Tìm ra loại đĩa cứng được mã hóa

8

nói rằng bạn nhận được một ổ cứng ngẫu nhiên trong tay được mã hóa. Có thể chỉ từ cách bố trí dữ liệu để xem loại mã hóa nào đã được sử dụng?

tức là Bitlocker, Truecrypt, dcrypt?

encryption  truecrypt  disk-encryption  bitlocker 
kẹp
nguồn
Vì mục đích của câu hỏi này là đĩa trong ổ đĩa khởi động, hay chỉ là ổ cứng thứ cấp?
lzam
Câu hỏi này có thể sẽ nhận được câu trả lời tốt hơn nếu được chuyển đến security.stackexchange.com
Vinayak

Câu trả lời:

3

Tôi không biết về Bitlocker hoặc dcrypt (tôi chưa bao giờ sử dụng chúng), nhưng TCHunt by 16 Systems có thể phát hiện khối lượng TrueCrypt trên máy tính của tôi rất nhanh.

TCHead , một tiện ích khác của 16 Systems có thể giải mã các tiêu đề TrueCrypt (tất nhiên là có mật khẩu) và có thể được sử dụng để tạo ra mật khẩu cho các khối lượng TrueCrypt bị nghi ngờ.

Cách TCHunt hoạt động (từ trang web của 16 Systems):

TCHunt sử dụng một quá trình loại bỏ rất đơn giản.
Chương trình xem xét các thuộc tính tệp và kiểm tra byte tệp.
Nếu một tệp đủ lớn (15MB mặc định nhưng điều này có thể được điều chỉnh),
sau đó tệp đó được kiểm tra để xem kích thước tệp modulo 512 bằng 0.

Nếu tệp vượt qua các thử nghiệm đó, thì thử nghiệm khác được thực hiện để xác định
nếu nội dung tập tin là ngẫu nhiên. Và như là một thử nghiệm cuối cùng, chương trình kiểm tra tệp
cho một vài tiêu đề tập tin phổ biến. Đó là tất cả những gì TCHunt làm.

Theo mặc định, TCHunt chỉ tìm các tệp có kích thước tối thiểu 15 MB (như đã đề cập ở trên). Giá trị này có thể dễ dàng thay đổi trong mã nguồn của chương trình và được biên dịch lại để hoạt động với các giá trị kích thước tệp tối thiểu do người dùng cung cấp.

Vinayak
nguồn
TCHunt có thể và không tạo ra dương tính giả.
Vinayak
1

Bạn có thể dùng thử Trình phát hiện đĩa được mã hóa miễn phí từ Magnet Forensics, đây là một công cụ dòng lệnh của Windows:

Trình phát hiện đĩa được mã hóa (v2 phát hành ngày 22 tháng 4 năm 2013) là một công cụ dòng lệnh có thể kiểm tra nhanh chóng và không xâm phạm các khối lượng được mã hóa trên hệ thống máy tính trong quá trình xử lý sự cố.

Hiện tại, Trình phát hiện đĩa được mã hóa phát hiện các khối lượng mã hóa TrueCrypt, PGP, Safeboot và Bitlocker và chúng tôi sẽ thêm vào danh sách này với mỗi bản phát hành mới.

harrymc
nguồn
Tôi muốn thêm rằng Trình phát hiện đĩa được mã hóa chỉ quét để mã hóa toàn bộ ổ đĩa hoặc đã gắn ổ đĩa , điều đó có nghĩa là nếu bạn có khối lượng TrueCrypt được lưu trữ trên phân vùng ổ cứng, thì EDD sẽ không thể phát hiện ra nó. Từ trang web của họ:[EDD] checks for full disk encryption or mounted encrypted volumes
Vinayak
@Vinayak: Văn bản này không được tìm thấy trong mô tả của công cụ và nó sẽ không phải là một công cụ pháp y với giới hạn như vậy. Nếu OP thử nó, chúng ta có thể biết câu trả lời.
harrymc
Các văn bản đã thực sự được lấy từ bài viết trên blog của họ về công cụ. Bạn sẽ tìm thấy nó ở đây: Magnetforensics.com/ từ
Vinayak
Và tôi đã thử sử dụng nó, hy vọng nó sẽ tốt hơn / nhanh hơn TCHunt. Nó tạo ra một dương tính giả, phát hiện phân vùng (recovery?) Của nhà máy được mã hóa do khu vực khởi động bị hỏng.
Vinayak
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.