Finden Sie den Typ der verschlüsselten Festplatte heraus

8

Angenommen, Sie haben eine zufällige Festplatte in die Hand, die verschlüsselt ist. Ist es möglich, nur anhand des Layouts der Daten zu erkennen, welche Art von Verschlüsselung verwendet wurde?

dh Bitlocker, Truecrypt, dcrypt?

Klemme
quelle
Für die Zwecke dieser Frage befindet sich die Festplatte in einem Boot-Laufwerk oder nur eine sekundäre Festplatte?
lzam
Diese Frage würde wahrscheinlich bessere Antworten erhalten, wenn sie auf security.stackexchange.com
Vinayak

Antworten:

3

Ich weiß nichts über Bitlocker oder dcrypt (ich habe sie nie verwendet), aber TCHunt von 16 Systems konnte TrueCrypt-Volumes auf meinem Computer sehr schnell erkennen.

TCHead , ein weiteres Dienstprogramm von 16 Systems, konnte TrueCrypt-Header (natürlich mit dem Kennwort) entschlüsseln und zum Brute-Force- Erzwingen von Kennwörtern für verdächtige TrueCrypt-Volumes verwendet werden.

Wie TCHunt funktioniert (von der Website von 16 Systems):

TCHunt verwendet einen sehr einfachen Eliminierungsprozess.
Das Programm überprüft Dateiattribute und überprüft Dateibytes.
Wenn eine Datei groß genug ist (Standard 15 MB, dies kann jedoch angepasst werden),
Dann wird diese Datei getestet, um festzustellen, ob die Dateigröße modulo 512 gleich 0 ist.

Wenn die Datei diese Tests besteht, wird ein weiterer Test durchgeführt, um festzustellen
wenn der Dateiinhalt zufällig ist. Als letzten Test überprüft das Programm die Datei
für ein paar gängige Datei-Header. Das ist alles, was TCHunt tut.

Standardmäßig sucht TCHunt nur nach Dateien mit einer Größe von mindestens 15 MB (wie oben erwähnt). Dieser Wert kann leicht im Quellcode des Programms geändert und neu kompiliert werden, um mit vom Benutzer angegebenen Mindestwerten für die Dateigröße zu arbeiten.

Vinayak
quelle
TCHunt kann und kann falsch positive Ergebnisse liefern.
Vinayak
1

Sie können den kostenlosen Encrypted Disk Detector von Magnet Forensics ausprobieren , einem Windows-Befehlszeilentool:

Encrypted Disk Detector (v2, veröffentlicht am 22.04.2013) ist ein Befehlszeilentool, mit dem während der Reaktion auf Vorfälle schnell und nicht aufdringlich nach verschlüsselten Volumes auf einem Computersystem gesucht werden kann.

Derzeit erkennt Encrypted Disk Detector verschlüsselte TrueCrypt-, PGP-, Safeboot- und Bitlocker-Volumes und wird mit jeder neuen Version zu dieser Liste hinzugefügt.

harrymc
quelle
Ich möchte hinzufügen, dass Encrypted Disk Detector nur nach vollständiger Festplattenverschlüsselung oder bereits bereitgestellten Volumes sucht. Wenn Sie also TrueCrypt-Volumes auf einer Festplattenpartition gespeichert haben, kann EDD diese nicht erkennen. Von ihrer Website:[EDD] checks for full disk encryption or mounted encrypted volumes
Vinayak
@ Vinayak: Dieser Text ist in der Beschreibung des Tools nicht enthalten und wäre mit einer solchen Einschränkung kein forensisches Tool. Wenn das OP es versucht, kennen wir möglicherweise die Antwort.
Harrymc
Der Text wurde tatsächlich aus ihrem Blog-Beitrag über das Tool entnommen. Sie finden es hier: magnetforensics.com/…
Vinayak
Und ich habe es bereits versucht, in der Hoffnung, dass es besser / schneller als TCHunt ist. Es wurde ein falsches Positiv erzeugt, bei dem eine Factory-Partition (Wiederherstellung?) Als verschlüsselt aufgrund eines beschädigten Bootsektors erkannt wurde.
Vinayak