Jump to content
Galh

Извлечение хэш и подбор паролей wallet.dat. Можно ли проверить wallet.dat на подлинность?

Recommended Posts

Всем доброго времени суток, начал разбираться в теме сравнительно недавно, просто есть несколько кошельков, как со значительным количеством монет, так и не с очень большим. Далее несколько идиотских вопросов от начинашки. Прошу помочь разобраться т.к. облазил уже множество форумов, в т.ч. и англоязычных, но ответов не нашел. Мне все это больше интересно в образовательных целях, хотя если удастся извлечь из этого выгоду - тоже будет хорошо, тем более что дедушка Ленин завещал делиться)

 

Вопрос первый:

Работаю под Ubuntu х64, установил Питон, установил John the Ripper, скачал с GitHub bitcoin2john.py. Когда применяю скрипт к кошельку wallet.dat получаю строку вида:

 

$bitcoin$64$50bb9ef9cad87bf2b865b060e80c72c52f5ff496dbefa0bcfc6c3b5e0b86050e$16$f63cb4696e604d94$128289$2$00$2$00

 

И когда к другим кошелькам применяю, вид такой же. Однако ни hashcat ни сам john не принимают - Token lenght exception либо No hashes found соответственно.Один товарищ мне прислал другой хэш для этого файла:

$bitcoin$64$50bb9ef9cad87bf2b865b060e80c72c52f5ff496dbefa0bcfc6c3b5e0b86050e$16$f63cb4696e604d94$128289$96$216799ff12f9f8cee79295c4f3532127772961ad35c5914dad349086016fba386147eca1d7064b2ef432c64c7fd7a022$130$04f9f7d18f6262010cd24bc8414bbd15a61396ef817bc7f3c64a200db3c9aec9f4bbf891b7e520386862f0c17aae7d0bdb65d005e19295bdf1aef6834ddd36edc8

 

И вот его hashcat принимает и начинает жевать. Все окей. Я перелопатил кучу всяких мест, прочитал про сжатые и несжатые хэши, но все равно не понимаю - ЧЯДНТ?

Собсна вопрос - как мне получить хэш второго вида, и почему я получаю этот обрезанный хэш первого вида, какой бы кошелек я не подставлял скрипту bitcoin2john/py

 

Кстати, за расшифровку человек который дал мне кошелек и хэш, готов заплатить 15 BTC(данных по длине пароля и подсказок нет, я так понимаю кошелек куплен или украден, я хз, для меня это просто кусок экспериментальной базы), но дело для меня даже не в этом, а в том чтобы понять - ЧТО НЕ ТАК?

 

Вопрос второй:

 

Попробовал зачем-то сделать так:  john wallet.dat , получил следующую историю:

Loaded 4 password hashes with no different salts (tripcode [DES 128/128 SSE2-16])

И собственно начался процесс перебора, а потом при john wallet.dat -show я получил вот это:

�A
0���._�����v>:NO PASSWORD:'
1 password hash cracked, 4 left

 

 

Что за хэши он увидел в файле wallet.dat? что значит что один из них взломан? Это случайное совпадение строк, или это можно как-то использовать?Интересно что во всех старых кошельках он видит какие-то хэши, а в новых нет. В общем стараюсь разобраться, не пинайте сильно за дурацкие вопросы, лучше объясните. Заранее спасибо!

 

 

 

 

 

Edited by Helber

Share this post


Link to post
Share on other sites
1 час назад, Galh сказал:

есть несколько кошельков, как со значительным количеством монет, так и не с очень большим

Если эти файлы получены из открытого доступа либо куплены, то с вероятностью, стремящейся к 1, эти файлы - подделка. Если с определённого адреса были исходящие транзакции, то можно вставить публичный ключ от этого адреса в любой wallet.dat, и он будет показывать баланс этого адреса, и принципиально никак нельзя определить, что это подделка, пока не введёшь правильный пароль.

 

1 час назад, Galh сказал:

Token lenght exception либо No hashes found

Попробуйте более старую версию bitcoin2john.py.

 

1 час назад, Galh сказал:

Попробовал зачем-то сделать так:  john wallet.dat

Вы не указали формат файла. Откуда john, по-вашему, знает что wallet.dat - это файл кошелька Bitcoin? По умолчанию john думает, что вы ему подсовываете файл паролей Linux (passwd), и то, что он там нашёл какие-то пароли, не имеет никакого отношения к паролю wallet.dat. Более того, john не умеет работать непосредственно с wallet.dat, ему в этом случае нужна строка хеша, выданная bitcoin2john.py.

