APL Walk
This commit is contained in:
parent
8a6b9d2039
commit
3c0cb9cacd
@ -298,7 +298,40 @@ Block 2 wird ersetzt. `dmsetup` hilft.
|
|||||||
|
|
||||||
#### Zugang ohne PW
|
#### Zugang ohne PW
|
||||||
|
|
||||||
* utilmgr.exe -> cmd.exe - Ersetzen. Vorher ein Backup machen.
|
* system32: utilmgr.exe <- cmd.exe - Ersetzen. Vorher ein Backup machen.
|
||||||
|
|
||||||
|
## APL Infos
|
||||||
|
|
||||||
|
2 Crypto Spuren `scraper` testen...
|
||||||
|
|
||||||
|
1. `mmls bitlocker_image.E01`, Partition mit den meisten Sektoren ist wichtig
|
||||||
|
2. `xmount --in ewf botlocker_image.E01 --cache /tmp/bl.ovl --out raw /ewf` -> Bitlocker Image 128 GB oder so
|
||||||
|
3. Physisch & Logisch, also gleich Loop Devices machen mit `losetup --partscan --part---show /ewf/bitlocker_image.dd`
|
||||||
|
4. `ll /dev/loop7*`, in den 3er rein
|
||||||
|
5. `fsstat /dev/lopp7p3` -> "Encryption detected". Also
|
||||||
|
6. `head /tmp/digital.csv` - SCLOCK, MOSI, MISO etc. also SPF
|
||||||
|
1. `ARNE -i /tmp/digital.csv -k "1=SCLK,2=CS,3=MOSI,4=MISO" -o hh.vmk`
|
||||||
|
2. Start SPI Decoder -> Läuft :)
|
||||||
|
3. TPM Frames bei umdie 80%
|
||||||
|
4. LPC in der APL wird dauern
|
||||||
|
7. `hh.vmk` sollte in `/tmp` liegen, wenn erfolgreich extrahiert
|
||||||
|
8. `dislocker` wird gebraucht
|
||||||
|
1. Copy & paste auf der Platform `mkdir /tmp/bitlocker` (Physisch), das andere logisch.
|
||||||
|
2. diese `$()` Shell Mathe wird gebraucht, wenn loop Devices manuell erzeugt werden.
|
||||||
|
3. `dislocker -K /tmp/hh.vmk -V /dev/loop7p3 /tmp/bitlocker` - 127 GB oder so.
|
||||||
|
9. `fsstat /tmp/bitlocker/dislocker-file | less` - XP heißt nicht Windows XP, sondern NTFS Version
|
||||||
|
10. `fls /tmp/botlocker/dislocker-file`
|
||||||
|
11. `utilmgr.exe` mit Sleuth backuppen, kopiere dann `cmd.exe` drüber.
|
||||||
|
12. loopdevice auf dislocker file
|
||||||
|
13. dmsetup.txt erzeugen gemäß Tabelle
|
||||||
|
14. Neues loop Devices gem. NTFS Partition, und dann noch was hinten dran kommt. cat Befehl aus dem 4n6
|
||||||
|
1. Basic Data Partition nicht mehr Bitlocker, sondern NTFS
|
||||||
|
15. `xmount --in raw /dev/mapper/merged --cache /tmp/blohne.ovl --out vdi /ewf2` (virtuelles Device, kann also durch Reboot verschwinden). EWF wird 12 GB oder so. RAW 128 GB.
|
||||||
|
1. `ewf2` muss vorher angelegt werden
|
||||||
|
16. ...
|
||||||
|
17. VDI für VBox für die 100% Lösung, also Gast OS bauen
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
# foo
|
# foo
|
||||||
|
|
||||||
|
|||||||
Loading…
Reference in New Issue
Block a user