DeltaTecs/VoSeS

# VoSeS Volatile Secret Searcher - 大规模并行的暴力破解内存转储分析工具，用于提取 (D)TLS 和 QUIC 密钥 如果你拥有： - 应用程序流量的 Wireshark 捕获文件 - 应用程序运行时生成的机器内存转储 并且你想要解密这些应用程序流量？ 那么这个工具非常适合你。要求： - 支持 CUDA 的设备 * 欢呼 * - 此工具仅支持 GCM_AES_128_SHA_256 和 GCM_AES_256_SHA_384 加密 在 Linux (Ubuntu/Debian) 上安装依赖项： ``` sudo apt update sudo apt install build-essential cmake nvidia-cuda-toolkit ``` 在 Windows 上编译： 1. `mkdir build` 2. `cd build` 3. `cmake ..` 4. `cmake --build .` 在 Linux 上编译： 1. `make` 运行测试： 1. `cmake --build . --target voses_tests --config Release` 2. `.\Release\voses_tests.exe` 运行测试： 1. `make test` 运行： ``` voses.exe --tls12 --client_random|-cr <32-byte hex> --server_random|-sr <32-byte hex> --client_finished|-cf --algorithm|-a --haystack|-h (memory dump file path) [--memory-alignment|-ma ] [--entropy|-e ] [--entropy-scan|-es] voses.exe --tls13 --app_data_record --seq_num --client_random|-cr <32-byte hex> (--client|--server) --algorithm|-a --haystack|-h (memory dump file path) [--memory-alignment|-ma ] [--entropy|-e ] [--entropy-scan|-es] voses.exe --quic --quic_packet [--dcid_len ] --client_random|-cr <32-byte hex> (--client|--server) --algorithm|-a --haystack|-h (memory dump file path) [--memory-alignment|-ma ] [--entropy|-e ] [--entropy-scan|-es] ``` 如果你愿意，可以将熵设置为不同的过滤值。扫描将显示有多少个 48 字节的位置与你的过滤器匹配。 使用 `--tls13` 配合 `--app_data_record` 和 `--seq_num` 来扫描 TLS 1.3 应用程序流量密钥 0；在该模式下，你必须提供 `--client_random` 以及 `--client` 或 `--server`。使用 `--tls12` 进行 TLS 1.2 主密钥扫描。使用 `--quic` 并提供 QUIC 数据包以及可选的 `--dcid_len`（短头部必需）来扫描 QUIC 应用程序流量密钥 0。 当找到与你的随机数和密文匹配的主密钥时，它将以 Wireshark 可作为主密钥日志文件读取的格式打印出来。 此工具使用基于 https://github.com/kokke/tiny-AES-c 的 AES 实现的自定义 CUDA 移植版本

标签：AES-GCM, Bash脚本, C++, CMake, CUDA, DTLS, JARM, PoC, QUIC协议, SecList, TLS 1.2, TLS 1.3, UML, Vectored Exception Handling, Wireshark, 内存分析, 内存取证, 句柄查看, 大容量数据, 密码学, 密钥提取, 并行计算, 手动系统调用, 数据擦除, 数据解密, 暴力破解, 流量解密, 网络安全, 隐私保护