Windige Festplattenverschlüsselung

Seite 2: Windige Festplattenverschlüsselung

Die Geschichte beginnt damit, dass ich mal so aus Neugier mit dem Diskeditor in den ersten Sektor der verschlüsselten (Slave-)Platte geschaut habe:

0000 18 39 85 76 43 04 F6 5F-D0 42 F0 C2 27 CE 5E A6   .9.vC.._.B..'.^.
0010 C5 76 02 B0 F6 A9 D7 A8-5C 2F 63 65 C3 66 5F E4   .v......\/ce.f_.
0020 43 C1 24 92 DD 93 A0 A5-42 85 4C BE 3B 85 8B D3   C.$.....B.L.;...
0030 00 7F B0 10 FA 80 1A 16-5E DA 8C 8E 06 AB A2 A9   ........^.......
0040 7C 0E 9D CA 7E 9A FF C6-04 8A 25 F0 B4 58 55 05   |...~.....%..XU.
0050 3D 33 CF 9C 84 D0 7E 33-42 A0 24 D6 A2 40 A2 5C   =3....~3B.$..@.\
0060 24 D6 22 02 DA 02 6B 61-86 B3 50 2C 42 60 A0 29   $."...ka..P,B`.)
0070 62 20 82 68 72 60 52 01-08 01 D8 23 0C CE F2 A9   b .hr`R....#....
0080 E5 9F B9 30 83 93 0B 42-7F BA DD 6A 04 92 47 33   ...0...B...j..G3
0090 9A 67 6B E7 7D BF EC 2E-FB 2C 63 25 02 01 3B 52   .gk.}....,c%..;R
00A0 04 8A 27 D0 14 F1 22 B1-44 07 BD 63 79 FE 09 53   ..'...".D..cy..S
00B0 C4 FB E8 6D 50 4F C3 1D-02 F8 CD BE 5E 7D 6C 96   ...mPO......^}l.
00C0 FB 61 0C F1 A6 81 02 68-78 A3 1F CE A4 E8 5E 00   .a.....hx.....^.
00D0 5F E4 A0 68 52 20 F3 BA-D8 B1 C1 79 1F E0 75 29   _..hR .....y..u)
00E0 52 20 45 0F 15 3F 3B 52-04 10 BB A7 56 8B CA C1   R E..?;R....V...
00F0 14 F1 9A 28 81 B7 8B 42-1C DA C0 05 FE 40 50 D0   ...(...B.....@P.
0100 37 B3 CF EA 07 F7 FE 23-7A 20 CF EA 11 00 72 5E   7......#z ....r^
0110 24 51 14 8A E0 68 9D 2D-94 31 CC D1 FB 72 A2 5C   $Q...h.-.1...r.\
0120 1C 3A 87 3C A0 1A F2 A5-D6 34 5F 97 3D 53 D0 7C   .:.<.....4_.=S.|
0130 91 83 4E 00 DC 10 5C 74-33 00 6B 99 17 20 D0 5C   ..N...\t3.k.. .\
0140 6C 32 4A 01 46 D1 FA 74-5C 20 69 98 4C 13 7A D2   l2J.F..t\ i.L.z.
0150 4E 21 C9 7B 4E D1 5C D0-13 C0 4E 21 FC B1 5C F4   N!.{N.\...N!..\.
0160 EE 13 A0 12 95 D1 D2 F4-B1 E1 AC 52 DC 12 D0 74   ...........R...t
0170 FE 10 49 B8 8C D0 F4 D6-DE 12 CD CB 00 00 00 00   ..I.............
0180 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
0190 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
01A0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
01B0 00 00 00 00 24 02 F0 48-5A 66 8B 5B 00 00 80 00   ....$..HZf.[....
01C0 00 01 26 FA 63 23 00 BE-00 00 21 AC 00 21 00 00   ..&.c#....!..!..
01D0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
01E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
01F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 32 CD   ..............2.

Moment mal, das sind verdächtig viele Nullen am Ende. Die Ausgabe eines vernünftigen Verschlüsselungsalgorithmus müsste eigentlich aussehen wie Zufallszahlen. Dieser Sektor hier hat aber Nullen an genau den Stellen stehen, wo man sie auch in einem Master Boot Record erwarten würde.