 

Чтобы воспользоваться инструментом, нужно сперва читать мануалы к нему, а не тыкать кнопки наугад, и потом задавать на форумах дурацкие вопросы. Может, вам вообще john не подходит. Скорость подбора пароля на GPU намного выше, чем на CPU, так вот,  john не умеет подбирать пароль к wallet.dat на GPU, а может только на CPU. Зато hashcat и btcrecover поддерживают GPU для этой задачи.

Share this post


Link to post
Share on other sites

Спасибо большое за ответ, действительно помогло применить более раннюю версию.С john я так и думал что он там находит какие-то куски случайные, но было просто интересно, вдруг я чего-то не знаю. Буду пробовать, разбираться. Тред наверное стоит оставить, первый вопрос как будто бы очевиден, но я думаю не у одного меня в будущем может возникнуть проблема с обрезанным хэш. К тому же если возникнут еще дурацкие вопросы их стоит задавать тут, чтоб не плодить лишние треды.

Share this post


Link to post
Share on other sites
24.01.2021 в 00:29, Old Miner сказал:

Если эти файлы получены из открытого доступа либо куплены, то с вероятностью, стремящейся к 1, эти файлы - подделка. Если с определённого адреса были исходящие транзакции, то можно вставить публичный ключ от этого адреса в любой wallet.dat, и он будет показывать баланс этого адреса, и принципиально никак нельзя определить, что это подделка, пока не введёшь правильный пароль.

 

 

У меня как раз вопрос попроще. Как узнать публичный адрес кошелька из файла wallet.dat? слышал что через двоичный редактор. Но ничерта в этом не смыслю. Хотелось бы узнать чуть больше подробностей, если можно)

Share this post


Link to post
Share on other sites

@Ramindrus Там ничего хитрого нет. Обычно люди втыкают wallet.dat в кошелёк и смотрят адреса в кошельке. HEX редактором видно не адреса а публичные ключи. Каждый ключ начинается с key! потом вроде пробел и 32 байта ключ. Если ключи шифрованные, то ckey! начинается.

Но это неинтересно, это не даёт доступа к монетам. 

Share this post


Link to post
Share on other sites
24.01.2021 в 01:29, Old Miner сказал:

Если эти файлы получены из открытого доступа либо куплены, то с вероятностью, стремящейся к 1, эти файлы - подделка. Если с определённого адреса были исходящие транзакции, то можно вставить публичный ключ от этого адреса в любой wallet.dat, и он будет показывать баланс этого адреса, и принципиально никак нельзя определить, что это подделка, пока не введёшь правильный пароль.

 

Попробуйте более старую версию bitcoin2john.py.

 

Вы не указали формат файла. Откуда john, по-вашему, знает что wallet.dat - это файл кошелька Bitcoin? По умолчанию john думает, что вы ему подсовываете файл паролей Linux (passwd), и то, что он там нашёл какие-то пароли, не имеет никакого отношения к паролю wallet.dat. Более того, john не умеет работать непосредственно с wallet.dat, ему в этом случае нужна строка хеша, выданная bitcoin2john.py.

 

Чтобы воспользоваться инструментом, нужно сперва читать мануалы к нему, а не тыкать кнопки наугад, и потом задавать на форумах дурацкие вопросы. Может, вам вообще john не подходит. Скорость подбора пароля на GPU намного выше, чем на CPU, так вот,  john не умеет подбирать пароль к wallet.dat на GPU, а может только на CPU. Зато hashcat и btcrecover поддерживают GPU для этой задачи.

По поводу подделки, как то можно узнать, поддельный файл или нет? 

Share this post


Link to post
Share on other sites
32 минуты назад, glavmi сказал:

По поводу подделки, как то можно узнать, поддельный файл или нет?

Допустим, некто заявляет о наличии у него запароленного wallet.dat с приватным ключом от адреса с определённым ненулевым балансом.

 

Вариант 1: С этого адреса не было ни одной исходящей транзакции, были только поступления. В этом случае, если при загрузке wallet.dat в Bitcoin Core не выдаётся никаких ошибок и отображается правильный баланс, то можно считать этот файл не подделкой, и в результате успешного подбора пароля, получить доступ к приватному ключу.

 

Вариант 2: С этого адреса была сделана как минимум одна исходящая транзакция. В этом случае, все знают публичный ключ от адреса, и любой желающий может вставить этот ключ в запароленный wallet.dat. При загрузке такого файла, Bitcoin Core не выдаст никаких ошибок, и будет показывать правильный баланс, но настоящего приватного ключа от нужного адреса внутри wallet.dat не будет. Если для такого wallet.dat ввести правильный пароль, то выскочит ошибка, что-то типа: "Не все приватные ключи были расшифрованы". Таким образом, не зная пароля, нельзя определить, поддельный wallet.dat или нет.

