Cari tahu jenis hard disk terenkripsi

8

mengatakan Anda mendapatkan harddisk acak ke tangan Anda yang dienkripsi. apakah mungkin hanya dari tata letak data untuk melihat jenis enkripsi apa yang telah digunakan?

yaitu Bitlocker, Truecrypt, dcrypt?

penjepit
sumber
Untuk keperluan pertanyaan ini apakah disk di drive boot, atau hanya hard drive sekunder?
lzam
Pertanyaan ini mungkin akan menerima jawaban yang lebih baik jika dipindahkan ke security.stackexchange.com
Vinayak

Jawaban:

3

Saya tidak tahu tentang Bitlocker atau dcrypt (saya belum pernah menggunakannya), tetapi TCHunt oleh 16 Systems mampu mendeteksi volume TrueCrypt di komputer saya dengan sangat cepat.

TCHead , utilitas lain oleh 16 Sistem mampu mendekripsi header TrueCrypt (dengan kata sandi, tentu saja) dan dapat digunakan untuk mengubah kata sandi untuk volume yang diduga TrueCrypt.

Cara kerja TCHunt (dari situs web 16 Systems):

TCHunt menggunakan proses eliminasi yang sangat sederhana.
Program ini melihat atribut file dan memeriksa byte file.
Jika file cukup besar (standar 15MB tetapi ini dapat disesuaikan),
maka file itu diuji untuk melihat apakah ukuran file modulo 512 sama dengan 0.

Jika file tersebut lulus tes tersebut, maka tes lain dilakukan untuk menentukan
jika isi file acak. Dan sebagai tes akhir, program memeriksa file
untuk beberapa header file umum. Hanya itu yang dilakukan TCHunt.

Secara default, TCHunt hanya mencari file dengan ukuran setidaknya 15 MB (seperti yang disebutkan di atas). Nilai ini dapat dengan mudah diubah dalam kode sumber program dan dikompilasi ulang untuk bekerja dengan nilai ukuran file minimum yang disediakan pengguna.

Vinayak
sumber
TCHunt dapat dan memang menghasilkan positif palsu.
Vinayak
1

Anda dapat mencoba Pendeteksi Disk Terenkripsi gratis dari Magnet Forensics, yang merupakan alat baris perintah Windows:

Encrypted Disk Detector (v2 dirilis 04/22/2013) adalah alat baris perintah yang dapat dengan cepat dan non-intrusi memeriksa volume terenkripsi pada sistem komputer selama respon insiden.

Saat ini, Pendeteksi Disk Terenkripsi mendeteksi volume terenkripsi TrueCrypt, PGP, Safeboot, dan Bitlocker, dan kami menambah daftar ini dengan setiap rilis baru.

harrymc
sumber
Saya ingin menambahkan bahwa Pendeteksi Disk Terenkripsi hanya memindai enkripsi disk lengkap atau volume yang sudah terpasang yang berarti bahwa jika Anda memiliki volume TrueCrypt yang disimpan pada partisi HDD, maka EDD tidak akan dapat mendeteksinya. Dari situs web mereka:[EDD] checks for full disk encryption or mounted encrypted volumes
Vinayak
@Vinayak: Teks ini tidak ditemukan dalam deskripsi alat, dan itu tidak akan menjadi alat forensik dengan batasan seperti itu. Jika OP mencobanya, kita mungkin tahu jawabannya.
harrymc
Teks sebenarnya diambil dari posting blog mereka tentang alat ini. Anda akan menemukannya di sini: magnetforensics.com/...
Vinayak
Dan saya sudah mencoba menggunakannya, berharap itu akan lebih baik / lebih cepat daripada TCHunt. Ini menghasilkan partisi positif palsu, mendeteksi pabrik (pemulihan?) Sebagai terenkripsi karena sektor boot rusak.
Vinayak