Descubra o tipo de disco rígido criptografado

digamos que você tenha um disco rígido aleatório em suas mãos, criptografado. é possível apenas a partir do layout dos dados ver que tipo de criptografia foi usada?

ou seja, Bitlocker, Truecrypt, dcrypt?

Não conheço o Bitlocker ou o dcrypt (nunca os usei), mas o TCHunt by 16 Systems conseguiu detectar volumes TrueCrypt no meu computador muito rapidamente.

O TCHead , outro utilitário da 16 Systems, conseguiu descriptografar os cabeçalhos TrueCrypt (com a senha, é claro) e pode ser usado para criar senhas de força bruta para suspeitos de volumes TrueCrypt.

Como o TCHunt funciona (no site da 16 Systems):

O TCHunt usa um processo muito simples de eliminação.
O programa examina os atributos do arquivo e inspeciona os bytes do arquivo.
Se um arquivo for grande o suficiente (15 MB padrão, mas isso pode ser ajustado),
esse arquivo é testado para verificar se o módulo de tamanho de arquivo 512 é igual a 0.

Se o arquivo passar nesses testes, outro teste será executado para determinar
se o conteúdo do arquivo for aleatório. E como teste final, o programa verifica o arquivo
para alguns cabeçalhos de arquivos comuns. É tudo o que o TCHunt faz.

Por padrão, o TCHunt procura apenas arquivos com tamanho mínimo de 15 MB (como mencionado acima). Esse valor pode ser facilmente alterado no código-fonte do programa e recompilado para trabalhar com os valores mínimos de tamanho de arquivo fornecidos pelo usuário.

Você pode experimentar o Detector de disco criptografado gratuito do Magnet Forensics, que é uma ferramenta de linha de comando do Windows:

O Detector de disco criptografado (v2 lançado em 22/04/2013) é uma ferramenta de linha de comando que pode verificar de forma rápida e não intrusiva volumes criptografados em um sistema de computador durante a resposta a incidentes.

Atualmente, o Detector de disco criptografado detecta volumes criptografados TrueCrypt, PGP, Safeboot e Bitlocker, e estamos adicionando a esta lista a cada nova versão.