Я знаю, например, что вы не можете зашифровать системный раздел с Linux на нем, только с Windows, если у вас только одна ОС. Но мне интересно, можете ли вы использовать функцию "Скрытая ОС" и сделать Windows своей внешней системой, а Linux - скрытой - это возможно?
2 ответа
У Linux есть свое собственное шифрование (конечно), не использующее truecrypt.
Обычно для этого требуется незашифрованный загрузочный раздел, но вы можете сохранить его на съемном диске или USB-накопителе ...
Также обычно используется раздел LUKS, который не скрыт (заголовок LUKS легко просматривается).
При всем обычном поведении его можно настроить так, чтобы он делал все, что угодно, хотя это не так просто, как просто установить флажок "Зашифровать мою систему" в инсталляторе, таком как Linux Mint или Ubuntu.
Использование простого dm-crypt (вместо LUKS) будет иметь более "скрытый" раздел без легко видимого заголовка, но с большей информацией о конфигурации и меньшим усилением парольной фразы (без нескольких парольных фраз), чем обеспечивает LUKS.
Для решения вашей "скрытой Linux внутри Windows", вы можете попробовать сохранить виртуальную машину (например, VirtualBox или VMWare?) установка под управлением Linux, все в скрытом зашифрованном разделе (или большом файле), который вы расшифровываете и запускаете изнутри windows. Есть много признаков того, что Windows оставляет после себя указание на то, что программы запущены, поэтому портативная виртуальная машина, которая на самом деле не установлена, поможет некоторым ...
Скрытое руководство по ОС Linux в несколько простых шагов, но трудно заставить его работать, оно работает в тесте, который я провел, никакой скрытой информации здесь нет.
Необходимо: знать, как внедрить полную потерю linux (один с параметрами -P и --offset и --sizelimit) в initrams с каталогом hooks и т.д.
шаги:
Установите Linux на 100% зашифрованный жесткий диск, используйте Grub2, чтобы он загрузился с зашифрованных rootfs с /boot в качестве папки. Найдите большой список неиспользуемых в разделе rootfs. Создайте цикл для rootfs с расшифровкой на лету, но не над файлом, а над luks, необходимо выполнить losttup с помощью --offset и --sizelimit, поскольку смещение и размер являются "секретными" (хранятся только в вашем уме, а не в grub). .cfg).
Подробно, как это работает, просто объяснить, с нового жесткого диска без данных на нем:
Создайте таблицу GPT только с одним разделом, зашифруйте с помощью LUKS такого раздела, установите на нем фиктивный Linux с grug2 в качестве загрузчика (не забудьте добавить --modules = "luks" при выполнении grub2-install, чтобы grub2 можно было установить внутри раздела luks, нет необходимости использовать /boot в качестве раздела, это может быть папка внутри зашифрованных LUKS rootfs)... этот Linux будет тем, который видят судебные инструменты, пограничные агенты и т. д.
Теперь найдите неиспользуемую защищенную область на свободном пространстве (будьте осторожны, чтобы не перезаписывать такую область при использовании внешнего Linux), эти блоки безопасности будут использоваться для скрытой ОС.
Создайте цикл с losttup --ofset = InitialPosition --sizelimit = SizeOfSuchSpace для дешифрованных элементов (/dev/mapper/...), этот цикл будет отображаться как виртуальный жесткий диск, хранящийся в свободном пространстве ... (это та же концепция, которую используют TrueCrypt и VeraCrypt).
