Descubra el tipo de disco duro cifrado

8

digamos que tiene un disco duro aleatorio en sus manos que está encriptado. ¿Es posible simplemente desde el diseño de los datos ver qué tipo de cifrado se ha utilizado?

es decir, Bitlocker, Truecrypt, dcrypt?

encryption  truecrypt  disk-encryption  bitlocker 
abrazadera
fuente
Para los fines de esta pregunta, ¿está el disco en una unidad de arranque o simplemente un disco duro secundario?
lzam
Esta pregunta probablemente recibiría mejores respuestas si se traslada a security.stackexchange.com
Vinayak

Respuestas:

3

No sé sobre Bitlocker o dcrypt (nunca los he usado), pero TCHunt by 16 Systems fue capaz de detectar volúmenes TrueCrypt en mi computadora muy rápidamente.

TCHead , otra utilidad de 16 Systems fue capaz de descifrar los encabezados de TrueCrypt (con la contraseña, por supuesto) y puede usarse para contraseñas de fuerza bruta para volúmenes sospechosos de TrueCrypt.

Cómo funciona TCHunt (del sitio web de 16 Systems):

TCHunt utiliza un proceso muy simple de eliminación.
El programa analiza los atributos del archivo e inspecciona los bytes del archivo.
Si un archivo es lo suficientemente grande (predeterminado de 15 MB pero se puede ajustar),
entonces ese archivo se prueba para ver si el tamaño del archivo módulo 512 es igual a 0.

Si el archivo pasa esas pruebas, se realiza otra prueba para determinar
si el contenido del archivo es aleatorio Y como prueba final, el programa verifica el archivo
para algunos encabezados de archivo comunes. Eso es todo lo que hace TCHunt.

De manera predeterminada, TCHunt solo busca archivos que tengan al menos 15 MB de tamaño (como se mencionó anteriormente). Este valor se puede cambiar fácilmente en el código fuente del programa y se puede volver a compilar para que funcione con los valores mínimos de tamaño de archivo proporcionados por el usuario.

Vinayak
fuente
TCHunt puede y produce falsos positivos.
Vinayak
1

Puede probar el Detector de disco cifrado gratuito de Magnet Forensics, que es una herramienta de línea de comandos de Windows:

El Detector de disco cifrado (v2 lanzado el 22/04/2013) es una herramienta de línea de comandos que puede verificar de forma rápida y no intrusiva los volúmenes cifrados en un sistema informático durante la respuesta al incidente.

Actualmente, el Detector de disco cifrado detecta los volúmenes cifrados TrueCrypt, PGP, Safeboot y Bitlocker, y los estamos agregando a esta lista con cada nueva versión.

harrymc
fuente
Me gustaría agregar que el Detector de disco cifrado solo analiza el cifrado completo del disco o los volúmenes ya montados, lo que significa que si tiene volúmenes TrueCrypt almacenados en una partición HDD, EDD no podrá detectarlo. Desde su sitio web:[EDD] checks for full disk encryption or mounted encrypted volumes
Vinayak
@Vinayak: este texto no se encuentra en la descripción de la herramienta, y no sería una herramienta forense con tanta limitación. Si el OP lo intenta, podríamos saber la respuesta.
harrymc
El texto fue tomado de su publicación de blog sobre la herramienta. Lo encontrarás aquí: magnetforensics.com/…
Vinayak
Y ya he intentado usarlo, esperando que sea mejor / más rápido que TCHunt. Produjo un falso positivo, detectando una partición de fábrica (¿recuperación?) Como encriptada debido a un sector de arranque dañado.
Vinayak
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.