Share this post


Link to post
Share on other sites

Всем привет.

Занимаюсь поиском и восстановлением паролей для кошельков , в основном btc. 

Но в связи с заполнением интернета левыми кошельками, постоянно нарываюсь на подделку.

Решил выяснить можно ли все таки проверить кошельки на валидность. 

Как писали выше: это сделать крайне трудно. Но мне кажется удалось. 

я накачал море wallet.dat с просторов и ни один из них не оказался подлинным.

Если есть у кого файлы для проверки можно попробовать проверить. Понимаю многие скажут вот решил на халявку получить кошельки. 

Ну тут ответить ничего не смогу. Шансов подобрать пароль без инфы о владельце и пароле равны нулю. От того что я получу сам кошелек профита ноль. Но могу облегчить жизнь тем кто действительно пытается использовать большие ресурсы и имеет информацию.

Писать в личку.

 

 

 

Share this post


Link to post
Share on other sites
12 минут назад, oska сказал:

Шансов подобрать пароль без инфы о владельце и пароле равны нулю

Сомнительно! Брут + словарная атака могут быть более эффективны, чем кажется непрофессионалу

 

14 минут назад, oska сказал:

можно ли все таки проверить кошельки на валидность. 

Как писали выше: это сделать крайне трудно. Но мне кажется удалось. 

Метод настолько секретный, что нельзя даже намекнуть, в чем суть?

Share this post


Link to post
Share on other sites
3 часа назад, Helber сказал:

Сомнительно! Брут + словарная атака могут быть более эффективны, чем кажется непрофессионалу

 

Я же не сказал невозможно. ) 

просто когда входной инфы мало, и неизвестна даже длина то потраченные ресурсы и время могут не окупиться никогда.

пароль больше 10 символов особенно если используются спец символы - это совсем беда. Но важно еще понимать что тот файл с которым работаешь реальный а не фуфло.

3 часа назад, Helber сказал:

Метод настолько секретный, что нельзя даже намекнуть, в чем суть?

Ну я не уверен в нем - это раз. а второе я до этого допер и считаю что могу не делиться сразу.

когда проверю тогда и сообщу. 

Сейчас проверил еще на нескольких кошельках - спасибо одному продавцу предоставил бесплатно. 

Результат как и ожидалось, один файл 100 % левак. насчет второго есть сомнения но ближе к 70%

 

 

Share this post


Link to post
Share on other sites

Дополнение.

Ну способ рабочий.

В ветке на bitcointalk.org посвященной левым кошелькам выложили файлы которые как считают левые. (https://bitcointalk.org/index.php?topic=5315310.180)

Проверил их своим способом, все подтвердилось. ВСЕ до единого левак.

Также проверил на нескольких реальных кошельках с минимальным балансом, и на норм кошельках все хорошо.

 

Share this post


Link to post
Share on other sites

@oska , вам бы продавцов кошельков убеждать (если проверка подлинности им в принципе нужна). Здесь хорошо если полтора форумчанина вам что-то пришлют.

 

Если человек теряет пароль от своего валлетдат, он обычно помнит, лежало ли там хоть что-нибудь.

Share this post


Link to post
Share on other sites

Я просто поделился инфой ))

Продавцам не выгодно)) почти все что продается сейчас это хрень. 

Реальные кошельки никто не продает 

Share this post


Link to post
Share on other sites

@sankopolo, как вы думаете, насколько рискованно со стороны потенциального «клиента» доверять @oska ?
Вообще может ли существовать какой-либо способ проверить любой зашифрованный валлетдат на «валидность», т.е. наличие средств, кроме как взломать пароль?

Иными словами, обойти проблему из варианта 2 этого поста

Edited by Helber

Share this post


Link to post
Share on other sites

@Helber , здравствуйте.

Я стараюсь держаться подальше от продающихся кошельков - т к они все или поддельные, или краденые. Соответственно с разницей между поддельными/настоящими я не разбирался. В целом согласен с постом @Old Miner .

 

Полагаю, все зависит от качества подделки: если использовать один и тот же исходный кошелек (донор) и просто вписывать в нужное место публичный ключ, то все они будут похожи между собой и их можно будет легко определить. Если использовать разные доноры и вписывать в нужное место публичный ключ, то может остаться разница/нессответствие с записями другого вида, хранящимися в файле (там много всего). Но если все записи были приведены в соответствие, то определить будет нельзя.

 

Что касается oska - я бы ничего отправлять не стал. Будет ли интересно его предложение тем, кто взламывает продающиеся кошельки - не знаю.

 

 

 

Share this post


Link to post
Share on other sites

Добрый день.

