supponiamo di avere tra le mani un disco rigido casuale che è crittografato. è possibile solo dal layout dei dati per vedere che tipo di crittografia è stata utilizzata?
cioè Bitlocker, TrueCrypt, dcrypt?
supponiamo di avere tra le mani un disco rigido casuale che è crittografato. è possibile solo dal layout dei dati per vedere che tipo di crittografia è stata utilizzata?
cioè Bitlocker, TrueCrypt, dcrypt?
Risposte:
Non conosco Bitlocker o dcrypt (non li ho mai usati), ma TCHunt di 16 Systems è stato in grado di rilevare i volumi TrueCrypt sul mio computer molto rapidamente.
TCHead , un'altra utility di 16 Systems, è stata in grado di decrittografare le intestazioni TrueCrypt (con la password, ovviamente) e può essere utilizzata per forzare le password forzate per i volumi TrueCrypt sospetti.
Come funziona TCHunt (dal sito Web di 16 Systems):
TCHunt utilizza un processo di eliminazione molto semplice. Il programma esamina gli attributi dei file e controlla i byte dei file. Se un file è abbastanza grande (predefinito 15 MB ma questo può essere regolato), quindi quel file viene testato per vedere se la dimensione del file modulo 512 è uguale a 0. Se il file supera questi test, viene eseguito un altro test per determinare se il contenuto del file è casuale. E come test finale, il programma controlla il file per alcune intestazioni di file comuni. Questo è tutto ciò che fa TCHunt.
Per impostazione predefinita, TCHunt cerca solo file di almeno 15 MB (come menzionato sopra). Questo valore può essere facilmente modificato nel codice sorgente del programma e ricompilato per funzionare con i valori di dimensione minima del file forniti dall'utente.
Potresti provare il Free Encrypted Disk Detector di Magnet Forensics, che è uno strumento da riga di comando di Windows:
Encrypted Disk Detector (v2 rilasciato il 22/04/2013) è uno strumento da riga di comando che può controllare in modo rapido e non intrusivo i volumi crittografati su un sistema informatico durante la risposta agli incidenti.
Attualmente, Encrypted Disk Detector rileva i volumi crittografati TrueCrypt, PGP, Safeboot e Bitlocker e stiamo aggiungendo a questo elenco con ogni nuova versione.
[EDD] checks for full disk encryption or mounted encrypted volumes