Zum Inhalt springen

pywallet recover

Baba99

Von Baba99
in Technik, Entwicklung & Sicherheit

 Teilen

Empfohlene Beiträge

Baba99

Baba99

Geschrieben
Geschrieben

Hey

ich habe folgendes Problem:

ich versuche alte gelöschte wallets über pywallet wiederherzustellen. Er findet auch wallets fragt jedoch nach dem Passwort, dass mir nur noch in Teilen geläufig ist. Ich würde gerne über btcrecover das Passwort finden. Leider benötige ich dafür eine Walletdatei. pywallet erstellt zwar eine Datei, jedoch nur die wallets ohne Passwort, bzw. mit bekanntem Passwort. Es bleiben aber immer verschlüsselte Keys übrig. Gibt es eine Möglichkeit eine wallet mit den verschlüsselten Keys zu erstellen um ein Brutforce zu versuchen? Bin kein Profi, versuche aber mich in die Materie einzulesen. Hat vielleicht jemand eine Idee?

 

Link zu diesem Kommentar
Auf anderen Seiten teilen
Cricktor

Cricktor

Geschrieben
Geschrieben (bearbeitet)

Beschreib' doch bitte mal die Ausgangssituation, in der du bist (OS; was für ein Datenträger; was für ein Dateisystem; warum sind da gelöschte Wallet-Dateien; von welcher Wallet-Software stammen die Wallet-Dateien; usw. usf. möglichst detailliert, bitte).

Offenbar sind keine Backups vorhanden. NICHT mit dem Original-Datenträger arbeiten, sondern immer mit einer forensischen (Bit-für-Bit) Image-Kopie des Datenträgers arbeiten. IMMER eine forensische Image-Kopie haben, von der ausschließlich durch Lesen Arbeitskopien erstellt werden. So verhinderst du, daß der Original-Datenträger ungünstig verändert wird, was spätere Recovery-Versuche nur verschlechtern kann.

Manche Datenträger-Imager versuchen "schlau" zu sein und nur "belegte" Sektoren zu kopieren. Das ist für eine forensische Kopie unerwünscht, denn diese soll ALLE Sektoren eines Datenträgers bzw. Volumes kopieren, damit man auch den Inhalt von Sektoren gelöschter Dateien und Verzeichnisse mitkopiert. Also bei den Kopiereinstellungen sowas wie "alle Sektoren lesen/kopieren" aktivieren oder Tools benutzen, die explizit forensische Kopien erstellen (unter Linux z.B. ddrescue oder ähnliche Tools).

Bearbeitet von Cricktor
  • Love it 1
  • Like 2
Link zu diesem Kommentar
Auf anderen Seiten teilen
Baba99

Baba99

Geschrieben
  • Autor
Geschrieben

Hey

vielen Dank erstmal fürt deine Antwort. Ausgangslage zwei alte Rechner auf dem Dachboden gefunden aus der Zeit 2009/10/11. Meine Frau wollte die bereits entsorgen. Ich bin kein Profi, doch die Festplatten wollte ich noch retten. So habe ich die Platten ausgebaut und wie du schon sagtest eine 1 zu 1 Kopie erstellt. Die Platten selbst liegen jetzt im Schrank. Über Photorec habe ich die Berkeley Dateien rausgefiltert und auf einen USB-Stick übertragen. Soweit ich mich erinnere wurde der Rechner mal neu aufgesetzt und alle Dateien gelöscht. Dann mit pywallet als recoverdevice den USBstick angegeben. Dabei hat er mehrere wallets gefunden. Mit meinem Standardpasswort konnte ich auch eine wallet wiederherstellen, jedoch nur ungenutzte Adressen. Es bleiben jedoch immer noch ungeöffnete Schlüssel zurück, die auf Grund fehlenden bzw. falschen Passworts nicht wiederhergestellt werden konnten. Die Platten haben Windows 7 installiert (NTFS) Die Walletsoftware war Bitcoin Core. Ich habe in 2010/11 aus Neugierde mit Bitcoin experimentiert, da aber zu diesem Zeitpunkt Bitcoin noch in Centbeträgen gerechnet wurde auch mehr als Spielerei angesehen.(Wenn das einer geahnt hätte :)) Ich glaube eigentlich nicht, dass ich dort noch was finde, dennoch macht mich die verschlüsselte Wallet stutzig und würde gerne sichergehen! Überraschungen solls ja geben:)

Mein Rechner:

Windows10

Python 2.7. 14

PS: Kann nicht immer sofort antworten, da viel unterwegs.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Cricktor

Cricktor

Geschrieben
Geschrieben (bearbeitet)

Vielleicht schaust du dir das hier zum Finden von gelöschten wallet.dat Dateien mal an: https://www.disktuna.com/bitcoin-recovery-wallet-dat/
(bei dem Link lohnt es sich, die ganze Seite bis unten zu lesen; u.U. nützliche Links und Tipps dort zu finden!)

