скажем, вы получаете случайный жесткий диск в ваших руках, который зашифрован. Можно ли просто из макета данных увидеть, какой тип шифрования был использован?
то есть битлокер, трюкрипт, дкрипт?
2 ответа
3
Я не знаю о Bitlocker или dcrypt (я никогда не использовал их), но TCHunt от 16 Systems сумел очень быстро обнаружить тома TrueCrypt на моем компьютере.
TCHead, еще одна утилита от 16 Systems, смогла расшифровать заголовки TrueCrypt (конечно, с помощью пароля) и может быть использована для взлома паролей для предполагаемых томов TrueCrypt.
Как работает TCHunt (с сайта 16 Systems):
TCHunt uses a very simple process of elimination. The program looks at file attributes and inspects file bytes. If a file is big enough (default 15MB but this can be adjusted), then that file is tested to see if the file size modulo 512 equals 0. If the file passes those tests, then another test is performed to determine if the file contents are random. And as a final test, the program checks the file for a few common file headers. That's all TCHunt does.
По умолчанию TCHunt ищет только файлы размером не менее 15 МБ (как упомянуто выше). Это значение может быть легко изменено в исходном коде программы и перекомпилировано для работы с предоставленными пользователем значениями минимального размера файла.
1
Вы можете попробовать бесплатный Encrypted Disk Detector от Magnet Forensics, который является инструментом командной строки Windows:
Encrypted Disk Detector (версия 2, выпущенная 22.04.2013) - это инструмент командной строки, который может быстро и ненавязчиво проверять наличие зашифрованных томов в компьютерной системе во время реагирования на инциденты.
В настоящее время Encrypted Disk Detector обнаруживает зашифрованные тома TrueCrypt, PGP, Safeboot и Bitlocker, и мы добавляем в этот список с каждым новым выпуском.