Descobrir o tipo de disco rígido criptografado

7

digamos que você tenha um disco rígido aleatório em suas mãos, que é criptografado. é possível apenas a partir do layout dos dados para ver que tipo de criptografia foi usado?

i.e. Bitlocker, Truecrypt, dcrypt?

    
por clamp 18.03.2014 / 09:55

2 respostas

3

Eu não sei sobre o Bitlocker ou o dcrypt (nunca os usei), mas o TCHunt da 16 Systems conseguiu para detectar volumes TrueCrypt no meu computador muito rapidamente.

TCHead , outro utilitário da 16 Systems foi capaz de decifrar cabeçalhos TrueCrypt (com a senha, é claro) e pode ser usado para usar senhas de força bruta para volumes TrueCrypt suspeitos.

Como funciona o Tchunt (no site da 16 Systems):

TCHunt uses a very simple process of elimination.
The program looks at file attributes and inspects file bytes.
If a file is big enough (default 15MB but this can be adjusted),
then that file is tested to see if the file size modulo 512 equals 0.

If the file passes those tests, then another test is performed to determine
if the file contents are random. And as a final test, the program checks the file
for a few common file headers. That's all TCHunt does.

Por padrão, o TCHunt procura apenas arquivos com pelo menos 15 MB de tamanho (como mencionado acima). Esse valor pode ser facilmente alterado no código-fonte do programa e recompilado para funcionar com o arquivo mínimo fornecido pelo usuário valores de tamanho.

    
por 30.08.2014 / 02:50
1

Você pode experimentar o Detector de disco criptografado gratuito do Ímã Forense, que é uma ferramenta de linha de comando do Windows:

Encrypted Disk Detector (v2 released 04/22/2013) is a command-line tool that can quickly and non-intrusively check for encrypted volumes on a computer system during incident response.

Currently, Encrypted Disk Detector detects TrueCrypt, PGP, Safeboot, and Bitlocker encrypted volumes, and we’re adding to this list with each new release.

    
por 30.08.2014 / 10:00