Découvrez le type de disque dur crypté

8

dites que vous obtenez un disque dur aléatoire entre vos mains qui est crypté. est-il possible simplement à partir de la disposition des données de voir quel type de cryptage a été utilisé?

ie Bitlocker, Truecrypt, dcrypt?

encryption truecrypt disk-encryption bitlocker serrer
la source
Aux fins de cette question, le disque se trouve-t-il dans un lecteur de démarrage, ou simplement un disque dur secondaire?
lzam
Cette question recevrait probablement de meilleures réponses si elle était déplacée vers security.stackexchange.com
Vinayak

Réponses:

3

Je ne connais pas Bitlocker ou dcrypt (je ne les ai jamais utilisés), mais TCHunt by 16 Systems a pu détecter les volumes TrueCrypt sur mon ordinateur très rapidement.

TCHead , un autre utilitaire de 16 Systems a été en mesure de décrypter les en-têtes TrueCrypt (avec le mot de passe, bien sûr) et peut être utilisé pour forcer les mots de passe pour les volumes TrueCrypt suspectés.

Fonctionnement de TCHunt (à partir du site Web de 16 Systems):

TCHunt utilise un processus d'élimination très simple.
Le programme examine les attributs de fichier et inspecte les octets de fichier.
Si un fichier est assez gros (15 Mo par défaut mais cela peut être ajusté),
puis ce fichier est testé pour voir si la taille du fichier modulo 512 est égale à 0.

Si le fichier réussit ces tests, un autre test est effectué pour déterminer
si le contenu du fichier est aléatoire. Et comme test final, le programme vérifie le fichier
pour quelques en-têtes de fichiers courants. C'est tout ce que fait TCHunt.

Par défaut, TCHunt recherche uniquement les fichiers dont la taille est d'au moins 15 Mo (comme mentionné ci-dessus). Cette valeur peut facilement être modifiée dans le code source du programme et recompilée pour fonctionner avec des valeurs de taille de fichier minimale fournies par l'utilisateur.

Vinayak
la source
TCHunt peut produire et produit des faux positifs.
Vinayak
1

Vous pouvez essayer le détecteur de disque crypté gratuit de Magnet Forensics, qui est un outil de ligne de commande Windows:

Encrypted Disk Detector (v2 publiée le 22/04/2013) est un outil en ligne de commande qui peut vérifier rapidement et de manière non intrusive les volumes chiffrés sur un système informatique lors de la réponse aux incidents.

Actuellement, Encrypted Disk Detector détecte les volumes cryptés TrueCrypt, PGP, Safeboot et Bitlocker, et nous ajoutons à cette liste à chaque nouvelle version.

harrymc
la source
Je voudrais ajouter qu'Encrypted Disk Detector recherche uniquement le chiffrement complet du disque ou les volumes déjà montés, ce qui signifie que si vous avez des volumes TrueCrypt stockés sur une partition HDD, EDD ne pourra pas le détecter. De leur site Web:[EDD] checks for full disk encryption or mounted encrypted volumes
Vinayak
@Vinayak: Ce texte ne se trouve pas dans la description de l'outil, et ce ne serait pas vraiment un outil médico - légal avec une telle limitation. Si l'OP l'essaie, nous pourrions connaître la réponse.
harrymc
Le texte a en fait été extrait de leur article de blog sur l'outil. Vous le trouverez ici: magnetforensics.com/…
Vinayak
Et j'ai déjà essayé de l'utiliser, en espérant qu'il serait meilleur / plus rapide que TCHunt. Il a produit un faux positif, détectant une partition d'usine (récupération?) Comme cryptée en raison d'un secteur de démarrage endommagé.
Vinayak