Извлечение хэш и подбор паролей wallet.dat. Можно ли проверить wallet.dat на подлинность?

[Galh]

Всем доброго времени суток, начал разбираться в теме сравнительно недавно, просто есть несколько кошельков, как со значительным количеством монет, так и не с очень большим. Далее несколько идиотских вопросов от начинашки. Прошу помочь разобраться т.к. облазил уже множество форумов, в т.ч. и англоязычных, но ответов не нашел. Мне все это больше интересно в образовательных целях, хотя если удастся извлечь из этого выгоду - тоже будет хорошо, тем более что дедушка Ленин завещал делиться)

 

Вопрос первый:

Работаю под Ubuntu х64, установил Питон, установил John the Ripper, скачал с GitHub bitcoin2john.py. Когда применяю скрипт к кошельку wallet.dat получаю строку вида:

 

$bitcoin$64$50bb9ef9cad87bf2b865b060e80c72c52f5ff496dbefa0bcfc6c3b5e0b86050e$16$f63cb4696e604d94$128289$2$00$2$00

 

И когда к другим кошелькам применяю, вид такой же. Однако ни hashcat ни сам john не принимают - Token lenght exception либо No hashes found соответственно.Один товарищ мне прислал другой хэш для этого файла:

$bitcoin$64$50bb9ef9cad87bf2b865b060e80c72c52f5ff496dbefa0bcfc6c3b5e0b86050e$16$f63cb4696e604d94$128289$96$216799ff12f9f8cee79295c4f3532127772961ad35c5914dad349086016fba386147eca1d7064b2ef432c64c7fd7a022$130$04f9f7d18f6262010cd24bc8414bbd15a61396ef817bc7f3c64a200db3c9aec9f4bbf891b7e520386862f0c17aae7d0bdb65d005e19295bdf1aef6834ddd36edc8

 

И вот его hashcat принимает и начинает жевать. Все окей. Я перелопатил кучу всяких мест, прочитал про сжатые и несжатые хэши, но все равно не понимаю - ЧЯДНТ?

Собсна вопрос - как мне получить хэш второго вида, и почему я получаю этот обрезанный хэш первого вида, какой бы кошелек я не подставлял скрипту bitcoin2john/py

 

Кстати, за расшифровку человек который дал мне кошелек и хэш, готов заплатить 15 BTC(данных по длине пароля и подсказок нет, я так понимаю кошелек куплен или украден, я хз, для меня это просто кусок экспериментальной базы), но дело для меня даже не в этом, а в том чтобы понять - ЧТО НЕ ТАК?

 

Вопрос второй:

 

Попробовал зачем-то сделать так:  john wallet.dat , получил следующую историю:

Loaded 4 password hashes with no different salts (tripcode [DES 128/128 SSE2-16])

И собственно начался процесс перебора, а потом при john wallet.dat -show я получил вот это:

�A
0���._�����v>:NO PASSWORD:'
1 password hash cracked, 4 left

 

 

Что за хэши он увидел в файле wallet.dat? что значит что один из них взломан? Это случайное совпадение строк, или это можно как-то использовать?Интересно что во всех старых кошельках он видит какие-то хэши, а в новых нет. В общем стараюсь разобраться, не пинайте сильно за дурацкие вопросы, лучше объясните. Заранее спасибо!

 

 

 

 

 

Изменено 22 июл 2021, 07:15 пользователем Helber

[Old Miner]

1 час назад, Galh сказал:

есть несколько кошельков, как со значительным количеством монет, так и не с очень большим

Если эти файлы получены из открытого доступа либо куплены, то с вероятностью, стремящейся к 1, эти файлы - подделка. Если с определённого адреса были исходящие транзакции, то можно вставить публичный ключ от этого адреса в любой wallet.dat, и он будет показывать баланс этого адреса, и принципиально никак нельзя определить, что это подделка, пока не введёшь правильный пароль.

 

1 час назад, Galh сказал:

Token lenght exception либо No hashes found

Попробуйте более старую версию bitcoin2john.py.

