Узнайте тип зашифрованного жесткого диска

скажем, вы получаете случайный жесткий диск в ваших руках, который зашифрован. Можно ли просто из макета данных увидеть, какой тип шифрования был использован?

то есть битлокер, трюкрипт, дкрипт?

Я не знаю о Bitlocker или dcrypt (я никогда не использовал их), но TCHunt от 16 Systems смог обнаружить тома TrueCrypt на моем компьютере очень быстро.

TCHead , еще одна утилита от 16 Systems, смогла расшифровать заголовки TrueCrypt (конечно, с помощью пароля) и может быть использована для взлома паролей для предполагаемых томов TrueCrypt.

Как работает TCHunt (с сайта 16 Systems):

TCHunt использует очень простой процесс устранения.
Программа просматривает атрибуты файла и проверяет байты файла.
Если файл достаточно большой (по умолчанию 15 МБ, но это можно изменить),
Затем этот файл проверяется, чтобы увидеть, равен ли размер файла по модулю 512 0.

Если файл проходит эти тесты, то выполняется другой тест для определения
если содержимое файла случайное. И в качестве финального теста, программа проверяет файл
для нескольких распространенных заголовков файлов. Это все, что делает TCHunt.

По умолчанию TCHunt ищет только файлы размером не менее 15 МБ (как указано выше). Это значение может быть легко изменено в исходном коде программы и перекомпилировано для работы с предоставленными пользователем значениями минимального размера файла.

Вы можете попробовать бесплатный Encrypted Disk Detector от Magnet Forensics, который является инструментом командной строки Windows:

Encrypted Disk Detector (версия 2, выпущенная 22.04.2013) - это инструмент командной строки, который может быстро и ненавязчиво проверять зашифрованные тома в компьютерной системе во время реагирования на инциденты.

В настоящее время Encrypted Disk Detector обнаруживает зашифрованные тома TrueCrypt, PGP, Safeboot и Bitlocker, и мы добавляем в этот список с каждым новым выпуском.