由電腦鑑識看帳號
hiberfil 时间:2021-01-30 阅读:()
由電腦鑑識看帳號//密碼的竊取密碼的竊取2009/July2009/July講師講師::鑒真數位鑒真數位黃敬博黃敬博po@iforensics.
com.
twpo@iforensics.
com.
tw(EnCE/CCE/CIFI/CHFI/CEH/CISSP)(EnCE/CCE/CIFI/CHFI/CEH/CISSP)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com國內趨勢國內趨勢根據內政部警政署的統計資料顯示根據內政部警政署的統計資料顯示去年去年(97(97年年))妨害電腦使用案,犯罪方式第一名為妨害電腦使用案,犯罪方式第一名為無故取得、刪除或變更他人電腦或電磁紀錄無故取得、刪除或變更他人電腦或電磁紀錄(56.
47%)(56.
47%)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com案例說明案例說明YahooYahoo帳號失竊案例帳號失竊案例––網路犯罪最愛偷的帳號網路犯罪最愛偷的帳號若是Gmail遭竊PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com有組織的犯罪結構有組織的犯罪結構中國駭客黑色產業鏈中國駭客黑色產業鏈:2.
38:2.
38億年產值帶來億年產值帶來7676億損失億損失––僵屍電腦租借僵屍電腦租借––帳號帳號//密碼密碼((其中每天有超過上萬人次填寫申訴其中每天有超過上萬人次填寫申訴資料,反映資料,反映QQQQ密碼被盜密碼被盜))PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com不可知的殘留不可知的殘留根據加州柏克萊大學的研究,目前公司中根據加州柏克萊大學的研究,目前公司中有超過有超過93%93%的資訊產出是以數位格式分散貯的資訊產出是以數位格式分散貯存在各個系統中,同時相同的研究也指出存在各個系統中,同時相同的研究也指出在所有的資訊犯罪、侵權案例中,有超過在所有的資訊犯罪、侵權案例中,有超過85%85%的案例均會留下數位遺趾.
的案例均會留下數位遺趾.
(Footprint)(Footprint)èè示範示範PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com硬碟硬碟UnallocateUnallocate區的殘留區的殘留FileSlackFileSlackUnallocatedclusterUnallocatedclusterHardiskUnallocatedareaHardiskUnallocatedareaPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com虛擬記憶體的殘留虛擬記憶體的殘留Pagefile.
sysPagefile.
sys為為WindowsWindows平台中的虛擬記憶體平台中的虛擬記憶體,,程式執行中程式執行中的資訊很多會殘留在此部份的資訊很多會殘留在此部份,,且可能以明文且可能以明文的方式顯示的方式顯示––帳號帳號//密碼密碼––InstantMessageInstantMessage聊天的內容聊天的內容PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comWindowsWindows休眠休眠Hibernate.
sysHibernate.
sys及及Hiberfil.
sysHiberfil.
sys為為WindowsWindows平台中休眠時,將記憶體中的資平台中休眠時,將記憶體中的資訊貯存檔案名稱,可於停止休眠時迅速回訊貯存檔案名稱,可於停止休眠時迅速回復系統原始運行的狀態復系統原始運行的狀態PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comMemoryDumpMemoryDump作業系統中所有正在執行的程式及保留的作業系統中所有正在執行的程式及保留的輸入資料存在許多有用的資訊輸入資料存在許多有用的資訊使用記憶體傾印工具可將記憶體資料完整使用記憶體傾印工具可將記憶體資料完整保留為一個映像檔保留為一個映像檔PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com記憶體殘留的密碼分析記憶體殘留的密碼分析StringsStrings將將ASCIASCI字串取出字串取出––採用支援採用支援UniUni--codecode的的StringsStrings––輸出檔案輸入編輯器搜尋輸出檔案輸入編輯器搜尋(Ex:UltraEdit)(Ex:UltraEdit)使用商業軟體進行檢視及搜尋使用商業軟體進行檢視及搜尋––Encase/FTK/XEncase/FTK/X--WaysForensicsWaysForensicsPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com帳號帳號//密碼存在的形式密碼存在的形式貯存在檔案中貯存在檔案中貯存在貯存在RegistryRegistry中中貯存在貯存在CookieCookie中中貯存在貯存在DataBaseDataBase中中貯存在貯存在TokenCard/iKeyTokenCard/iKeyPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comMSNMSN的帳號的帳號//密碼密碼MSNversion8.
x/9.
xMSNversion8.
x/9.
x的密碼的密碼::ThepasswordsarestoredintheCredentialsThepasswordsarestoredintheCredentialsfile,withentrynamebeginswithfile,withentrynamebeginswith"WindowsLive:name=""WindowsLive:name="MSNversion7.
x/6.
xMSNversion7.
x/6.
x的密碼的密碼::則貯存在則貯存在RegistryRegistry機碼中機碼中V7.