 

1 час назад, Galh сказал:

Попробовал зачем-то сделать так:  john wallet.dat

Вы не указали формат файла. Откуда john, по-вашему, знает что wallet.dat - это файл кошелька Bitcoin? По умолчанию john думает, что вы ему подсовываете файл паролей Linux (passwd), и то, что он там нашёл какие-то пароли, не имеет никакого отношения к паролю wallet.dat. Более того, john не умеет работать непосредственно с wallet.dat, ему в этом случае нужна строка хеша, выданная bitcoin2john.py.

 

Чтобы воспользоваться инструментом, нужно сперва читать мануалы к нему, а не тыкать кнопки наугад, и потом задавать на форумах дурацкие вопросы. Может, вам вообще john не подходит. Скорость подбора пароля на GPU намного выше, чем на CPU, так вот,  john не умеет подбирать пароль к wallet.dat на GPU, а может только на CPU. Зато hashcat и btcrecover поддерживают GPU для этой задачи.

[Galh]

Спасибо большое за ответ, действительно помогло применить более раннюю версию.С john я так и думал что он там находит какие-то куски случайные, но было просто интересно, вдруг я чего-то не знаю. Буду пробовать, разбираться. Тред наверное стоит оставить, первый вопрос как будто бы очевиден, но я думаю не у одного меня в будущем может возникнуть проблема с обрезанным хэш. К тому же если возникнут еще дурацкие вопросы их стоит задавать тут, чтоб не плодить лишние треды.

[Ramindrus]

24.01.2021 в 00:29, Old Miner сказал:

Если эти файлы получены из открытого доступа либо куплены, то с вероятностью, стремящейся к 1, эти файлы - подделка. Если с определённого адреса были исходящие транзакции, то можно вставить публичный ключ от этого адреса в любой wallet.dat, и он будет показывать баланс этого адреса, и принципиально никак нельзя определить, что это подделка, пока не введёшь правильный пароль.

 

 

У меня как раз вопрос попроще. Как узнать публичный адрес кошелька из файла wallet.dat? слышал что через двоичный редактор. Но ничерта в этом не смыслю. Хотелось бы узнать чуть больше подробностей, если можно)

[Lenchik]

@Ramindrus Там ничего хитрого нет. Обычно люди втыкают wallet.dat в кошелёк и смотрят адреса в кошельке. HEX редактором видно не адреса а публичные ключи. Каждый ключ начинается с key! потом вроде пробел и 32 байта ключ. Если ключи шифрованные, то ckey! начинается.

Но это неинтересно, это не даёт доступа к монетам. 

[glavmi]

24.01.2021 в 01:29, Old Miner сказал:

Если эти файлы получены из открытого доступа либо куплены, то с вероятностью, стремящейся к 1, эти файлы - подделка. Если с определённого адреса были исходящие транзакции, то можно вставить публичный ключ от этого адреса в любой wallet.dat, и он будет показывать баланс этого адреса, и принципиально никак нельзя определить, что это подделка, пока не введёшь правильный пароль.

 

Попробуйте более старую версию bitcoin2john.py.

 

Вы не указали формат файла. Откуда john, по-вашему, знает что wallet.dat - это файл кошелька Bitcoin? По умолчанию john думает, что вы ему подсовываете файл паролей Linux (passwd), и то, что он там нашёл какие-то пароли, не имеет никакого отношения к паролю wallet.dat. Более того, john не умеет работать непосредственно с wallet.dat, ему в этом случае нужна строка хеша, выданная bitcoin2john.py.

 

Чтобы воспользоваться инструментом, нужно сперва читать мануалы к нему, а не тыкать кнопки наугад, и потом задавать на форумах дурацкие вопросы. Может, вам вообще john не подходит. Скорость подбора пароля на GPU намного выше, чем на CPU, так вот,  john не умеет подбирать пароль к wallet.dat на GPU, а может только на CPU. Зато hashcat и btcrecover поддерживают GPU для этой задачи.

По поводу подделки, как то можно узнать, поддельный файл или нет? 

[Old Miner]

32 минуты назад, glavmi сказал:

По поводу подделки, как то можно узнать, поддельный файл или нет?

Допустим, некто заявляет о наличии у него запароленного wallet.dat с приватным ключом от адреса с определённым ненулевым балансом.

