解析 LUKS Headers 以正确读取整数值字段
Parsing LUKS Headers to Read Integer Value Fields Correctly
我正在尝试通过从安装了 luks 卷的设备读取原始数据来解析 luks header,遵循此处给出的规范:https://gitlab.com/cryptsetup/cryptsetup/wikis/LUKS-standard/on-disk-format.pdf,特别是第 6 页table 显示驻留在每个位置的数据、它是什么类型的数据以及单个值有多少种数据类型。
例如,hash-spec 字符串位于位置 72,包含 32 个 char 类型字节。将其收集到一个数组中并打印结果很简单,但是如 table 中详述的版本或 key-bytes(据推测是密钥的长度)等数值,这些值跨越在多个整数上。该版本有两个无符号短裤, key-bytes 有四个无符号整数来表示它们的值。
我对此感到有些困惑,我应该如何解释它以检索正确的值。我写了一个凌乱的测试脚本来扫描一个用 luks 加密的 USB 记忆棒,并显示从读取这些字段中检索到的内容。
256
25953
hash spec:
sha256
key bytes (length):
1073741824
3303950314
1405855026
1284286704
这非常令人困惑,因为哈希规范字段再次包含一个预期值,只是字符串本身,但我应该如何解释版本或 key-byte 字段?这两个看起来完全是随机数,据我所知,规范中没有任何内容可以解释这一点。我想这可能是我实际编写代码来执行此操作的方式的问题,下面是用于显示这些值的脚本:
#include <stdio.h>
int main() {
unsigned short data[100];
unsigned char data2[100];
unsigned int data3[100];
int i;
FILE *fp;
fp = fopen("/dev/sdd1", "rb");
fseek(fp, 6, SEEK_SET);
if (fp) {
for (i=0; i < 2; i++) {
fread(&data[i], sizeof(short), 1, fp);
}
fseek(fp, 72, SEEK_SET);
for (i=0; i < 32; i++) {
fread(&data2[i], sizeof(char), 1, fp);
}
fseek(fp, 108, SEEK_SET);
for (i=0; i < 4; i++) {
fread(&data3[i], sizeof(int), 1, fp);
}
printf("version:\n");
for (i=0; i < 2; i++) {
printf("%u\n", data[i]);
}
printf("hash spec:\n");
for (i=0; i < 32; i++) {
printf("%c", data2[i]);
}
printf("\n");
printf("key bytes (length):\n");
for(i=0; i < 4; i++) {
printf("%u\n", data3[i]);
}
fclose(fp);
}
else {
printf("error\n");
}
return 0;
}
任何帮助将不胜感激,谢谢。
问题是您正在读取的数据是大端,但您 运行 使用的计算机是小端。例如,您打印为 1073741824 的字节依次为 0x00、0x00、0x00 和 0x40。作为大端数,即 0x00000040,即 64。作为小端数,通常用于 x86 系统,即 0x40000000,长度长得离谱。
幸运的是,有些函数可以为您转换这些值。要从 32 位大端(n网络字节顺序)转换为您系统的(host 字节顺序)格式,请使用 ntohl,对于 16 位整数,使用 ntohs.
所以当你读取 16 位整数的数据时,它看起来像这样:
for (i=0; i < 2; i++) {
fread(&data[i], sizeof(short), 1, fp);
data[i] = ntohs(data[i]);
}
附带说明一下,如果您要使用固定大小的值,那么 #include <stdint.h> 然后使用类型 uint8_t、uint16_t 和 uint32_t。这些将始终是正确的大小,因为内置类型可能因平台而异。
如果您有兴趣阅读更多有关字节顺序的信息,Wikipedia has an article on it。
我正在尝试通过从安装了 luks 卷的设备读取原始数据来解析 luks header,遵循此处给出的规范:https://gitlab.com/cryptsetup/cryptsetup/wikis/LUKS-standard/on-disk-format.pdf,特别是第 6 页table 显示驻留在每个位置的数据、它是什么类型的数据以及单个值有多少种数据类型。
例如,hash-spec 字符串位于位置 72,包含 32 个 char 类型字节。将其收集到一个数组中并打印结果很简单,但是如 table 中详述的版本或 key-bytes(据推测是密钥的长度)等数值,这些值跨越在多个整数上。该版本有两个无符号短裤, key-bytes 有四个无符号整数来表示它们的值。
我对此感到有些困惑,我应该如何解释它以检索正确的值。我写了一个凌乱的测试脚本来扫描一个用 luks 加密的 USB 记忆棒,并显示从读取这些字段中检索到的内容。
256
25953
hash spec:
sha256
key bytes (length):
1073741824
3303950314
1405855026
1284286704
这非常令人困惑,因为哈希规范字段再次包含一个预期值,只是字符串本身,但我应该如何解释版本或 key-byte 字段?这两个看起来完全是随机数,据我所知,规范中没有任何内容可以解释这一点。我想这可能是我实际编写代码来执行此操作的方式的问题,下面是用于显示这些值的脚本:
#include <stdio.h>
int main() {
unsigned short data[100];
unsigned char data2[100];
unsigned int data3[100];
int i;
FILE *fp;
fp = fopen("/dev/sdd1", "rb");
fseek(fp, 6, SEEK_SET);
if (fp) {
for (i=0; i < 2; i++) {
fread(&data[i], sizeof(short), 1, fp);
}
fseek(fp, 72, SEEK_SET);
for (i=0; i < 32; i++) {
fread(&data2[i], sizeof(char), 1, fp);
}
fseek(fp, 108, SEEK_SET);
for (i=0; i < 4; i++) {
fread(&data3[i], sizeof(int), 1, fp);
}
printf("version:\n");
for (i=0; i < 2; i++) {
printf("%u\n", data[i]);
}
printf("hash spec:\n");
for (i=0; i < 32; i++) {
printf("%c", data2[i]);
}
printf("\n");
printf("key bytes (length):\n");
for(i=0; i < 4; i++) {
printf("%u\n", data3[i]);
}
fclose(fp);
}
else {
printf("error\n");
}
return 0;
}
任何帮助将不胜感激,谢谢。
问题是您正在读取的数据是大端,但您 运行 使用的计算机是小端。例如,您打印为 1073741824 的字节依次为 0x00、0x00、0x00 和 0x40。作为大端数,即 0x00000040,即 64。作为小端数,通常用于 x86 系统,即 0x40000000,长度长得离谱。
幸运的是,有些函数可以为您转换这些值。要从 32 位大端(n网络字节顺序)转换为您系统的(host 字节顺序)格式,请使用 ntohl,对于 16 位整数,使用 ntohs.
所以当你读取 16 位整数的数据时,它看起来像这样:
for (i=0; i < 2; i++) {
fread(&data[i], sizeof(short), 1, fp);
data[i] = ntohs(data[i]);
}
附带说明一下,如果您要使用固定大小的值,那么 #include <stdint.h> 然后使用类型 uint8_t、uint16_t 和 uint32_t。这些将始终是正确的大小,因为内置类型可能因平台而异。
如果您有兴趣阅读更多有关字节顺序的信息,Wikipedia has an article on it。