Извлечение имен пользователей из зашифрованного образа диска FileVault 2
Я работаю над битстримом (dd) образы дисков с MacBook (Mac OS X 10.11.6), зашифрованные с помощью File Vault 2. У меня нет пароля, пароля или ключа восстановления для разблокировки диска, но я не заинтересован в разблокировке / расшифровке диска.
Мне нужно только извлечь всю возможную информацию, связанную с экраном входа в систему. Эта информация должна включать имена пользователей, которым разрешено входить в систему, и предложения по паролю (если есть). Под предложением пароля подразумеваются предложения, которые доступны, если щелкнуть знак вопроса (?) Справа от поля пароля.
Вот пример экрана входа в систему:
Насколько я понял, система запускает специальную предварительную загрузку EFI, где отображается экран разблокировки FileVault 2 с иконками назначенных учетных записей OS X, утвержденных для разблокировки диска. Информация для входа в систему (имена пользователей и т. Д.) Не должна шифроваться, поскольку она доступна и видна при запуске системы и до входа пользователя в систему с использованием пароля (т. Е. Диск еще не разблокирован).
Я также попытался получить эту информацию, приложив изображение, а затем с помощью sudo fdesetup list -device <UUID> но, по-видимому, эта операция не допускается для внешнего устройства. Опять же, я не могу разблокировать изображение, потому что у меня нет пароля. Однако я считаю, что имена пользователей должны быть доступны где-то в незашифрованном формате, потому что они видны, когда я запускаю систему.
Вот вывод diskutil list после прикрепления образа диска (сохраненного на внешнем USB-накопителе) с hdiutil attach -nomount /Volumes/USB/image.dd.dmg:
/dev/disk0 (internal):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme 500.3 GB disk0
1: EFI EFI 314.6 MB disk0s1
2: Apple_APFS Container disk1 500.0 GB disk0s2
/dev/disk1 (synthesized):
#: TYPE NAME SIZE IDENTIFIER
0: APFS Container Scheme - +500.0 GB disk1
Physical Store disk0s2
1: APFS Volume Macintosh HD 143.2 GB disk1s1
2: APFS Volume Preboot 21.0 MB disk1s2
3: APFS Volume Recovery 522.1 MB disk1s3
4: APFS Volume VM 1.1 GB disk1s4
/dev/disk2 (external, physical):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme *3.0 TB disk2
1: Microsoft Reserved 16.8 MB disk2s1
2: Microsoft Basic Data TARGET 3.0 TB disk2s2
/dev/disk3 (disk image):
#: TYPE NAME SIZE IDENTIFIER
0: GUID_partition_scheme +121.3 GB disk3
1: EFI EFI 209.7 MB disk3s1
2: Apple_CoreStorage Macintosh HD 120.5 GB disk3s2
3: Apple_Boot Recovery HD 650.0 MB disk3s3
Offline
Logical Volume Macintosh HD on disk3s2
UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
Locked Encrypted
Вот вывод diskutil cs list:
CoreStorage logical volume groups (1 found)
|
+-- Logical Volume Group UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
=========================================================
Name: Macintosh HD
Status: Online
Size: 120473067520 B (120.5 GB)
Free Space: 12656640 B (12.7 MB)
|
+-< Physical Volume UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
| ----------------------------------------------------
| Index: 0
| Disk: disk3s2
| Status: Online
| Size: 120473067520 B (120.5 GB)
|
+-> Logical Volume Family UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU
----------------------------------------------------------
Encryption Type: AES-XTS
Encryption Status: Locked
Conversion Status: Complete
High Level Queries: Fully Secure
| Passphrase Required
| Accepts New Users
| Has Visible Users
| Has Volume Key
|
+-> Logical Volume XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
---------------------------------------------------
Disk: -none-
Status: Locked
Size (Total): 120108089344 B (120.1 GB)
Revertible: Yes (unlock and decryption required)
LV Name: Macintosh HD
Content Hint: Apple_HFS
Если я попробую fdesetup Команда, я получаю следующую ошибку:
$ fdesetup status -device XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Error: The -device option is not allowed for this operation.
Каждая попытка использования другого UUID вызывает эту ошибку: Error: The specified volume or device 'UUUUUUUU-UUUU-UUUU-UUUU-UUUUUUUUUUUU' did not return any information.
Наконец, возникает вопрос: "Как извлечь информацию для входа (не пароли) из образа диска, зашифрованного с помощью File Vault 2?". Исходя из доступности этой информации перед вводом пароля, я предполагаю, что имена пользователей, а также другая информация (например, подсказки пароля) не зашифрованы и могут быть извлечены из образа диска.
Ждем ваших отзывов.
Большое спасибо. gostep
0 ответов
На одном из разделов вы найдете каталог "Preboot". Этот каталог содержит каталог с уникальным номером, например, 52C97122313-4B77-... В этом каталоге есть каталог "var", а там каталог "db". Здесь вы можете найти файл plist CryptoUserInfo.plist, который содержит желаемую информацию.
/Preboot/52C97122313-4B77.../var/db/CryptoUserInfo.plist
Вы можете использовать Texteditor, чтобы показать значения