Descubra o tipo de disco rígido criptografado

8

digamos que você tenha um disco rígido aleatório em suas mãos, criptografado. é possível apenas a partir do layout dos dados ver que tipo de criptografia foi usada?

ou seja, Bitlocker, Truecrypt, dcrypt?

braçadeira
fonte
Para os fins desta pergunta, o disco está em uma unidade de inicialização ou apenas em um disco rígido secundário?
Lzam 29/08/14
Esta questão provavelmente iria receber respostas melhores se mudou para security.stackexchange.com
Vinayak

Respostas:

3

Não conheço o Bitlocker ou o dcrypt (nunca os usei), mas o TCHunt by 16 Systems conseguiu detectar volumes TrueCrypt no meu computador muito rapidamente.

O TCHead , outro utilitário da 16 Systems, conseguiu descriptografar os cabeçalhos TrueCrypt (com a senha, é claro) e pode ser usado para criar senhas de força bruta para suspeitos de volumes TrueCrypt.

Como o TCHunt funciona (no site da 16 Systems):

O TCHunt usa um processo muito simples de eliminação.
O programa examina os atributos do arquivo e inspeciona os bytes do arquivo.
Se um arquivo for grande o suficiente (15 MB padrão, mas isso pode ser ajustado),
esse arquivo é testado para verificar se o módulo de tamanho de arquivo 512 é igual a 0.

Se o arquivo passar nesses testes, outro teste será executado para determinar
se o conteúdo do arquivo for aleatório. E como teste final, o programa verifica o arquivo
para alguns cabeçalhos de arquivos comuns. É tudo o que o TCHunt faz.

Por padrão, o TCHunt procura apenas arquivos com tamanho mínimo de 15 MB (como mencionado acima). Esse valor pode ser facilmente alterado no código-fonte do programa e recompilado para trabalhar com os valores mínimos de tamanho de arquivo fornecidos pelo usuário.

Vinayak
fonte
O TCHunt pode e produz falsos positivos.
Vinayak
1

Você pode experimentar o Detector de disco criptografado gratuito do Magnet Forensics, que é uma ferramenta de linha de comando do Windows:

O Detector de disco criptografado (v2 lançado em 22/04/2013) é uma ferramenta de linha de comando que pode verificar de forma rápida e não intrusiva volumes criptografados em um sistema de computador durante a resposta a incidentes.

Atualmente, o Detector de disco criptografado detecta volumes criptografados TrueCrypt, PGP, Safeboot e Bitlocker, e estamos adicionando a esta lista a cada nova versão.

harrymc
fonte
Gostaria de acrescentar que o Detector de disco criptografado verifica apenas a criptografia completa do disco ou os volumes já montados, o que significa que, se você tiver volumes TrueCrypt armazenados em uma partição do disco rígido, o EDD não poderá detectá-lo. Do seu site:[EDD] checks for full disk encryption or mounted encrypted volumes
Vinayak
@ Vinayak: Este texto não é encontrado na descrição da ferramenta e não seria uma ferramenta forense com essa limitação. Se o OP tentar, podemos saber a resposta.
harrymc
O texto foi retirado da postagem do blog sobre a ferramenta. Você o encontrará aqui: magnetforensics.com/…
Vinayak
E eu já tentei usá-lo, esperando que fosse melhor / mais rápido que o TCHunt. Ele produziu um falso positivo, detectando uma partição de fábrica (recuperação?) Como criptografada devido a um setor de inicialização danificado.
Vinayak