https://www.youtube.com/watch?v=n_3eIFMR46Y
導讀一下最新記憶體數位鑑識技術!
在有開機密碼保護鎖屏狀況下 如何做系統密碼讀取(通常這記憶體內容還包含了Google 跟Apple password)
這使用了一個 Thunderbolt port 做DMA attack ,便可以未經授權Dump整個系統記憶體.
主要原理請參考這
https://media.blackhat.com/…/US-13-Sevinsky-Funderbolt-Adve…
硬體設備是這樣的
1.Thunderbolt to pci-e 轉換器
thunderbolt 端接上被攻擊的電腦
pci-e 卡端接如下介面卡
2.USB 3380 - Broadcom usb to pci-e soc.
(目前唯一一般用途是 usb 3.0 to pci-e storage 跟開發測試使用 )
都接好後 usb 接到攻擊端電腦.執行漏洞 這端就可以開始Dump memory .
再從dump memory取得所需要的密碼.
這方法非常有趣. 其實我們閱讀這些高手文章 不一定有時間照做 但是確可以延伸一些思路 有機會我們再公開這些延伸思路實作.
相關貼文
http://www.osslab.com.tw/?p=3161
Search