting 驱动器不感兴趣。
我只需要提取所有可能与登录屏幕相关的信息。此信息应包括允许登录的用户名和密码建议(如果有)。对于密码建议,我指的是点击密码框右侧的问号(?)可以得到的建议。
这是登录屏幕的示例:
Login screen example
据我所知,系统会启动一个特殊的 EFI 预引导,它会显示 FileVault 2 解锁屏幕,其中包含指定的 OS X 帐户已获准解锁磁盘的图标。登录信息(用户名等)不应加密,因为它们在您启动系统时和用户使用密码登录之前(即磁盘尚未解锁)可用且可见。
我也尝试通过附加图像然后使用 sudo fdesetup list -device <UUID> 来获取此信息,但显然外部设备不允许此操作。同样,我无法解锁图像,因为我没有任何密码。但是,我认为用户名应该以未加密格式存在于某处,因为它们在我启动系统时可见。
这是 diskutil list 在使用 hdiutil attach -nomount /Volumes/USB/image.dd.dmg 附加磁盘映像(存储在外部 USB 驱动器中)后的输出:
/dev/disk0 (internal):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme 500.3 GB disk0
1: EFI EFI 314.6 MB disk0s1
2: Apple_APFS Container disk1 500.0 GB disk0s2
/dev/disk1 (synthesized):
#: TYPE NAME SIZE IDENTIFIER
0: APFS Container Scheme - +500.0 GB disk1
Physical Store disk0s2
1: APFS Volume Macintosh HD 143.2 GB disk1s1
2: APFS Volume Preboot 21.0 MB disk1s2
3: APFS Volume Recovery 522.1 MB disk1s3
4: APFS Volume VM 1.1 GB disk1s4
/dev/disk2 (external, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *3.0 TB disk2
1: Microsoft Reserved 16.8 MB disk2s1
2: Microsoft Basic Data TARGET 3.0 TB disk2s2
/dev/disk3 (disk image):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme +121.3 GB disk3
1: EFI EFI 209.7 MB disk3s1
2: Apple_CoreStorage Macintosh HD 120.5 GB disk3s2
3: Apple_Boot Recovery HD 650.0 MB disk3s3
Offline
Logical Volume Macintosh HD on disk3s2
UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
Locked Encrypted
这是 diskutil cs list 的输出:
CoreStorage logical volume groups (1 found)
|
+-- Logical Volume Group UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
=========================================================
Name: Macintosh HD
Status: Online
Size: 120473067520 B (120.5 GB)
Free Space: 12656640 B (12.7 MB)
|
+-< Physical Volume UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
| ----------------------------------------------------
| Index: 0
| Disk: disk3s2
| Status: Online
| Size: 120473067520 B (120.5 GB)
|
+-> Logical Volume Family UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
----------------------------------------------------------
Encryption Type: AES-XTS
Encryption Status: Locked
Conversion Status: Complete
High Level Queries: Fully Secure
| Passphrase Required
| Accepts New Users
| Has Visible Users
| Has Volume Key
|
+-> Logical Volume XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
---------------------------------------------------
Disk: -none-
Status: Locked
Size (Total): 120108089344 B (120.1 GB)
Revertible: Yes (unlock and decryption required)
LV Name: Macintosh HD
Content Hint: Apple_HFS
如果我尝试 fdesetup 命令,我会收到以下错误:
$ fdesetup status -device XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Error: The -device option is not allowed for this operation.
每次尝试使用另一个 UUID 都会导致此错误:Error: The specified volume or device 'UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU' did not return any information.
最后的问题是"How can I extract login information (not passwords) from a disk image encrypted with File Vault 2?"。根据在输入密码之前此信息的可用性,我假设用户名和其他信息(例如,密码提示)未加密并且可以从磁盘映像中提取。
期待您的反馈。
非常感谢。 步
在其中一个分区上,您会找到一个目录 "Preboot"。该目录包含一个具有唯一编号的目录,例如52C97122313-4B77-... 在这个目录中有目录 "var" 和目录 "db"。在这里您可以找到包含所需信息的 plist 文件 CryptoUserInfo.plist。
/Preboot/52C97122313-4B77.../var/db/CryptoUserInfo.plist
您可以使用文本编辑器来显示值