VMwareWorkstation(中文名“威睿工作站”)是一款功能强大的桌面虚拟计算机软件模拟磁盘文件系统实现,提供用户可在单一的桌面上同时运行不同的操作系统,和进行开发、测试、部署新的应用程序的最佳解决方案。VMware Workstation可在一部实体机器上模拟完整的网络环境模拟磁盘文件系统实现,以及可便于携带的虚拟机器VMware 虚拟磁盘文件加密破解,其更好的灵活性与先进的技术胜过了市面上其他的虚拟计算机软件。对于企业的 IT开发人员和系统管理员而言, VMware在虚拟网路,实时快照,拖曳共享文件夹,支持 PXE 等方面的特点使它成为必不可少的工具。
Vmware虚拟机提供虚拟机加密设置,在打开虚拟机时会提示输入密码,此时的虚拟磁盘文件已加密,就无法访问此虚拟机内的任何数据,无法分析出任何有效证据文件。
解决这个问题之前,先介绍一下虚拟机配置文件vmx,文件是虚拟机系统的配置文件,(注意:刚刚安装好VMware Workstation以后是找不到这个文件的,当你在VMware Workstation中建立了一个虚拟机以后,这个文件才会出现。)这文件是用来记录你建立的虚拟机的配置的,比如多大的内存、什么型号的硬盘等等。通常通过打开这个虚拟机文件以启动系统。同样,我们通过编辑它还可以实现某种配置需求,可以用文本文档的方式将其打开,不知道怎么用文本文档打开,就新建并打开一个文本文档,将此文件拖到这个文本文档上来。我猜想既然是配置文件,极有可能会保存虚拟机的密码。下面我们来观察,加密前与加密后vmx文件的变化。vmx文件位于创建的虚拟机的根目录下。我们可以看见,未加密的vmx文件是明文显示的,显示了这个虚拟机的显示名称,cpu配置,内存配置等等。下图是为未加密的vmx文件。
加密后的vmx长的这样,以前的明文内容全部加密显示,不知道这个虚拟机的任何信息,并且多了keySafe内容,虚拟机的密码就存在这里。如下图:
通过URL解码后,可以得知这个虚拟机加密的算法、哈希值类型等,如下图:
介绍到这,想必大家也有了自己的思路,下面介绍我的两个解决这个问题的方法:
1、 替换法
首先,新建一个和之前系统一样的虚拟机,配置随意,然后找到保存配置的目录,复制.vmsd、.vmx 过去覆盖,然后打开该虚拟机(不是启动!),删掉之前的磁盘,加载加密过的磁盘,直接就可以用了(经过试验验证,完全通过)。
2、 破解密码
很可惜的是hashcat目前并不支持这个破解,我已找到相应的工具,进行暴力破解。破解过程如下,首先将要破解的vmx文件拷贝到与破解工具同目录下。为方便将vmx文件重新命名为1.vmx。然后运行破解脚本,经过实测,6为数字密码秒破。我使用vmware workstation的版本为15.5.1。
需要注意的是,如果您丢了之前的vmsd、vmx。很遗憾的告诉您,您恐怕永远无法解密vmdk 文件了。
“盘古石”团队是奇安信科技集团股份有限公司旗下专注于电子数据取证技术研发的团队,由来自国内最早从事电子数据取证的成员组成。盘古石团队以“安全为先,洞鉴未来”为使命,以“漏洞思维”解决电子数据取证难题,以“数据驱动安全”为技术思想VMware 虚拟磁盘文件加密破解,以安全赋能取证,研发新一代电子数据取证产品,产品涵盖计算机取证、移动终端取证、网络空间取证、IoT取证、取证数据分析平台等电子数据取证全领域产品和解决方案,为包括公安执法、党政机关、司法机关以及行政执法部门等提供全面专业的支持与服务。
留言评论