Dann würde ich auch mal den Zwischenschritt mit Photorec weglassen. pywallet.py kann auch selbst einen Datenträger nach gelöschten wallet.dat-Dateien scannen. Mir war so, ich hab' mal unter Linux damit experimentiert (hatte aber kein konkretes eigenes Recovery-Problem, das ein solches Scannen benötigt hätte; meine olle wallet.dat, die ich von einer sterbenden Festplatte kratzen musste, konnte ich auf andere Art und Weise retten) ... 

python pywallet.py --recover --recov_device /dev/sda2 --recov_size xxxGio --recov_outputdir ~/btcrecover/ (xxx Size in GB of Image)

Für --recov_device kann man vermutlich auch eine Image-Datei angeben und für --recov_size ... sollte man eine Scangröße angeben, die groß genug ist, damit das gesamte Image durchsucht wird. Viel Zeit mitbringen...

Das lässt sich sicherlich auch unter Windows analog aufrufen, muss man halt ein bißchen schauen oder 'nen Kumpel oder hier fragen, der sich mit Python gut auskennt. Ich bin noch nicht besonders fit mit Python, arbeite dran.

Wenn man dann Kandidaten für wallet.dat Dateien hat extrahieren können, vielleicht auch mal diesen Weg hier zum Knacken des Passworts ausprobieren:
http://thomas-messmer.com/index.php/howtos/14-free-knowledge/howtos/94-crypto-wallet-recovery

Mit den Hybrid-Ansätzen von teilweise Brute-force und regelbasiertem Passwort-Kandidatengenerierung kommt man u.U. auch bei längeren Passwörtern zum Ziel, allerdings erfordert das eine ungefähre Vorstellung davon, wie ein von einem Menschen / einem selbst generiertes Passwort zusammengesetzt war.

Da Menschen in der Regel schlecht damit sind, sich gute komplexe Passwörter auszudenken, ist dies durchaus hierbei ein Vorteil. (Ausnahmen können die Regel bestätigen). Wenn dir also Teile bekannt sind, die du in Passwörtern gerne verwendest, wo aber die Reihenfolge nicht passt oder hier und da Ergänzungszeichen eingestreut wurden, dann kann man daraus schon smarte Regeln basteln, die die Passwort-Suche erheblich verkürzen können. Denn alles länger als 11-12 Zeichen bei Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen will man nicht tumb per Brute-force absuchen müssen.

Wenn man schon das Passwort für seine Wallet nicht dokumentiert hat, dann erinnert man sich vielleicht einigermaßen daran, wie man welche Passwörter damals™ konstruiert oder verwendet hat. Wenn man sich natürlich als Ausnahme zur sonst üblichen Passwort-Schluderei ausgerechnet für eine "Spielwallet" ein supersicheres Passwort ausgedacht hat, dann, äh, ... blöd gelaufen.

Bearbeitet von Cricktor
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Baba99

