Znajdź typ zaszyfrowanego dysku twardego

8

powiedz, że masz w rękach losowy dysk twardy, który jest zaszyfrowany. czy można po prostu z układu danych sprawdzić, jakiego rodzaju szyfrowania użyto?

tj. Bitlocker, Truecrypt, dcrypt?

Zacisk
źródło
Czy do celów tego pytania jest dysk w napędzie rozruchowym, czy tylko dodatkowy dysk twardy?
lzam
To pytanie prawdopodobnie otrzymałoby lepsze odpowiedzi, gdyby zostało przeniesione do security.stackexchange.com
Vinayak

Odpowiedzi:

3

Nie wiem o Bitlockerze ani dcrypt (nigdy ich nie używałem), ale TCHunt by 16 Systems był w stanie bardzo szybko wykryć wolumeny TrueCrypt na moim komputerze.

TCHead , kolejne narzędzie firmy 16 Systems, było w stanie odszyfrować nagłówki TrueCrypt (oczywiście z hasłem) i może być użyte do brutalnej siły haseł do podejrzanych woluminów TrueCrypt.

Jak działa TCHunt (ze strony internetowej 16 Systems):

TCHunt stosuje bardzo prosty proces eliminacji.
Program sprawdza atrybuty pliku i sprawdza bajty pliku.
Jeśli plik jest wystarczająco duży (domyślnie 15 MB, ale można to zmienić),
następnie ten plik jest testowany, aby sprawdzić, czy rozmiar pliku modulo 512 wynosi 0.

Jeśli plik przejdzie te testy, wykonywany jest kolejny test w celu ustalenia
jeśli zawartość pliku jest losowa. I jako ostateczny test program sprawdza plik
dla kilku popularnych nagłówków plików. To wszystko, co robi TCHunt.

Domyślnie TCHunt szuka tylko plików o rozmiarze co najmniej 15 MB (jak wspomniano powyżej). Wartość tę można łatwo zmienić w kodzie źródłowym programu i ponownie skompilować do pracy z wartościami minimalnego rozmiaru pliku podanymi przez użytkownika.

Vinayak
źródło
TCHunt może generować fałszywe alarmy.
Vinayak
1

Możesz wypróbować bezpłatny Encrypted Disk Detector firmy Magnet Forensics, który jest narzędziem wiersza poleceń systemu Windows:

Encrypted Disk Detector (wersja 2 wydana 22.04.2013) to narzędzie wiersza polecenia, które może szybko i nieinwazyjnie sprawdzać zaszyfrowane woluminy w systemie komputerowym podczas reagowania na incydent.

Obecnie Encrypted Disk Detector wykrywa zaszyfrowane woluminy TrueCrypt, PGP, Safeboot i Bitlocker, a my dodajemy do tej listy z każdą nową wersją.

harrymc
źródło
Chciałbym dodać, że Encrypted Disk Detector skanuje tylko w celu pełnego szyfrowania dysku lub już zamontowanych woluminów, co oznacza, że ​​jeśli masz woluminy TrueCrypt przechowywane na partycji HDD, EDD nie będzie w stanie go wykryć. Z ich strony internetowej:[EDD] checks for full disk encryption or mounted encrypted volumes
Vinayak,
@ Vinayak: Ten tekst nie znajduje się w opisie narzędzia i nie byłby zbyt dużym narzędziem kryminalistycznym z takimi ograniczeniami. Jeśli PO spróbuje tego, możemy znać odpowiedź.
harrymc
Tekst pochodzi z ich postu na blogu o narzędziu. Znajdziesz go tutaj: magnetforensics.com/…
Vinayak
Próbowałem już go używać, mając nadzieję, że będzie lepszy / szybszy niż TCHunt. Wywołał fałszywy alarm, wykrywając partycję fabryczną (odzyskiwanie?) Jako zaszyfrowaną z powodu uszkodzonego sektora rozruchowego.
Vinayak