0:HKEY_CURRENT_USERV7.
0:HKEY_CURRENT_USER\\SoftwareSoftware\\MicrosoftMicrosoft\\IdentityCRLIdentityCRL\\CredsCreds\\[AccountName][AccountName]V6.
0:HKEY_CURRENT_USERV6.
0:HKEY_CURRENT_USER\\SoftwareSoftware\\MicrosoftMicrosoft\\MSNMessengerorMicrosoftMSNMessengerorMicrosoft\\MessengerServiceMessengerServicePDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comYahoomessengerYahoomessenger及及GoogletalkGoogletalk的的帳號帳號//密碼密碼YahoomessengerYahoomessenger最新版為最新版為Ver9.
x:Ver9.
x:歷來歷來8/7/68/7/6的版本密碼主要均貯存於機碼中的版本密碼主要均貯存於機碼中HKEY_CURRENT_USERHKEY_CURRENT_USER\\SoftwareSoftware\\YahooYahoo\\PagerPagerGoogletalkGoogletalk最新版為最新版為Ver1.
0.
x:Ver1.
0.
x:密碼主要均貯存於機碼中密碼主要均貯存於機碼中HKEY_CURRENT_USERHKEY_CURRENT_USER\\SoftwareSoftware\\GoogleGoogle\\GoogleGoogleTalkTalk\\AccountsAccounts\\[AccountName][AccountName]PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comOutlook/OutlookexpressOutlook/Outlookexpress帳號帳號//密碼密碼OutlookOutlookOutlook2002Outlook2002--20082008帳號密碼貯存在同一個帳號密碼貯存在同一個RegistryKeyRegistryKey中中但是若經由但是若經由ADAD認證去取認證去取ExchangeExchange伺服器的信伺服器的信件則帳號件則帳號//密碼則存在於密碼則存在於CredentialfileCredentialfile中中OutlookExpressOutlookExpress密碼貯存密碼貯存ProtectedStorageProtectedStorageProtectedStorageinformationissavedinaspeciallocationintheRegistry.
ProtectedStorageinformationissavedinaspeciallocationintheRegistry.
PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comIEAutoIEAuto--completecomplete的帳號的帳號//密碼密碼新版新版IEV7IEV7及及V8V8貯存密碼於兩個地方貯存密碼於兩個地方AutoCompletepasswordsarestoredintheAutoCompletepasswordsarestoredintheRegistryunderRegistryunderHKEY_CURRENT_USERHKEY_CURRENT_USER\\SoftwareSoftware\\MicrosoftMicrosoft\\InternetInternetExplorerExplorer\\IntelliFormsIntelliForms\\Storage2.
Storage2.
HTTPAuthenticationpasswordsarestoredinHTTPAuthenticationpasswordsarestoredintheCredentialsfiletheCredentialsfilePDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comWebMailWebMail的帳號的帳號//密碼密碼HotmailHotmailYahooMailYahooMailGmailGmailWebmailWebmail的密碼主要還是存在於不同的的密碼主要還是存在於不同的RegistryKeyRegistryKey中中,,但均經過加密處理的密文但均經過加密處理的密文PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com使用工具進行帳號使用工具進行帳號//密碼的揭露密碼的揭露示範示範::整合揭密的軟體工具整合揭密的軟體工具(LiveDetector)(LiveDetector)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com瞭解加密的強度並預估所需時間瞭解加密的強度並預估所需時間瞭解你所面對加密強度及應用程式為何瞭解你所面對加密強度及應用程式為何––AES(Truecrypt)AES(Truecrypt)––PGPPGP––SkypeSkype––Wipe/CompletelydeletedtoolWipe/CompletelydeletedtoolPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comBruteforceBruteforce––Time(Howlong)Time(Howlong)當破密的強度超過一定程度後當破密的強度超過一定程度後––CPUCPU及及電腦數已不具任何意義電腦數已不具任何意義!