Baba99

Geschrieben
  • Autor
Geschrieben

😂....ja das ist ja gerade der Punkt, der mich so stutzig macht. Weil, wie du sagst die "Spielwallet", habe ich ja bereits öffnen können. Warum sollte man ein komplexeres Passwort vergeben, wenn nicht mehr dahinter steckt? Außer es war etwas anderes geplant. Leider kann ich mich nach über 10 Jahren daran nicht mehr erinnern. Photorec nutzte ich als Zwischenschritt, da wie du bereits oben beschrieben hast eine walletrecover via pywallet von 320Gio gegen einen USB Stick von 16Gio einen kleinen aber nicht unerheblichen Zeitunterschied darstellt. Jetzt aber die entscheidende Frage, den python bzw. pywallet Befehl habe ich bereits genau so angewendet, jedoch ohne ~/btcrecover/. Ich habe Btcrecover-master auf C:\ installiert. Und das Programm verlangt die Ablage der Wallet unter c:\btcrecover-master\. Genau hier ist jedoch mein Problem, dass eine Walletdatei nicht wiederhergestellt wird ohne das Passwort. Bisher hatte ich das mögliche Passwort immer manuell eingegeben. Teile des Passworts sind bekannt. Kann ich den Befehl in pywallet integrieren, und wenn ja, wie sollte dieser dann aussehen? Den Artikel von Thomas Messmer hatte ich auch bereits gelesen, jedoch benötige ich erstmal eben diese verschlüssellte Wallet. Nochmal vielen herzlichen Dank für deine Hilfe....und sollte hier eine supersichere "Spielwallet" das Ergebnis sein, so hatte man eine nette Schatzsuche und eine Erfahrung mehr 😉

Link zu diesem Kommentar
Auf anderen Seiten teilen
Cricktor

Cricktor

Geschrieben
Geschrieben (bearbeitet)
vor 2 Stunden schrieb Baba99:

Photorec nutzte ich als Zwischenschritt, da wie du bereits oben beschrieben hast eine walletrecover via pywallet von 320Gio gegen einen USB Stick von 16Gio einen kleinen aber nicht unerheblichen Zeitunterschied darstellt.

Naja, Zeit ist doch jetzt fast egal. Indem du Photorec dazwischen schaltest, verlässt du dich darauf, daß Photorec wirklich alles relevante zusammensetzen kann. Das Vertrauen mag berechtigt sein, aber ich würde es definitiv auch ohne Photorec mit pywallet auf dem ganzen Image versuchen. Keine Garantie auf Erfolg, aber den Versuch nicht unternommen zu haben, würde mich nicht ruhig schlafen lassen.

 

vor 19 Stunden schrieb Cricktor: 
... --recov_outputdir ~/btcrecover/ ...

Der Aufrufparameter-Teil sagt pywallet ja nur, die gefundenen Sachen in ein Verzeichnis "btcrecover" im Home-Verzeichnis des aktuellen User-Accounts abzulegen. Den Ordner "btcrecover" (oder ein anderer Name, wie man möchte) sollte man vorher erstellen. Auch wo genau der ist, kann man selbst wählen. Das eigene Konto muss nur Schreib-/Leserechte dort haben. Ob man das Partitions-Blockdevice (in meinem Linux-Beispiel /dev/sda2, die zweite Partition auf der ersten Festplatte aus der Sicht von Linux) durch eine Image-Datei ersetzen kann, käme auf einen Versuch an.

Ich fühle mich bei solchen Sachen etwas "wohler" mit Linux, als mich von Windows auf welche Art und Weise auch immer "bevormunden" zu lassen.

Noch'n wichtiger Tipp: man sollte überprüfen, ob die eigenen Tools und Schritte überhaupt zum Erfolg führen können! Zu dem Zweck würde ich einen kleinen (virtuellen) Test-Datenträger erstellen und mit NTFS formatieren (besser nicht auf Flash-basiertem Medium anlegen, weil Flash-Speicher (auch evtl. USB-Sticks) durch Trim-Operationen nach dem Löschen u.U. den Inhalt von Datenblöcken ungünstig verändern können. Der Ausgangsdatenträger war ja auch eine Festplatte und die macht üblicherweise kein Trim). Eine neue Bitcoin Core Wallet darauf erstellen und alle Keys, auch die Private Keys exportieren. Dann die zugehörige wallet.dat löschen und sofort ein Image des Test-Datenträgers machen.

Wenn man jetzt nicht in der Lage wäre, diese gelöschte Test-Wallet auf dem Image des Test-Datenträgers zu recovern (wieder alle Keys exportieren und mit dem Ausgangs-Export vergleichen!), wie sollte das dann mit dem realen Image funktionieren?

Macht Aufwand, das eigene Recovery-Prozedere zu testen, erspart aber später Frust bzw. zeigt zügig, ob man überhaupt eine Chance hätte, etwas zu erreichen. Die Ausgangslage ist ja eh etwas bescheiden.

Du musst die Recovery nicht mit Linux machen. Das sollte eigentlich auch mit Windows gehen. Testen und Versuch macht kluch...

Bearbeitet von Cricktor
Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.