Hier zum Vergleich der unverschlüsselte MBR, wie die Festplatte ihn freigibt, wenn man von ihr bootet. (Im Folgenden ist der Klartext jeweils blau dargestellt, das Chiffrat rot.) Erst ein bisschen Maschinencode:

0000 33 C0 8E D0 BC 00 7C FB-50 07 50 1F FC BE 1B 7C   3.....|.P.P....|
0010 BF 1B 06 50 57 B9 E5 01-F3 A4 CB BD BE 07 B1 04   ...PW...........
0020 38 6E 00 7C 09 75 13 83-C5 10 E2 F4 CD 18 8B F5   8n.|.u..........
0030 83 C6 10 49 74 19 38 2C-74 F6 A0 B5 07 B4 07 8B   ...It.8,t.......
0040 F0 AC 3C 00 74 FC BB 07-00 B4 0E CD 10 EB F2 88   ..<.t...........
0050 4E 10 E8 46 00 73 2A FE-46 10 80 7E 04 0B 74 0B   N..F.s*.F..~..t.
0060 80 7E 04 0C 74 05 A0 B6-07 75 D2 80 46 02 06 83   .~..t....u..F...
0070 46 08 06 83 56 0A 00 E8-21 00 73 05 A0 B6 07 EB   F...V...!.s.....
0080 BC 81 3E FE 7D 55 AA 74-0B 80 7E 10 00 74 C8 A0   ..>.}U.t..~..t..
0090 B7 07 EB A9 8B FC 1E 57-8B F5 CB BF 05 00 8A 56   .......W.......V
00A0 00 B4 08 CD 13 72 23 8A-C1 24 3F 98 8A DE 8A FC   .....r#..$?.....
00B0 43 F7 E3 8B D1 86 D6 B1-06 D2 EE 42 F7 E2 39 56   C..........B..9V
00C0 0A 77 23 72 05 39 46 08-73 1C B8 01 02 BB 00 7C   .w#r.9F.s......|
00D0 8B 4E 02 8B 56 00 CD 13-73 51 4F 74 4E 32 E4 8A   .N..V...sQOtN2..
00E0 56 00 CD 13 EB E4 8A 56-00 60 BB AA 55 B4 41 CD   V......V.`..U.A.
00F0 13 72 36 81 FB 55 AA 75-30 F6 C1 01 74 2B 61 60   .r6..U.u0...t+a`
0100 6A 00 6A 00 FF 76 0A FF-76 08 6A 00 68 00 7C 6A   j.j..v..v.j.h.|j
0110 01 6A 10 B4 42 8B F4 CD-13 61 61 73 0E 4F 74 0B   .j..B....aas.Ot.

Dann ein paar Fehlermeldungen im Klartext:

0120 32 E4 8A 56 00 CD 13 EB-D6 61 F9 C3 49 6E 76 61   2..V.....a..Inva
0130 6C 69 64 20 70 61 72 74-69 74 69 6F 6E 20 74 61   lid partition ta
0140 62 6C 65 00 45 72 72 6F-72 20 6C 6F 61 64 69 6E   ble.Error loadin
0150 67 20 6F 70 65 72 61 74-69 6E 67 20 73 79 73 74   g operating syst
0160 65 6D 00 4D 69 73 73 69-6E 67 20 6F 70 65 72 61   em.Missing opera
0170 74 69 6E 67 20 73 79 73-74 65 6D 00 00 00 00 00   ting system.....

ein paar Nullen

0180 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
0190 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
01A0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................

eine Festplattensignatur von Windows

01B0 00 00 00 00 00 2C 44 63-F6 06 29 70 00 00 .....,Dc..)p..

und ab Offset 0x1BE die Partitionstabelle. Sie enthält vier Einträge á 16 Byte, von denen hier nur der erste belegt ist:

01B0                                           00 01                 ..
01C0 01 00 06 FE 3F 0C 3F 00-00 00 8E 2F 03 00 00 00   ....?.?..../....
01D0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
01E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
01F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00         ..............

Die letzten beiden Bytes enthalten schließlich die Signatur 55 AA:

01F0                                           55 AA                 U.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Windige Festplattenverschlüsselung

Seite 2: Windige Festplattenverschlüsselung

Spiele

6 Monate mit 50 % RabattVolles Wissen, halber Preis: 6 Monate mit 50 % Rabatt

Das digitale Abo für IT und Technik.