[CNick]

Добрый день,

 

Не буду тянуть кота за хвост переду сразу к делу :) Есть система которая состоит из загрузчика (grub), linux ядра и зашифрованной ФС, ключ от ФС храниться в бинарнике ядра. Есть ли вероятность вытянут из бинарника ключ или это нереально? (бинарник весит 300 мегабайт)

 

P.S. Стало интересно что находится внутри Cisco CSR1000V :)

[nuclearcat]

имхо дизассемблировать надо

И еще не факт, что он в бинарнике, может быть какой-нить TPM

[CNick]

Это система для облаков, там не может быть TPM.

[[anp/hsw]]

Сначала разберите ядро примерно таким способом:

http://forum.xda-developers.com/wiki/Extract_initramfs_from_zImage

 

Если найдете initramfs - найдете и ключ, или хотя бы явно посмотрите, как там init происходит.

Если не найдете - тогда запуском трассировкой с gdb, или через диассемблировать через IDA.

[CNick]

Спасибо буду пробовать, о результатах отпишусь :)

[2c2i]

Есть система которая состоит из загрузчика (grub), linux ядра и зашифрованной ФС, ключ от ФС храниться в бинарнике ядра.

 

Если система грузится сама(имеется ввиду ключ вводить не нужно), то может банально попробовать init=/bin/bash параметром ядра, перед тем как к серьезным действиям приступать?

[[anp/hsw]]

Баша там вообще может не оказаться, также как и *sh.

А лучше всего снять лог загрузки ядра с serial-консоли (опяиями ядра console=ttyS0 и loglevel=9), там сразу будет видно есть ли tmpfs, откуда грузиться, итд.

[Abram]

binwalk-ом пройдитесь и найдите, где там что.

[zander]

Коллеги, новости есть ?