Меня видимо не правильно поняли. Я не прошу ни у кого кошельки. Мне это не надо я поделился небольшим открытием. (Оно может оказаться и не эффективным, так как пока я провел мало тестов)

@sankopolo  Я давно читаю этот форум и знаю что вы хороший специалист. И многим помогли вернуть их крипту. За что отдельный респект. Повторюсь задачи собирать кошельки не было. Я лишь хотел предупредить охотников на кошельки что 99 % что продается на просторах это пустышки, и не стоить тратить свое время и ресурсы на это.

Share this post


Link to post
Share on other sites
2 минуты назад, oska сказал:

Меня видимо не правильно поняли. Я не прошу ни у кого кошельки

 

17.07.2021 в 12:18, oska сказал:

Если есть у кого файлы для проверки можно попробовать проверить. Понимаю многие скажут вот решил на халявку получить кошельки. 

Ну тут ответить ничего не смогу. Шансов подобрать пароль без инфы о владельце и пароле равны нулю

Видимо, даже понимая вас буквально, можно понять вас неправильно?

Share this post


Link to post
Share on other sites

Ну я же не говорю прям присылайте. Если интересно то Велком. Потому как писал выше я проверил но на очень не большом количестве кошельков доступных в сети. И уверенности в методе нет.  

Если у кого то есть кошель и человек не уверен в нем, то могу проверить. вот и все. И в моем предложении - 

17.07.2021 в 12:18, oska сказал:

Если есть у кого файлы для проверки можно попробовать проверить.

ключевое - МОЖНО ПОПРОБОВАТЬ ПРОВЕРИТЬ. 

Я не пишу давайте мне файлы сейчас все сделаем.

Так как это никому не интересно, то никаких проблем. Иногда на разных форумах всплывают те или иные кошельки и с ними буду тестировать. 

Кстати для информации мне в руки попал кошелек на 200 BTC без исходящих транзакций - но он явная сборка. Правда как его сделали я не понял. 

Share this post


Link to post
Share on other sites
5 часов назад, oska сказал:

Если у кого то есть кошель и человек не уверен в нем, то могу проверить. вот и все.

 

Что скажете о подлинности этого кошелька ?

Share this post


Link to post
Share on other sites

@Old Miner 

1 час назад, Old Miner сказал:

Что скажете о подлинности этого кошелька ?

судя по всему модифицирован причем 21 или 22 числа. 

подделка. (Но повторюсь метод только тестируется. 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Topics

    • Хэш плата WhatsMiner М3

      Здравствуйте!!! После очередного обслуживания, перестала работать хэш плата ,вместо 63 показывает 33 и не работает, подскажите пожалуйста можно ли отремонтировать самому, с паяльником дружим!))  

      in ASIC/FPGA майнеры

    • Хэш-функция SHA-3 - будущее блокчейна?

      Изменения уже начались - индустрия финансов переходит на блокчейн, чтобы пользоваться преимуществами децентрализации и отсутствием посредников.   Активы всех видов перемещаются в блокчейн, создавая более эффективную и экономичную систему для передачи стоимости и управления долевым владением. Эта миграция не просто разрушает существующую финансовую систему, она демократизирует доступ к растущему капиталу по всему миру.   Сегодня безопасность большей части сообщества блокчейна

      in Новости криптовалют

    • Мозговой штурм: хэш-чейн трансляции транзакции?

      Каждая транзакция на пути от кошелька, сформировавшего её, до майнера, включившего её в блок, проходит несколько (вообще говоря) узлов p2p-сети данной криптовалюты...   Можно ли придумать такое решение, чтобы по пути следования этой транзакции она сопровождалась бы каким-то образом неотделимым от неё хэш-чейном ключей узлов, которые её пересылают? А майнер был бы обязан как-то этот хэш-чейн (последним хэшем) вписать в некий раздел блока (возможно, "segregated") ... и потом по этому хэш

      in Разработка

    • S9 Хэш плата v.4.21 не считает

      Плата видится, чипы тоже. В разных слотах с разными шлейфами, не считает. Другие платы работают, эта нет. Есть лог. Что можно по нему сказать?   лог.txt

      in ASIC/FPGA майнеры

    • Что подается на "вход" в хэш-функцию при создании блока BTC?

      Хм, даже затрудняюсь вопрос составить, поправьте в некоторых моментах, если не прав, или бред=) В общем захотелось разобраться в программной (или технической) стороне создания новых блоков/проверки блоков, но не нашел интересующие ответы (может не там, или не так, искал), в общем прошу помочь ссылками или просто ответом на такие вопросы: -Правильно ли я понимаю что хэш блока это результат хэш функции SHA-256? -Или это результат двойного хэша SHA-256(SHA-256)? -Собственно, что

      in Биткоин

×
×
  • Create New...