暗号化されたランダムなハードディスクが手に入るとしましょう。データのレイアウトから、どのような暗号化が使用されているかを確認することは可能ですか?
つまり、Bitlocker、Truecrypt、dcrypt?
回答:
Bitlockerやdcryptについては知りません(使用したことはありません)が、16システムのTCHuntは、コンピューター上のTrueCryptボリュームを非常に迅速に検出できました。
16 Systemsの別のユーティリティであるTCHeadは、TrueCryptヘッダーを(もちろんパスワードを使用して)復号化でき、疑わしいTrueCryptボリュームのブルートフォースパスワードのブルートフォースに使用できます。
TCHuntの仕組み(16 SystemsのWebサイトから):
TCHuntは、非常に単純な除去プロセスを使用します。 プログラムはファイル属性を調べ、ファイルのバイトを検査します。 ファイルが十分に大きい場合(デフォルトは15MBですが、これは調整可能です)、 次に、そのファイルがテストされ、512を法とするファイルサイズが0に等しいかどうかが確認されます。 ファイルがこれらのテストに合格すると、別のテストが実行され、 ファイルの内容がランダムな場合。そして最後のテストとして、プログラムはファイルをチェックします いくつかの一般的なファイルヘッダー。TCHuntが行うのはそれだけです。
デフォルトでは、TCHuntは(上記のように)サイズが15 MB以上のファイルのみを検索します。この値は、プログラムのソースコードで簡単に変更でき、ユーザーが指定した最小ファイルサイズ値で動作するように再コンパイルできます。
WindowsコマンドラインツールであるMagnet Forensics の無料のEncrypted Disk Detectorを試すことができます。
暗号化ディスク検出器(2013年4月22日リリースのv2)は、インシデント対応中にコンピューターシステム上の暗号化ボリュームを迅速かつ非侵入的にチェックできるコマンドラインツールです。
現在、Encrypted Disk DetectorはTrueCrypt、PGP、Safeboot、およびBitlocker暗号化ボリュームを検出しており、新しいリリースごとにこのリストに追加されます。
[EDD] checks for full disk encryption or mounted encrypted volumes