 

Вариант 1: С этого адреса не было ни одной исходящей транзакции, были только поступления. В этом случае, если при загрузке wallet.dat в Bitcoin Core не выдаётся никаких ошибок и отображается правильный баланс, то можно считать этот файл не подделкой, и в результате успешного подбора пароля, получить доступ к приватному ключу.

 

Вариант 2: С этого адреса была сделана как минимум одна исходящая транзакция. В этом случае, все знают публичный ключ от адреса, и любой желающий может вставить этот ключ в запароленный wallet.dat. При загрузке такого файла, Bitcoin Core не выдаст никаких ошибок, и будет показывать правильный баланс, но настоящего приватного ключа от нужного адреса внутри wallet.dat не будет. Если для такого wallet.dat ввести правильный пароль, то выскочит ошибка, что-то типа: "Не все приватные ключи были расшифрованы". Таким образом, не зная пароля, нельзя определить, поддельный wallet.dat или нет.

[oska]

Всем привет.

Занимаюсь поиском и восстановлением паролей для кошельков , в основном btc. 

Но в связи с заполнением интернета левыми кошельками, постоянно нарываюсь на подделку.

Решил выяснить можно ли все таки проверить кошельки на валидность. 

Как писали выше: это сделать крайне трудно. Но мне кажется удалось. 

я накачал море wallet.dat с просторов и ни один из них не оказался подлинным.

Если есть у кого файлы для проверки можно попробовать проверить. Понимаю многие скажут вот решил на халявку получить кошельки. 

Ну тут ответить ничего не смогу. Шансов подобрать пароль без инфы о владельце и пароле равны нулю. От того что я получу сам кошелек профита ноль. Но могу облегчить жизнь тем кто действительно пытается использовать большие ресурсы и имеет информацию.

Писать в личку.

 

 

 

[Helber]

12 минут назад, oska сказал:

Шансов подобрать пароль без инфы о владельце и пароле равны нулю

Сомнительно! Брут + словарная атака могут быть более эффективны, чем кажется непрофессионалу

 

14 минут назад, oska сказал:

можно ли все таки проверить кошельки на валидность. 

Как писали выше: это сделать крайне трудно. Но мне кажется удалось. 

Метод настолько секретный, что нельзя даже намекнуть, в чем суть?

[oska]

3 часа назад, Helber сказал:

Сомнительно! Брут + словарная атака могут быть более эффективны, чем кажется непрофессионалу

 

Я же не сказал невозможно. ) 

просто когда входной инфы мало, и неизвестна даже длина то потраченные ресурсы и время могут не окупиться никогда.

пароль больше 10 символов особенно если используются спец символы - это совсем беда. Но важно еще понимать что тот файл с которым работаешь реальный а не фуфло.

3 часа назад, Helber сказал:

Метод настолько секретный, что нельзя даже намекнуть, в чем суть?

Ну я не уверен в нем - это раз. а второе я до этого допер и считаю что могу не делиться сразу.

когда проверю тогда и сообщу. 

Сейчас проверил еще на нескольких кошельках - спасибо одному продавцу предоставил бесплатно. 

Результат как и ожидалось, один файл 100 % левак. насчет второго есть сомнения но ближе к 70%

 

 

[oska]

Дополнение.

Ну способ рабочий.

В ветке на bitcointalk.org посвященной левым кошелькам выложили файлы которые как считают левые. (https://bitcointalk.org/index.php?topic=5315310.180)

Проверил их своим способом, все подтвердилось. ВСЕ до единого левак.

Также проверил на нескольких реальных кошельках с минимальным балансом, и на норм кошельках все хорошо.

 

[Helber]

@oska , вам бы продавцов кошельков убеждать (если проверка подлинности им в принципе нужна). Здесь хорошо если полтора форумчанина вам что-то пришлют.

 

Если человек теряет пароль от своего валлетдат, он обычно помнит, лежало ли там хоть что-нибудь.

[oska]

Я просто поделился инфой ))

Продавцам не выгодно)) почти все что продается сейчас это хрень. 

Реальные кошельки никто не продает 

[Helber]

@sankopolo, как вы думаете, насколько рискованно со стороны потенциального «клиента» доверять @oska ?
Вообще может ли существовать какой-либо способ проверить любой зашифрованный валлетдат на «валидность», т.е. наличие средств, кроме как взломать пароль?

