mengatakan Anda mendapatkan harddisk acak ke tangan Anda yang dienkripsi. apakah mungkin hanya dari tata letak data untuk melihat jenis enkripsi apa yang telah digunakan?
yaitu Bitlocker, Truecrypt, dcrypt?
mengatakan Anda mendapatkan harddisk acak ke tangan Anda yang dienkripsi. apakah mungkin hanya dari tata letak data untuk melihat jenis enkripsi apa yang telah digunakan?
yaitu Bitlocker, Truecrypt, dcrypt?
Jawaban:
Saya tidak tahu tentang Bitlocker atau dcrypt (saya belum pernah menggunakannya), tetapi TCHunt oleh 16 Systems mampu mendeteksi volume TrueCrypt di komputer saya dengan sangat cepat.
TCHead , utilitas lain oleh 16 Sistem mampu mendekripsi header TrueCrypt (dengan kata sandi, tentu saja) dan dapat digunakan untuk mengubah kata sandi untuk volume yang diduga TrueCrypt.
Cara kerja TCHunt (dari situs web 16 Systems):
TCHunt menggunakan proses eliminasi yang sangat sederhana. Program ini melihat atribut file dan memeriksa byte file. Jika file cukup besar (standar 15MB tetapi ini dapat disesuaikan), maka file itu diuji untuk melihat apakah ukuran file modulo 512 sama dengan 0. Jika file tersebut lulus tes tersebut, maka tes lain dilakukan untuk menentukan jika isi file acak. Dan sebagai tes akhir, program memeriksa file untuk beberapa header file umum. Hanya itu yang dilakukan TCHunt.
Secara default, TCHunt hanya mencari file dengan ukuran setidaknya 15 MB (seperti yang disebutkan di atas). Nilai ini dapat dengan mudah diubah dalam kode sumber program dan dikompilasi ulang untuk bekerja dengan nilai ukuran file minimum yang disediakan pengguna.
Anda dapat mencoba Pendeteksi Disk Terenkripsi gratis dari Magnet Forensics, yang merupakan alat baris perintah Windows:
Encrypted Disk Detector (v2 dirilis 04/22/2013) adalah alat baris perintah yang dapat dengan cepat dan non-intrusi memeriksa volume terenkripsi pada sistem komputer selama respon insiden.
Saat ini, Pendeteksi Disk Terenkripsi mendeteksi volume terenkripsi TrueCrypt, PGP, Safeboot, dan Bitlocker, dan kami menambah daftar ini dengan setiap rilis baru.
[EDD] checks for full disk encryption or mounted encrypted volumes