Volatility. Encontrar datos de un proceso (TrueCrypt)

  • 0 Respuestas
  • 626 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado banderas20

  • *
  • Underc0der
  • Mensajes: 97
  • Actividad:
    0%
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
Buenas.

Tengo un volcado de memoria de una máquina Windows y estoy analizándola con Volatility.
La máquina tenía un volumen cifrado con TrueCrypt, y éste estaba en ejecución en el momento del volcado.

Quiero encontrar la clave de cifrado. He probado con los comandos


volatility truecryptmaster
volatility truecryptsummary
volatility truecryptpassphrase


Los dos primeros me muestran resultados, pero el último (el que me da la clave) no me arroja ningún resultado.

Si está el proceso en ejecución, la clave debe estar en memoria ¿Cómo puedo encontrarla?


Gracias!