एन्क्रिप्टेड हार्ड डिस्क के प्रकार का पता लगाएं

8

आप अपने हाथों में एक यादृच्छिक हार्डडिस्क प्राप्त करते हैं जिसे एन्क्रिप्ट किया गया है। क्या डेटा के लेआउट से यह देखना संभव है कि किस तरह के एन्क्रिप्शन का उपयोग किया गया है?

यानी Bitlocker, Truecrypt, dcrypt?

encryption  truecrypt  disk-encryption  bitlocker 
दबाना
स्रोत
इस सवाल के प्रयोजनों के लिए एक बूट ड्राइव में डिस्क, या सिर्फ एक माध्यमिक हार्डड्राइव है?
lzam
यह प्रश्न संभवतः बेहतर उत्तर प्राप्त करेगा यदि सुरक्षा के
stackexchange.com

जवाबों:

3

मैं Bitlocker या dcrypt के बारे में नहीं जानता (मैंने उनका कभी उपयोग नहीं किया है), लेकिन 16 सिस्टम्स द्वारा TCHunt बहुत जल्दी मेरे कंप्यूटर पर TrueCrypt संस्करणों का पता लगाने में सक्षम था।

TCHead , 16 सिस्टम्स द्वारा एक और उपयोगिता ट्रू-क्रिप्ट हेडर (पासवर्ड के साथ, निश्चित रूप से) को डिक्रिप्ट करने में सक्षम थी और इसका उपयोग ट्रू-क्रिप्ट संस्करणों के लिए बल पासवर्ड को ब्रूट करने के लिए किया जा सकता है।

TCHunt कैसे काम करता है (16 सिस्टम वेबसाइट से):

TCHunt उन्मूलन की एक बहुत ही सरल प्रक्रिया का उपयोग करता है।
कार्यक्रम फ़ाइल विशेषताओं को देखता है और फ़ाइल बाइट्स का निरीक्षण करता है।
यदि कोई फ़ाइल काफी बड़ी है (डिफ़ॉल्ट 15MB लेकिन इसे समायोजित किया जा सकता है),
फिर उस फ़ाइल को देखने के लिए परीक्षण किया जाता है कि फ़ाइल का आकार modulo 512 0 के बराबर है या नहीं।

यदि फ़ाइल उन परीक्षणों को पास करती है, तो यह निर्धारित करने के लिए एक और परीक्षण किया जाता है
यदि फ़ाइल सामग्री यादृच्छिक है। और अंतिम परीक्षण के रूप में, प्रोग्राम फ़ाइल की जांच करता है
कुछ सामान्य फ़ाइल हेडर के लिए। यह सब TCHunt करता है।

डिफ़ॉल्ट रूप से, TCHunt केवल उन फ़ाइलों की तलाश करता है जो आकार में कम से कम 15 एमबी हैं (जैसा कि ऊपर उल्लेख किया गया है)। यह मान आसानी से प्रोग्राम के स्रोत कोड में बदला जा सकता है और उपयोगकर्ता द्वारा न्यूनतम फ़ाइल आकार मानों के साथ काम करने के लिए फिर से संकलित किया जा सकता है।

विनायक
स्रोत
TCHunt झूठी सकारात्मक का उत्पादन और कर सकता है।
विनायक
1

आप चुंबक फोरेंसिक से मुक्त एन्क्रिप्टेड डिस्क डिटेक्टर की कोशिश कर सकते हैं , जो एक विंडोज कमांड लाइन टूल है:

एन्क्रिप्टेड डिस्क डिटेक्टर (v2 04/22/2013 को जारी किया गया) एक कमांड-लाइन टूल है जो घटना की प्रतिक्रिया के दौरान कंप्यूटर सिस्टम पर एन्क्रिप्टेड संस्करणों के लिए त्वरित और गैर-घुसपैठ कर सकता है।

वर्तमान में, एन्क्रिप्टेड डिस्क डिटेक्टर TrueCrypt, PGP, Safeboot, और Bitlocker एन्क्रिप्टेड वॉल्यूम का पता लगाता है, और हम प्रत्येक नई रिलीज़ के साथ इस सूची में जोड़ रहे हैं।

harrymc
स्रोत
मैं जोड़ना चाहूंगा कि एन्क्रिप्टेड डिस्क डिटेक्टर केवल पूर्ण डिस्क एन्क्रिप्शन या पहले से ही माउंट किए गए संस्करणों के लिए स्कैन करता है, जिसका मतलब है कि अगर आपके पास HDD विभाजन पर ट्रू क्रिप्टो वॉल्यूम संग्रहीत हैं, तो EDD इसका पता लगाने में सक्षम नहीं होगा । उनकी वेबसाइट से:[EDD] checks for full disk encryption or mounted encrypted volumes
विनायक
@ विनायक: यह पाठ उपकरण के विवरण में नहीं मिलता है, और यह इस तरह की सीमा के साथ एक फोरेंसिक उपकरण के अधिक नहीं होगा । अगर ओपी इसकी कोशिश करता है, तो हमें इसका जवाब पता चल सकता है।
harrymc
पाठ वास्तव में उपकरण के बारे में उनके ब्लॉग पोस्ट से लिया गया था। आपको यह यहाँ मिलेगा: magnetforensics.com/…
विनायक
और मैंने पहले ही इसका उपयोग करने की कोशिश की है, उम्मीद है कि यह TCHunt से बेहतर / तेज़ होगा। यह एक गलत सकारात्मक उत्पादन करता है, एक क्षतिग्रस्त बूट क्षेत्र के कारण एक कारखाने (वसूली?) विभाजन का पता लगाने के रूप में एन्क्रिप्ट किया गया है।
विनायक
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.