Иными словами, обойти проблему из варианта 2 этого поста

Изменено 21 июл 2021, 22:07 пользователем Helber

[sankopolo]

@Helber , здравствуйте.

Я стараюсь держаться подальше от продающихся кошельков - т к они все или поддельные, или краденые. Соответственно с разницей между поддельными/настоящими я не разбирался. В целом согласен с постом @Old Miner .

 

Полагаю, все зависит от качества подделки: если использовать один и тот же исходный кошелек (донор) и просто вписывать в нужное место публичный ключ, то все они будут похожи между собой и их можно будет легко определить. Если использовать разные доноры и вписывать в нужное место публичный ключ, то может остаться разница/нессответствие с записями другого вида, хранящимися в файле (там много всего). Но если все записи были приведены в соответствие, то определить будет нельзя.

 

Что касается oska - я бы ничего отправлять не стал. Будет ли интересно его предложение тем, кто взламывает продающиеся кошельки - не знаю.

 

 

 

[oska]

Добрый день.

Меня видимо не правильно поняли. Я не прошу ни у кого кошельки. Мне это не надо я поделился небольшим открытием. (Оно может оказаться и не эффективным, так как пока я провел мало тестов)

@sankopolo  Я давно читаю этот форум и знаю что вы хороший специалист. И многим помогли вернуть их крипту. За что отдельный респект. Повторюсь задачи собирать кошельки не было. Я лишь хотел предупредить охотников на кошельки что 99 % что продается на просторах это пустышки, и не стоить тратить свое время и ресурсы на это.

[Helber]

2 минуты назад, oska сказал:

Меня видимо не правильно поняли. Я не прошу ни у кого кошельки

 

17.07.2021 в 12:18, oska сказал:

Если есть у кого файлы для проверки можно попробовать проверить. Понимаю многие скажут вот решил на халявку получить кошельки. 

Ну тут ответить ничего не смогу. Шансов подобрать пароль без инфы о владельце и пароле равны нулю

Видимо, даже понимая вас буквально, можно понять вас неправильно?

[oska]

Ну я же не говорю прям присылайте. Если интересно то Велком. Потому как писал выше я проверил но на очень не большом количестве кошельков доступных в сети. И уверенности в методе нет.  

Если у кого то есть кошель и человек не уверен в нем, то могу проверить. вот и все. И в моем предложении - 

17.07.2021 в 12:18, oska сказал:

Если есть у кого файлы для проверки можно попробовать проверить.

ключевое - МОЖНО ПОПРОБОВАТЬ ПРОВЕРИТЬ. 

Я не пишу давайте мне файлы сейчас все сделаем.

Так как это никому не интересно, то никаких проблем. Иногда на разных форумах всплывают те или иные кошельки и с ними буду тестировать. 

Кстати для информации мне в руки попал кошелек на 200 BTC без исходящих транзакций - но он явная сборка. Правда как его сделали я не понял. 

[Old Miner]

5 часов назад, oska сказал:

Если у кого то есть кошель и человек не уверен в нем, то могу проверить. вот и все.

 

Что скажете о подлинности этого кошелька ?

[oska]

@Old Miner 

1 час назад, Old Miner сказал:

Что скажете о подлинности этого кошелька ?

судя по всему модифицирован причем 21 или 22 числа. 

подделка. (Но повторюсь метод только тестируется. 

[Circularsaw]

22.07.2021 в 17:06, Old Miner сказал:

 

Что скажете о подлинности этого кошелька ?

Он был прав?)

[Old Miner]

30 минут назад, Circularsaw сказал:

Он был прав?

Да, всё верно. Я действительно сделал этот wallet.dat 21 июля. Похоже, мне неизвестен какой-то параметр wallet.dat, по которому можно сделать привязку ко времени внесения изменений.

[mikle4545]

подскажите есть кошелек ронин валлет, на счету 12.7 эфиров, пароля нет, есть какие то варианты вытянуть хеш пароля и т.д.?

[mikle4545]

ну или хотя бы кто знает содержится пароль в том или ином виде в файлах браузерных кошельков?

[Helber]

20 минут назад, mikle4545 сказал:

ну или хотя бы кто знает содержится пароль в том или ином виде в файлах браузерных кошельков?

Возможно, какую-то наводку вы найдете здесь?