!
––一台一台Core2Core2的的PCPC當要破一個當要破一個PGPPGP的加密檔案的加密檔案使用暴力破解約需使用暴力破解約需11千萬年時千萬年時等於等於11千萬台千萬台PCPC要同時跑一年來破密要同時跑一年來破密….
….
PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com先瞭解你的目標對象PGP/SSL/AES/WEP/3DES…柿子挑軟的吃–先從簡單著手SocialEngineering使用習慣先破MSN/DOC/RAR密碼刪除的檔案搜尋password/account/密碼…等相關字非不得已,不用暴力破解密碼破解的邏輯PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com刪除的檔案找線索先救回已刪除檔案,方式主要有兩種:1.
修改檔案系統的索引區(FAT/FDT/MFT/InodeTable),將標示已刪除的Tag及相關資料回復為未刪除的型態2.
在Unallocate資料區搜尋符合檔頭格式及檔尾格式的資料,擷取出來另存為新的檔案直接在已刪除檔案的區域找線索PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com加密的文件檔案不同的加密文件有不同的破密困難度:1.
先從Office文件下手(必可破的文件)2.
再從PDF文件下手3.
RAR/ZIP的文件4.
付費服務(國外有許多的破密服務/破了再付費)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com密碼破解密碼破解––實務操作實務操作範例範例::使用破解的方式使用破解的方式明文破解明文破解PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com密碼破解密碼破解––字典檔攻擊字典檔攻擊大部份的破密軟體均大同小異大部份的破密軟體均大同小異––主要的區別在於字典檔的完整性及組合方主要的區別在於字典檔的完整性及組合方––字典檔買得到嗎字典檔買得到嗎––如果是有經驗的駭客如果是有經驗的駭客,,密碼的選取密碼的選取…(Non…(Non--english)english)––如何製作字典檔如何製作字典檔PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comHardDiskindexingHardDiskindexing非常有效的字典檔製作方式非常有效的字典檔製作方式不只整顆硬碟也特別適用於不只整顆硬碟也特別適用於記憶體資料記憶體資料––MemorydumpMemorydump檔案檔案––pagefile.
syspagefile.
sys檔案檔案––hiberfil.
syshiberfil.
sys及及hibernate.
syshibernate.
sysPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com什麼是RainBowTable彩虹表(用空間換取時間…)速度多快Windows密碼安全嗎Office/PDF文件加密安全嗎Zip/RAR文件加密安全嗎什麼才安全RainBowTable–最快的密碼破解PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com使用更改而非破解,此為Non-forensics作法WindowsAdministrator密碼忘了如何Linuxroot密碼忘了如何Vmware內的作業系統該如何使用chntpw製作開機光碟後可更改windows的密碼,linux只要mount檔案系統後更改/etc/shadow即可LinuxLinux或或WindowWindow密碼遺忘密碼遺忘PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com鎖定目標鎖定目標--瞭解使用者的軟體環境瞭解使用者的軟體環境電子郵件電子郵件(Outlook/OutlookExpress/Lotus(Outlook/OutlookExpress/LotusNotes/Notes/其它其它…)…)即時通訊軟體即時通訊軟體(MSN/Yahoo/GoogleTalk…)(MSN/Yahoo/GoogleTalk…)文件保護的機制文件保護的機制(PGP/Truecrypt/…)(PGP/Truecrypt/…)防毒系統防毒系統其他應用其他應用……PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com硬體式硬體式KeyLoggerKeyLoggerPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com軟體式軟體式((最普遍最普遍))--植入木馬植入木馬ScreencaptureScreencaptureKeylogKeylogURLlogURLlogFilesopenlogFilesopenlogApplicationopenlogApplicationopenlogPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com使用社交工程方式騙取使用社交工程方式騙取EE--mailmail網路釣魚的手法網路釣魚的手法設立的登入網站設立的登入網站,,詐取帳號詐取帳號//密碼密碼((一般人重複使用密碼的習慣一般人重複使用密碼的習慣))3M/3M/便利貼便利貼//圾垃中尋找圾垃中尋找.
.
台灣人最常接到的詐騙電話台灣人最常接到的詐騙電話其它其它……PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comNetworkSnifferNetworkSniffer哪些帳號哪些帳號//密碼密碼為明文為明文,,最容易在網路中竊聽最容易在網路中竊聽1.
