迅雷網(wǎng)心云x86版虛擬機硬盤解密

下載并啟動虛擬機

請自行去網(wǎng)心云官網(wǎng)下載虛擬機鏡像弯蚜，這里以VMware為例见剩。由于本虛擬機不參與挖礦，導(dǎo)入虛擬機后喻杈，分配512M就夠了彤枢。網(wǎng)卡建議選擇僅主機模式，可以禁止程序連接迅雷服務(wù)器筒饰。一切準(zhǔn)備就緒后就可以開機了缴啡。開機后，我們可以看到一個簡陋而且無法退出的終端瓷们，上面顯示了虛擬機的ip地址盟猖。

dump出虛擬機的內(nèi)存映像

先掛起虛擬機，點擊虛擬機-電源-掛起即可换棚。此時虛擬機會暫停運行式镐，當(dāng)前的虛擬機狀態(tài)和內(nèi)存會保存在磁盤上，我們可以使用VMware自帶的一個小工具轉(zhuǎn)換狀態(tài)文件為虛擬機內(nèi)存映像固蚤。
找到VMware安裝目錄下的vmss2core.exe娘汞，正常安裝時，這個文件會在C:\Program Files (x86)\VMware\VMware Workstation下夕玩。然后找到網(wǎng)心云虛擬機目錄下的vmss和vmem文件你弦，使用vmss2core轉(zhuǎn)換成內(nèi)存映像，像這樣

轉(zhuǎn)換得到內(nèi)存映像

內(nèi)存映像為vmss.core0和vmss.core1燎孟，保留備用禽作。繼續(xù)運行虛擬機，然后輸入shutdown關(guān)機揩页。請文明關(guān)機旷偿，不要暴力斷電，養(yǎng)成好習(xí)慣爆侣。

把硬盤掛載到其它虛擬機上操作

打開另一個Linux虛擬機萍程，將網(wǎng)心云虛擬機的硬盤添加到此虛擬機中。本人使用Ubuntu server 18.04 系統(tǒng)演示兔仰。方便起見茫负，我使用PuTTY登錄系統(tǒng)。

加密分區(qū)

sda是虛擬機的硬盤乎赴∪谭ǎ可以看到潮尝，除了作為邏輯分區(qū)sda4，其它分區(qū)全都加密了饿序，包括boot分區(qū)勉失。

提取內(nèi)存映像中的密鑰

分區(qū)屬性

我們可以使用cryptsetup luksDump /dev/X (X為磁盤設(shè)備文件)命令查看加密屬性。可以看到嗤堰，分區(qū)的主密鑰為256位戴质。
在此科普一下度宦，加密分區(qū)的是主密鑰踢匣，而主密鑰又被其它密碼或密鑰文件加密。輸入密碼或密鑰文件可以得到主密鑰戈抄，而主密鑰可以解密硬盤數(shù)據(jù)离唬。
我們可以利用findaes來查找內(nèi)存中的aes密鑰。下載findaes划鸽，解壓findaes.exe到網(wǎng)心云虛擬機的目錄输莺。

查找密碼

打開cmd，切到網(wǎng)心云虛擬機文件目錄裸诽，運行findaes.exe vmss.core1嫂用，稍等一會，就能得到內(nèi)存中的AES密鑰丈冬。注意嘱函，磁盤的主密鑰是256位的，所以128位的密鑰沒用埂蕊。內(nèi)存中只會保存主密鑰往弓，并不會保存加密主密鑰的密鑰。

保存密鑰

保存主密鑰蓄氧。命令如下函似。
printf "密鑰" | tr -d ' ' | xxd -r -ps > 密鑰文件
保存完成后，可以一個一個密鑰試著解密分區(qū)喉童。
命令：cryptsetup open /dev/硬盤設(shè)備文件目標(biāo)設(shè)備文件 --master-key-file 密鑰

解密硬盤

一陣操作猛如虎撇寞，也就解出來三個分區(qū)。

掛載硬盤

讓我們先將已解密的硬盤掛載上堂氯。進入sda2重抖，講道理，這里應(yīng)該就是系統(tǒng)的根分區(qū)了祖灰。

fatab

查看fatab钟沛，發(fā)現(xiàn)沒什么好東西。那我們看看crypttab局扶，發(fā)現(xiàn)好東西了恨统。里面寫著密鑰路徑叁扫。/boot下面是空的，boot分區(qū)還沒有解密畜埋，里面的密鑰拿不到莫绣。由于根分區(qū)已解密，/.botk下的密鑰是可以拿到的悠鞍。讓我們來解密boot分區(qū)对室。注意，這里的密鑰不是主密鑰咖祭。使用cryptsetup open /dev/設(shè)備文件名目標(biāo)文件名 -d 密鑰來解密掩宜。