Узнайте тип зашифрованного жесткого диска

8

скажем, вы получаете случайный жесткий диск в ваших руках, который зашифрован. Можно ли просто из макета данных увидеть, какой тип шифрования был использован?

то есть битлокер, трюкрипт, дкрипт?

зажим
источник
Для целей этого вопроса диск в загрузочном диске, или просто вторичный жесткий диск?
lzam
Этот вопрос, вероятно, получит лучшие ответы, если переместиться на security.stackexchange.com
Vinayak

Ответы:

3

Я не знаю о Bitlocker или dcrypt (я никогда не использовал их), но TCHunt от 16 Systems смог обнаружить тома TrueCrypt на моем компьютере очень быстро.

TCHead , еще одна утилита от 16 Systems, смогла расшифровать заголовки TrueCrypt (конечно, с помощью пароля) и может быть использована для взлома паролей для предполагаемых томов TrueCrypt.

Как работает TCHunt (с сайта 16 Systems):

TCHunt использует очень простой процесс устранения.
Программа просматривает атрибуты файла и проверяет байты файла.
Если файл достаточно большой (по умолчанию 15 МБ, но это можно изменить),
Затем этот файл проверяется, чтобы увидеть, равен ли размер файла по модулю 512 0.

Если файл проходит эти тесты, то выполняется другой тест для определения
если содержимое файла случайное. И в качестве финального теста, программа проверяет файл
для нескольких распространенных заголовков файлов. Это все, что делает TCHunt.

По умолчанию TCHunt ищет только файлы размером не менее 15 МБ (как указано выше). Это значение может быть легко изменено в исходном коде программы и перекомпилировано для работы с предоставленными пользователем значениями минимального размера файла.

Винаяк
источник
TCHunt может и дает ложные срабатывания.
Винаяк
1

Вы можете попробовать бесплатный Encrypted Disk Detector от Magnet Forensics, который является инструментом командной строки Windows:

Encrypted Disk Detector (версия 2, выпущенная 22.04.2013) - это инструмент командной строки, который может быстро и ненавязчиво проверять зашифрованные тома в компьютерной системе во время реагирования на инциденты.

В настоящее время Encrypted Disk Detector обнаруживает зашифрованные тома TrueCrypt, PGP, Safeboot и Bitlocker, и мы добавляем в этот список с каждым новым выпуском.

harrymc
источник
Я хотел бы добавить, что Encrypted Disk Detector сканирует только полное шифрование диска или уже смонтированные тома, что означает, что если у вас есть тома TrueCrypt, хранящиеся в разделе жесткого диска, то EDD не сможет его обнаружить. С их сайта:[EDD] checks for full disk encryption or mounted encrypted volumes
Винаяк
@Vinayak: Этот текст не найден в описании инструмента, и он не будет большим количеством судебного инструмента с таким ограничением. Если ОП попытается, мы можем знать ответ.
Harrymc
Текст был взят из их блога об этом инструменте. Вы найдете это здесь: magnetforensics.com/…
Vinayak
И я уже пытался использовать его, надеясь, что это будет лучше / быстрее, чем TCHunt. Он выдал ложное срабатывание, обнаружив заводской (восстановительный?) Раздел зашифрованным из-за поврежденного загрузочного сектора.
Винаяк