POP31.
POP3取信取信(Outlook/Outlookexpress/Windows(Outlook/Outlookexpress/WindowsMail/LiveMail…)Mail/LiveMail…)2.
BBS(Telnet)2.
BBS(Telnet)3.
FTP3.
FTP傳檔傳檔4.
Web(Basicauthentication)4.
Web(Basicauthentication)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comWirelesshackingWirelesshackingWepauthentication(Wepauthentication(收集封包量夠多即可破收集封包量夠多即可破解解))WirelessOpenSiteWirelessOpenSite––咖啡店咖啡店……––Wifly…Wifly…––其它其它PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comNetworkattackNetworkattack若你的網路應用帳號若你的網路應用帳號//密碼密碼可以持續被猜而可以持續被猜而不鎖定不鎖定––則可用類似則可用類似Hydra/BrutusHydra/Brutus最後最後trytry出可用的帳號出可用的帳號及密碼及密碼WebWeb認證的其它攻擊認證的其它攻擊……PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com意見回饋與討論意見回饋與討論PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com
com.
twpo@iforensics.
com.
tw(EnCE/CCE/CIFI/CHFI/CEH/CISSP)(EnCE/CCE/CIFI/CHFI/CEH/CISSP)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com國內趨勢國內趨勢根據內政部警政署的統計資料顯示根據內政部警政署的統計資料顯示去年去年(97(97年年))妨害電腦使用案,犯罪方式第一名為妨害電腦使用案,犯罪方式第一名為無故取得、刪除或變更他人電腦或電磁紀錄無故取得、刪除或變更他人電腦或電磁紀錄(56.
47%)(56.
47%)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com案例說明案例說明YahooYahoo帳號失竊案例帳號失竊案例––網路犯罪最愛偷的帳號網路犯罪最愛偷的帳號若是Gmail遭竊PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com有組織的犯罪結構有組織的犯罪結構中國駭客黑色產業鏈中國駭客黑色產業鏈:2.
38:2.
38億年產值帶來億年產值帶來7676億損失億損失––僵屍電腦租借僵屍電腦租借––帳號帳號//密碼密碼((其中每天有超過上萬人次填寫申訴其中每天有超過上萬人次填寫申訴資料,反映資料,反映QQQQ密碼被盜密碼被盜))PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com不可知的殘留不可知的殘留根據加州柏克萊大學的研究,目前公司中根據加州柏克萊大學的研究,目前公司中有超過有超過93%93%的資訊產出是以數位格式分散貯的資訊產出是以數位格式分散貯存在各個系統中,同時相同的研究也指出存在各個系統中,同時相同的研究也指出在所有的資訊犯罪、侵權案例中,有超過在所有的資訊犯罪、侵權案例中,有超過85%85%的案例均會留下數位遺趾.
的案例均會留下數位遺趾.
(Footprint)(Footprint)èè示範示範PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com硬碟硬碟UnallocateUnallocate區的殘留區的殘留FileSlackFileSlackUnallocatedclusterUnallocatedclusterHardiskUnallocatedareaHardiskUnallocatedareaPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com虛擬記憶體的殘留虛擬記憶體的殘留Pagefile.
sysPagefile.
sys為為WindowsWindows平台中的虛擬記憶體平台中的虛擬記憶體,,程式執行中程式執行中的資訊很多會殘留在此部份的資訊很多會殘留在此部份,,且可能以明文且可能以明文的方式顯示的方式顯示––帳號帳號//密碼密碼––InstantMessageInstantMessage聊天的內容聊天的內容PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comWindowsWindows休眠休眠Hibernate.
sysHibernate.
sys及及Hiberfil.
sysHiberfil.
sys為為WindowsWindows平台中休眠時,將記憶體中的資平台中休眠時,將記憶體中的資訊貯存檔案名稱,可於停止休眠時迅速回訊貯存檔案名稱,可於停止休眠時迅速回復系統原始運行的狀態復系統原始運行的狀態PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comMemoryDumpMemoryDump作業系統中所有正在執行的程式及保留的作業系統中所有正在執行的程式及保留的輸入資料存在許多有用的資訊輸入資料存在許多有用的資訊使用記憶體傾印工具可將記憶體資料完整使用記憶體傾印工具可將記憶體資料完整保留為一個映像檔保留為一個映像檔PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com記憶體殘留的密碼分析記憶體殘留的密碼分析StringsStrings將將ASCIASCI字串取出字串取出––採用支援採用支援UniUni--codecode的的StringsStrings––輸出檔案輸入編輯器搜尋輸出檔案輸入編輯器搜尋(Ex:UltraEdit)(Ex:UltraEdit)使用商業軟體進行檢視及搜尋使用商業軟體進行檢視及搜尋––Encase/FTK/XEncase/FTK/X--WaysForensicsWaysForensicsPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com帳號帳號//密碼存在的形式密碼存在的形式貯存在檔案中貯存在檔案中貯存在貯存在RegistryRegistry中中貯存在貯存在CookieCookie中中貯存在貯存在DataBaseDataBase中中貯存在貯存在TokenCard/iKeyTokenCard/iKeyPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comMSNMSN的帳號的帳號//密碼密碼MSNversion8.
x/9.
xMSNversion8.
x/9.
x的密碼的密碼::ThepasswordsarestoredintheCredentialsThepasswordsarestoredintheCredentialsfile,withentrynamebeginswithfile,withentrynamebeginswith"WindowsLive:name=""WindowsLive:name="MSNversion7.
x/6.
xMSNversion7.
x/6.
x的密碼的密碼::則貯存在則貯存在RegistryRegistry機碼中機碼中V7.
0:HKEY_CURRENT_USERV7.
0:HKEY_CURRENT_USER\\SoftwareSoftware\\MicrosoftMicrosoft\\IdentityCRLIdentityCRL\\CredsCreds\\[AccountName][AccountName]V6.
0:HKEY_CURRENT_USERV6.
0:HKEY_CURRENT_USER\\SoftwareSoftware\\MicrosoftMicrosoft\\MSNMessengerorMicrosoftMSNMessengerorMicrosoft\\MessengerServiceMessengerServicePDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comYahoomessengerYahoomessenger及及GoogletalkGoogletalk的的帳號帳號//密碼密碼YahoomessengerYahoomessenger最新版為最新版為Ver9.
x:Ver9.
x:歷來歷來8/7/68/7/6的版本密碼主要均貯存於機碼中的版本密碼主要均貯存於機碼中HKEY_CURRENT_USERHKEY_CURRENT_USER\\SoftwareSoftware\\YahooYahoo\\PagerPagerGoogletalkGoogletalk最新版為最新版為Ver1.
0.
x:Ver1.
0.
x:密碼主要均貯存於機碼中密碼主要均貯存於機碼中HKEY_CURRENT_USERHKEY_CURRENT_USER\\SoftwareSoftware\\GoogleGoogle\\GoogleGoogleTalkTalk\\AccountsAccounts\\[AccountName][AccountName]PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comOutlook/OutlookexpressOutlook/Outlookexpress帳號帳號//密碼密碼OutlookOutlookOutlook2002Outlook2002--20082008帳號密碼貯存在同一個帳號密碼貯存在同一個RegistryKeyRegistryKey中中但是若經由但是若經由ADAD認證去取認證去取ExchangeExchange伺服器的信伺服器的信件則帳號件則帳號//密碼則存在於密碼則存在於CredentialfileCredentialfile中中OutlookExpressOutlookExpress密碼貯存密碼貯存ProtectedStorageProtectedStorageProtectedStorageinformationissavedinaspeciallocationintheRegistry.
ProtectedStorageinformationissavedinaspeciallocationintheRegistry.
PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comIEAutoIEAuto--completecomplete的帳號的帳號//密碼密碼新版新版IEV7IEV7及及V8V8貯存密碼於兩個地方貯存密碼於兩個地方AutoCompletepasswordsarestoredintheAutoCompletepasswordsarestoredintheRegistryunderRegistryunderHKEY_CURRENT_USERHKEY_CURRENT_USER\\SoftwareSoftware\\MicrosoftMicrosoft\\InternetInternetExplorerExplorer\\IntelliFormsIntelliForms\\Storage2.
Storage2.
HTTPAuthenticationpasswordsarestoredinHTTPAuthenticationpasswordsarestoredintheCredentialsfiletheCredentialsfilePDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comWebMailWebMail的帳號的帳號//密碼密碼HotmailHotmailYahooMailYahooMailGmailGmailWebmailWebmail的密碼主要還是存在於不同的的密碼主要還是存在於不同的RegistryKeyRegistryKey中中,,但均經過加密處理的密文但均經過加密處理的密文PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com使用工具進行帳號使用工具進行帳號//密碼的揭露密碼的揭露示範示範::整合揭密的軟體工具整合揭密的軟體工具(LiveDetector)(LiveDetector)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com瞭解加密的強度並預估所需時間瞭解加密的強度並預估所需時間瞭解你所面對加密強度及應用程式為何瞭解你所面對加密強度及應用程式為何––AES(Truecrypt)AES(Truecrypt)––PGPPGP––SkypeSkype––Wipe/CompletelydeletedtoolWipe/CompletelydeletedtoolPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comBruteforceBruteforce––Time(Howlong)Time(Howlong)當破密的強度超過一定程度後當破密的強度超過一定程度後––CPUCPU及及電腦數已不具任何意義電腦數已不具任何意義!
!
––一台一台Core2Core2的的PCPC當要破一個當要破一個PGPPGP的加密檔案的加密檔案使用暴力破解約需使用暴力破解約需11千萬年時千萬年時等於等於11千萬台千萬台PCPC要同時跑一年來破密要同時跑一年來破密….
….
PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com先瞭解你的目標對象PGP/SSL/AES/WEP/3DES…柿子挑軟的吃–先從簡單著手SocialEngineering使用習慣先破MSN/DOC/RAR密碼刪除的檔案搜尋password/account/密碼…等相關字非不得已,不用暴力破解密碼破解的邏輯PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com刪除的檔案找線索先救回已刪除檔案,方式主要有兩種:1.
修改檔案系統的索引區(FAT/FDT/MFT/InodeTable),將標示已刪除的Tag及相關資料回復為未刪除的型態2.
在Unallocate資料區搜尋符合檔頭格式及檔尾格式的資料,擷取出來另存為新的檔案直接在已刪除檔案的區域找線索PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com加密的文件檔案不同的加密文件有不同的破密困難度:1.
先從Office文件下手(必可破的文件)2.
再從PDF文件下手3.
RAR/ZIP的文件4.
付費服務(國外有許多的破密服務/破了再付費)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com密碼破解密碼破解––實務操作實務操作範例範例::使用破解的方式使用破解的方式明文破解明文破解PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com密碼破解密碼破解––字典檔攻擊字典檔攻擊大部份的破密軟體均大同小異大部份的破密軟體均大同小異––主要的區別在於字典檔的完整性及組合方主要的區別在於字典檔的完整性及組合方––字典檔買得到嗎字典檔買得到嗎––如果是有經驗的駭客如果是有經驗的駭客,,密碼的選取密碼的選取…(Non…(Non--english)english)––如何製作字典檔如何製作字典檔PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comHardDiskindexingHardDiskindexing非常有效的字典檔製作方式非常有效的字典檔製作方式不只整顆硬碟也特別適用於不只整顆硬碟也特別適用於記憶體資料記憶體資料––MemorydumpMemorydump檔案檔案––pagefile.
syspagefile.
sys檔案檔案––hiberfil.
syshiberfil.
sys及及hibernate.
syshibernate.
sysPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com什麼是RainBowTable彩虹表(用空間換取時間…)速度多快Windows密碼安全嗎Office/PDF文件加密安全嗎Zip/RAR文件加密安全嗎什麼才安全RainBowTable–最快的密碼破解PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com使用更改而非破解,此為Non-forensics作法WindowsAdministrator密碼忘了如何Linuxroot密碼忘了如何Vmware內的作業系統該如何使用chntpw製作開機光碟後可更改windows的密碼,linux只要mount檔案系統後更改/etc/shadow即可LinuxLinux或或WindowWindow密碼遺忘密碼遺忘PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com鎖定目標鎖定目標--瞭解使用者的軟體環境瞭解使用者的軟體環境電子郵件電子郵件(Outlook/OutlookExpress/Lotus(Outlook/OutlookExpress/LotusNotes/Notes/其它其它…)…)即時通訊軟體即時通訊軟體(MSN/Yahoo/GoogleTalk…)(MSN/Yahoo/GoogleTalk…)文件保護的機制文件保護的機制(PGP/Truecrypt/…)(PGP/Truecrypt/…)防毒系統防毒系統其他應用其他應用……PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com硬體式硬體式KeyLoggerKeyLoggerPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com軟體式軟體式((最普遍最普遍))--植入木馬植入木馬ScreencaptureScreencaptureKeylogKeylogURLlogURLlogFilesopenlogFilesopenlogApplicationopenlogApplicationopenlogPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com使用社交工程方式騙取使用社交工程方式騙取EE--mailmail網路釣魚的手法網路釣魚的手法設立的登入網站設立的登入網站,,詐取帳號詐取帳號//密碼密碼((一般人重複使用密碼的習慣一般人重複使用密碼的習慣))3M/3M/便利貼便利貼//圾垃中尋找圾垃中尋找.
.
台灣人最常接到的詐騙電話台灣人最常接到的詐騙電話其它其它……PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comNetworkSnifferNetworkSniffer哪些帳號哪些帳號//密碼密碼為明文為明文,,最容易在網路中竊聽最容易在網路中竊聽1.
POP31.
POP3取信取信(Outlook/Outlookexpress/Windows(Outlook/Outlookexpress/WindowsMail/LiveMail…)Mail/LiveMail…)2.
BBS(Telnet)2.
BBS(Telnet)3.
FTP3.
FTP傳檔傳檔4.
Web(Basicauthentication)4.
Web(Basicauthentication)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comWirelesshackingWirelesshackingWepauthentication(Wepauthentication(收集封包量夠多即可破收集封包量夠多即可破解解))WirelessOpenSiteWirelessOpenSite––咖啡店咖啡店……––Wifly…Wifly…––其它其它PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comNetworkattackNetworkattack若你的網路應用帳號若你的網路應用帳號//密碼密碼可以持續被猜而可以持續被猜而不鎖定不鎖定––則可用類似則可用類似Hydra/BrutusHydra/Brutus最後最後trytry出可用的帳號出可用的帳號及密碼及密碼WebWeb認證的其它攻擊認證的其它攻擊……PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com意見回饋與討論意見回饋與討論PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com
JUSTG提供俄罗斯和南非CN2 GIA主机年$49.99美元JUSTGgia南非cn2南非CN2justG
JUSTG,这个主机商第二个接触到,之前是有介绍到有提供俄罗斯CN2 GIA VPS主机活动的,商家成立时间不久看信息是2020年,公司隶属于一家叫AFRICA CLOUD LIMITED的公司,提供的产品为基于KVM架构VPS主机,数据中心在非洲(南非)、俄罗斯(莫斯科),国内访问双向CN2,线路质量不错。有很多服务商实际上都是国人背景的,有的用英文、繁体搭建的冒充老外,这个服务商不清楚是不是真...
腾讯云新用户省钱秘笈购买云服务器
目前国内云计算市场竞争异常激烈,尤其是国内的腾讯云、阿里云、景安等商家促销活动一波接一波的进行,对于有需要的用户确实得到不小的实惠。但是这样给予国内的主机商确实是比较大的打击,毕竟这些商家的背景和实例强劲,即便是贴本补贴优惠,也是不怕的。前两年阿里一家各种活动促销,确实在国内市场占据主要的市场地位,腾讯云开始两年没有较大的吸引用户,不过这两年的发展还是比较稳健的。我们很多网友在之前肯定也享受到一些...
RAKsmart便宜美国/日本/中国香港VPS主机 低至月$1.99 可安装Windows
RAKsmart 商家这几年还是在做事情的,虽然他们家顺带做的VPS主机并不是主营业务,毕竟当下的基础云服务器竞争过于激烈,他们家主营业务的独立服务器。包括在去年开始有新增多个数据中心独立服务器,包括有10G带宽的不限流量的独立服务器。当然,如果有需要便宜VPS主机的他们家也是有的,比如有最低月付1.99美元的美国VPS主机,而且可选安装Windows系统。这里商家有提供下面六款六月份的活动便宜V...
hiberfil为你推荐
-
authorware素材如何用Authorware制作试题如何免费开通黄钻怎么免费开黄钻?arm开发板开发板是什么?如ARM开发板,DSP开发板等。。它和最终目标板有何区别?显卡温度多少正常显卡温度多少算正常?如何建立一个网站怎样能创建一个网站qq怎么发邮件怎么发送QQ邮件免费免费建站最好的免费建站idc前线求电影敢死队电影里的歌曲!ios系统ios系统有哪些版本?bluestackbluestacks安卓模拟器有什么用