Создайте LUKS (без заголовка), чтобы у вас был новый /dev /mapper /... для такого пространства, внутри которого создайте таблицу ext4 или полную таблицу GPT со схемой разделов, которую вы хотите для настоящей скрытой ОС, установите желаемый Linux (те же 32 или 64 бита, что и у внешнего, но не обязательно должны быть в том же дистрибутиве, только с той же архитектурой), но перед перезагрузкой отредактируйте сценарии initram и необходимые библиотеки losttup и полной версии (один стандарт для initramfs не поддерживает --offset и --sizelimit, он поддерживает только от позиции X до конца блочного устройства), также помещает сценарии для монтирования внешних rootfs (где некоторые блоки используются для скрытой ОС), затем к такому сценарию также добавьте команду losttup (используйте персональные параметры для сообщая от grub2 смещение и sizelimit или жесткий код их в сценарии), который создаст устройство /dev /loop # для таких блоков, поместите команду, чтобы открыть LUKS (без заголовка luks), который создаст /dev /mapper /... в качестве блочного устройства, затем смонтируйте файловую систему или выполните другую потерю с параметром -P, если вы создать схему разделов и т. д. (если вы создаете разделы на таких luks, используйте параметр -P в losttup, чтобы создать устройства /dev /loop # p #, поэтому необходимо добавить команды монтирования для таких циклов), теперь скрытый os доступен (не забудьте смонтировать rotfs поверх /корневой папки) ... вся эта команда идет в сценарии предварительной монтирования для initramfs.
Как будет загружаться видимая внешняя ОС: включается питание, загружается BIOS или [U] EFI, Grub2 загружается изнутри зашифрованного раздела LUKS с папкой /boot в качестве папки, он запрашивает passfhase для таких luks (вот почему --modules = "luks "требуется при установке grub2), затем появляется меню, выберите для загрузки Linux, и внешний Linux будет загружен из таких rootfs, которые зашифрованы luks ... внутри этого rootfs у вас будет много свободных блоков смежности, так как у него будет много свободного места, некоторые из них - те, которые знает только ваш разум, используются для некоторых данных (на самом деле они не свободны, но в файловой системе Linux есть их как frre), такие данные будут скрытой ОС, так что никто не может продемонстрировать, что это что-то ,
Почему нельзя так обнаружить такое пространство, отличное от остальных? Поскольку данные, хранящиеся там, зашифрованы тем же самым luks, что и внешний Linux, но когда расшифрованы такими luks, они будут рассматриваться как данные andom, так как они также зашифрованы другим luks-слоем (остерегайтесь, что заголовок должен быть без luks, это является обязательным, иначе это можно было бы обнаружить).
Теперь, как загрузить на скрытый компьютер: загрузка при включении, загрузка BIOS или [U] EFI, Grub2 загружается изнутри зашифрованного раздела LUKS с папкой /boot в качестве папки, он запрашивает пароль для таких внешних luks (вот почему --modules = " luks "требуется при установке grub2), затем появляется меню, нажмите клавишу" c ", чтобы перейти к консоли, и начните вводить команды grub2, чтобы получить доступ к скрытой ОС, для этого потребуется скрытая фраза os, а затем команда для загрузки vmlinuz ... с персональными параметрами для смещения и sizelimit (если это не жестко запрограммировано в сценариях initram), затем введите boot, чтобы начать загрузку скрытой ОС, при загрузке он снова запросит обе парольные фразы (для внешней и для скрытой).
Команды для grub2 (не только руководство): insmod luks (возможно, не нужен, он может вызывать cryptmount) cryptmount (hd0, gpt1), для монтирования внешних luks, которые находятся в /dev /sda1 loopback my_loop (crypto0), с параметрами offset и sizelimit (данные, которые только у вас на уме) cryptmount (my_loop), чтобы смонтировать rootfs скрытого os linux (crypto1, gpt1) /boot /vmlinuz ... my_parameter_offset = value my_param_size = value initrd (crypto1, gpt1) /boot/initrd.img ... ботинок
Адаптируйте значения к вашему конкретному сценарию, gpt для таблиц разделов gpt, для bios one это msdos (hd0, msdos1) или просто число (hd0,1) и т.д.
Некоторые дистрибутивы создают символическую ссылку на /boot /vmlinuz ... на /vmlinuz и ту же идею для /boot/initrd.img ... в /initrd.img, так что их проще обновлять, так как не нужно запоминать имена для таких файлов.
