Доброго.
Имеется системный диск, с которого грузится Windows 10
Диск пошифрован Secret Disk-ом который по USB донглу при загрузке расшифровывает раздел на лету.
Диск пошифрован не полностью, MBR и бутовый раздел в 500 Мб незашифрованы, всё остальное - криптоданные, включая бут-сектор системного раздела, емкость 320 Гб.
Донгл в наличии, пароль известен, но ничего с системой сделать нельзя, учетная запись не имеет админских прав, нельзя сделать образ системы, требует пароль админа, который не известен.

Вопрос - как получить права админа в системе или расшифровать раздел по известному паролю от донгла?

| Сообщение посчитали полезным:

* удалил, речь о админе софта.

| Сообщение посчитали полезным:

Расшифровать никак - даже если ты узнаешь алгоритм шифрования и напишешь декриптор, без админ прав не получишь прямой доступ к диску.
Если комп никак не защищён физически, то переставь винт в другой комп где есть права, поставь тот же софт и расшифруй.
Других вариантов особо нету - сбросить пароль на учётку админа в пошифрованной системе ты не сможешь.

| Сообщение посчитали полезным:

Были статьи про атаки на различные шифровалки дисков типа TrueCrypt через внедреж трояна в MBR.
Троян из MBR мигрирует в основную систему и делает дело.

| Сообщение посчитали полезным:

YURETZS пишет:
как получить права админа в системе
Через любой local root эксплоит из metasploit framework, если система не обновляется. Можно вставить карту IEEE1394 и через этот порт получить доступ к физической памяти.

YURETZS пишет:
расшифровать раздел
Получаем права админа и делаем дамп partition device в расшифрованном виде.

cppasm пишет:
Если комп никак не защищён физически, то переставь винт в другой комп где есть права, поставь тот же софт и расшифруй.
+1
Первым делом снять полную копию диска, а после разберёмся... Например можно примонтировать её в виртуалку, запущенной виртуалке поправить память и получить админа на guest OS.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Ok, ищу диск для дампа, завиртуалить не проблема, главное чтобы донгл пробросился, хотя софт Secret Disk-а (досовская оболочка) возможно вшит в UEFI бука, тогда будет сложнее.

| Сообщение посчитали полезным:

Полный дамп памяти делается через IEEE1394. И он обязательно содержит ключевое расписание к применяемым к диску алгоритмам шифрования. В самом тяжком случае можно разреверсить софт и написать тулзу для поиска ключей и расшифровки дампа. Но куда проще снять дамп с работающей системы.

Получить админа можно записью в физическую память через IEEE1394. Ищем там сигнатуру функции ядра SeAccessCheck и патчим на xor eax, eax /inc eax/ ret, это вырубает всю систему безопасности на корню, делай всё что хош с любой учётки.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr
Осталось придумать, как в современный бук воткнуть 1394 ...

| Сообщение посчитали полезным:

PCMCIA слоты расширения есть? Ещё внутренний радиомодуль обычно подключается через PCI-X, должны существовать переходники с такого ушербного PCI-X слота на PC карту, поищи у китайцев на алиекспрессе.

И вообще - первым делом опробуй метасплоит. Может там незапатчена подходящая уязвимость.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

YURETZS пишет:
в современный бук воткнуть 1394
А снять жесткий с бука нельзя?

| Сообщение посчитали полезным:

TryAga1n
Можно, есть возможность сделать копию, но я не уверен, что воткнув в новое железо система запустится.

| Сообщение посчитали полезным:

Зачем тебе запускать систему с этого винта, если есть ключ и знаешь пароль?
Поставь в рабочую систему вторым винтом, поставь этот софт (желательно той же версии), воткни ключ и расшифруй.

| Сообщение посчитали полезным: