Buenas.
Tengo un volcado de memoria de una máquina Windows y estoy analizándola con Volatility.
La máquina tenía un volumen cifrado con TrueCrypt, y éste estaba en ejecución en el momento del volcado.
Quiero encontrar la clave de cifrado. He probado con los comandos
volatility truecryptmaster
volatility truecryptsummary
volatility truecryptpassphrase
Los dos primeros me muestran resultados, pero el último (el que me da la clave) no me arroja ningún resultado.
Si está el proceso en ejecución, la clave debe estar en memoria ¿Cómo puedo encontrarla?
Gracias!