Это работает как идеальный правдоподобный отказ, потому что ни одна криминалистика не может определить, какие блоки используются для скрытой ОС, а какие содержат случайные данные. Все они зашифрованы одним и тем же слоем luks (внешним), если необходимо раскрыть внешнюю парольную фразу, все скрытые блоки os отображаются как свободные неиспользуемые блоки в такой файловой системе, и видимые данные не могут быть обнаружены как ничто иное, как случайные данные , Начальная возможность и длина не сохраняются нигде (только в вашем уме), и поскольку скрытая ОС находится внутри luks (без заголовка luks), нет никакого способа увидеть, что где-нибудь еще есть дешифрованные внешние luks.
Эти команды grub2 для загрузки скрытой ОС не должны храниться где-либо, кроме вашего разума, иначе скрытую ОС можно будет увидеть.
Я знаю, что это трудно загрузить таким способом, но это первая полная 100% работа, которую я получил на работу.
Проблема: Если используется внешняя ОС, после того, как скрытая ОС присутствует, скрытая ОС может быть повреждена, так как ее блоки считаются свободными в таком внешнем Linux, поэтому он может перезаписать их. Но, по крайней мере, ваши личные данные остаются конфиденциальными и с правдоподобным откровением они присутствуют.
Невозможно обнаружить такую скрытую операционную систему, не зная всего этого:-Внешняя ключевая фраза -Инициальная позиция блоков, используемых для скрытой ОС -Размер (количество блоков) для скрытой ОС -Скрытая парольная фраза ОС
Очень важно:- Скрытые блоки os должны находиться на свободном пространстве расшифрованных внешних файлов, а не файла в такой файловой системе. - Скрытый блок ОС должен быть только в одной смежной области. - Внешняя ОС может повредить скрытую ОС, если используется.
Совет: как получить полную область блока смежных областей ... с помощью livecd сначала создайте низкоуровневый блочный клон внешнего linux (настоящий hdd, зашифрованный), чтобы вы могли восстановить его после того, как я рекомендую клонировать в файл .. .монтируйте файл как цикл и откройте luks, создайте большой файл, получите список заблокированных файлов, убедитесь, что он является непрерывным, теперь у вас есть начало и размер для скрытой ОС ... размонтируйте luks и цикл для файла, удалите файл ... теперь вы знаете, что на реальном жестком диске, после открытых удач вы знаете целую область свободных блоков, которые вы можете использовать для скрытой ОС.
Я надеюсь, что кто-то с действительно большим знанием мог бы реализовать все это под бифуркацией с двумя парольными фразами (если passphrase1 использует только переход к внешнему linux, если paassphrase2 - скрытый).
TrueCrypt и VeraCryrpt не могут обеспечить деней, поскольку они знают, как получить доступ к скрытой ОС, не сообщая пользователю, где находится скрытая ОС ... независимо от того, как она хранит эту информацию, там есть информация ... так что это решение для Linux лучше с точки зрения безопасности, но слишком сложно использовать при дневном использовании, представьте, что нужно загружаться пять раз в день.
Я не знаю другого способа получить скрытый linux, и я не знаю никого, кто бы знал это.
Очень важно, действительно очень важно: чтобы иметь возможность загрузиться в скрытый ОС, вам нужна (как минимум) версия 2.02 ~ бета3 grub2 (да, бета3, а не бета2, поскольку в бета2 есть большая ошибка с командой cryptomount, поскольку она позволяет только один вызов это, остальное ничего не делает, и это также не дает доступ к незашифрованным удачам).
Надеюсь, что больше людей используют эту структуру для скрытой ОС. Я использую его на всех своих Linux (32 и 64 бит).
Предполагаемое время выполнения: более одного / двух дней. Уровень знаний: очень высокий, действительно очень высокий. Скорость скрытой ОС: менее 15 МБ / с для чтения / записи на старом Pentium IV HT (3,4 ГГц), намного быстрее на современных ПК и намного больше, если используются аппаратные инструкции процессора шифрования ... вы используете два уровня в каскаде, некоторые петли и т. д.