Angenommen, Sie haben eine zufällige Festplatte in die Hand, die verschlüsselt ist. Ist es möglich, nur anhand des Layouts der Daten zu erkennen, welche Art von Verschlüsselung verwendet wurde?
dh Bitlocker, Truecrypt, dcrypt?
Angenommen, Sie haben eine zufällige Festplatte in die Hand, die verschlüsselt ist. Ist es möglich, nur anhand des Layouts der Daten zu erkennen, welche Art von Verschlüsselung verwendet wurde?
dh Bitlocker, Truecrypt, dcrypt?
Antworten:
Ich weiß nichts über Bitlocker oder dcrypt (ich habe sie nie verwendet), aber TCHunt von 16 Systems konnte TrueCrypt-Volumes auf meinem Computer sehr schnell erkennen.
TCHead , ein weiteres Dienstprogramm von 16 Systems, konnte TrueCrypt-Header (natürlich mit dem Kennwort) entschlüsseln und zum Brute-Force- Erzwingen von Kennwörtern für verdächtige TrueCrypt-Volumes verwendet werden.
Wie TCHunt funktioniert (von der Website von 16 Systems):
Standardmäßig sucht TCHunt nur nach Dateien mit einer Größe von mindestens 15 MB (wie oben erwähnt). Dieser Wert kann leicht im Quellcode des Programms geändert und neu kompiliert werden, um mit vom Benutzer angegebenen Mindestwerten für die Dateigröße zu arbeiten.
quelle
Sie können den kostenlosen Encrypted Disk Detector von Magnet Forensics ausprobieren , einem Windows-Befehlszeilentool:
quelle
[EDD] checks for full disk encryption or mounted encrypted volumes