Scopri il tipo di disco rigido crittografato


8

supponiamo di avere tra le mani un disco rigido casuale che è crittografato. è possibile solo dal layout dei dati per vedere che tipo di crittografia è stata utilizzata?

cioè Bitlocker, TrueCrypt, dcrypt?


Ai fini di questa domanda è il disco in un'unità di avvio o solo un disco rigido secondario?
lzam,

Questa domanda probabilmente riceverebbe risposte migliori se spostata su security.stackexchange.com
Vinayak il

Risposte:


3

Non conosco Bitlocker o dcrypt (non li ho mai usati), ma TCHunt di 16 Systems è stato in grado di rilevare i volumi TrueCrypt sul mio computer molto rapidamente.

TCHead , un'altra utility di 16 Systems, è stata in grado di decrittografare le intestazioni TrueCrypt (con la password, ovviamente) e può essere utilizzata per forzare le password forzate per i volumi TrueCrypt sospetti.

Come funziona TCHunt (dal sito Web di 16 Systems):

TCHunt utilizza un processo di eliminazione molto semplice.
Il programma esamina gli attributi dei file e controlla i byte dei file.
Se un file è abbastanza grande (predefinito 15 MB ma questo può essere regolato),
quindi quel file viene testato per vedere se la dimensione del file modulo 512 è uguale a 0.

Se il file supera questi test, viene eseguito un altro test per determinare
se il contenuto del file è casuale. E come test finale, il programma controlla il file
per alcune intestazioni di file comuni. Questo è tutto ciò che fa TCHunt.

Per impostazione predefinita, TCHunt cerca solo file di almeno 15 MB (come menzionato sopra). Questo valore può essere facilmente modificato nel codice sorgente del programma e ricompilato per funzionare con i valori di dimensione minima del file forniti dall'utente.


TCHunt può e produce falsi positivi.
Vinayak,

1

Potresti provare il Free Encrypted Disk Detector di Magnet Forensics, che è uno strumento da riga di comando di Windows:

Encrypted Disk Detector (v2 rilasciato il 22/04/2013) è uno strumento da riga di comando che può controllare in modo rapido e non intrusivo i volumi crittografati su un sistema informatico durante la risposta agli incidenti.

Attualmente, Encrypted Disk Detector rileva i volumi crittografati TrueCrypt, PGP, Safeboot e Bitlocker e stiamo aggiungendo a questo elenco con ogni nuova versione.


Vorrei aggiungere che Encrypted Disk Detector esegue la scansione solo per la crittografia del disco completo o per i volumi già montati, il che significa che se si hanno volumi TrueCrypt archiviati su una partizione HDD, EDD non sarà in grado di rilevarlo. Dal loro sito Web:[EDD] checks for full disk encryption or mounted encrypted volumes
Vinayak,

@Vinayak: questo testo non si trova nella descrizione dello strumento e non sarebbe uno strumento forense con una tale limitazione. Se l'OP lo prova, potremmo conoscere la risposta.
harrymc,

Il testo è stato effettivamente preso dal loro post sul blog sullo strumento. Lo troverai qui: magnetforensics.com/…
Vinayak

E ho già provato a usarlo, sperando che sarebbe meglio / più veloce di TCHunt. Ha prodotto un falso positivo, rilevando una partizione di fabbrica (ripristino?) Come crittografata a causa di un settore di avvio danneggiato.
Vinayak,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.