Linux内存加密密钥提取工具（linux秘钥存放位置）

今天给大家介绍的是一款名叫CryKeX的工具，大家可以使用该工具从任何基于Unix操作系统的运行内存中提取出加密密钥。

CryKeX特性

1. 跨平台

2. 简单实用

3. 交互性强

4. 兼容性/可移植性强

5. 应用程序独立

6. 进程封装/注入

依赖条件

1. Unix-理论上说，该工具可在任何基于Unix的操作系统平台上正常工作。

2. BASH-支持所有脚本的运行。

3. Root权限（可选项）

限制条件

1. 仅支持AES和RSA密钥

2. 目前对Firefox浏览器的支持暂不完美

3. 不支持磁盘加密（LUKS）以及PGP/GPG

4. 需要适当的用户权限以及内存授权

工作机制

基本上说，该工具会寻找某些类似密钥的数据，并通过分析其内存架构（C数据类型）来判断目标数据（密钥）的有效性。在此之前，我们也对DRAM的加密密钥安全问题进行了讨论，感兴趣的同学可以阅读下面给出的文章。【参考文献一】【 参考文献二】

CryKeX可以导出目标进程的实时内存数据，然后从中寻找出可能存在的密钥信息，整个过程中内存映射并不会发生改变。工具脚本不仅能够向正在运行的进程中注入命令，而且还可以封装新的进程（通过单独启动进程后再进行注入来实现）。这样一来，该工具几乎就可以从目标系统中的任意进程/代码中提取密钥了。

当然了，系统内核会对内存访问等行为进行限制，这也就意味着你在进行操作的过程中需要一定的高级权限。

Linux磁盘加密（LUKS）使用了反取证技术来缓解这类安全问题，但是我们仍然有可能从一段完整的内存中提取出密钥。

Firefox浏览器使用了一些类似的内存管理机制，因此当前版本的CryKeX可能无法从Firefox浏览器中提取出密钥数据。除此之外，对于PGP/GPG也是一样的（不适用）。

如何使用

安装依赖：

sudoapt install gdb aeskeyfind rsakeyfind || echo 'have you heard about sourcecompiling?'

针对openSSL AES密钥的交互示例：

opensslaes-128-ecb -nosalt -out testAES.enc

输入一个密码两次，然后在命令终止运行之前输入一些文本：

CryKeX.shopenssl

最后，按下组合键Ctrl+D三次来检查结果。

OpenSSLRSA密钥的交互示例：

opensslgenrsa -des3 -out testRSA.pem 2048

提示输入密码：

CryKeX.shopenssl

验证：

opensslrsa -noout -text -in testRSA.pem

从SSH中提取密钥：

echo'Ciphers aes256-gcm@openssh.com' >> /etc/ssh/sshd_config
ssh user@server
CryKeX.shssh

从OpenVPN中提取密钥：

echo'cipher AES-256-CBC' >> /etc/openvpn/server.conf
openvpnyourConf.ovpn
sudo CryKeX.sh openvpn

TrueCrypt/VeraCrypt也同样会受到影响：选择VeraCrypt中的“veracrypt”文件，使用密码“pass”进行加载，然后运行下列命令：

sudo CryKeX.sh veracrypt

基于Chromium的浏览器（多谢Google…）：

CryKeX.shchromiumCryKeX.shgoogle-chrome

虽然我们的工具不适用于Firefox，但Tor浏览器Bundle可能会受到影响（由于其隧道机制）：

CryKeX.shtor

除此之外，你还可以使用下列命令封装进程：

aptinstall libssl-devgcc-lcrypto cipher.c -o cipherCryKeX.shcipher wrap cipher

注意事项

欢迎大家对本程序进行测试，也欢迎有能力的同学贡献自己的代码。