暗号化されたランダムなハードディスクを手にしたとしましょう。データのレイアウトから、どのような暗号化が使用されているかを確認することは可能ですか?
つまり、Bitlocker、Truecrypt、復号化?
Bitlockerまたはdcryptについてはわかりません(使用したことはありません)が、 TCHunt by 16 Systems コンピューター上のTrueCryptボリュームを非常に迅速に検出できました。
TCHead 、16 Systemsの別のユーティリティはTrueCryptヘッダーを(もちろんパスワードを使用して)復号化でき、疑わしいTrueCryptボリュームのパスワードをブルートフォースするために使用できます。
TCHuntのしくみ(16 SystemsのWebサイトから):
TCHuntは、非常に単純な削除プロセスを使用します。 プログラムはファイル属性を調べ、ファイルバイトを検査します。 ファイルが十分に大きい場合(デフォルトは15MBですが、これは調整可能です) 、 次に、そのファイルをテストして、512を法とするファイルサイズが0に等しいかどうかを確認します。 ファイルがこれらのテストに合格すると、別のテストが実行されて ファイルの内容がランダムである場合。そして最後のテストとして、プログラムはファイル でいくつかの一般的なファイルヘッダーをチェックします。 TCHuntが行うのはそれだけです。
デフォルトでは、TCHuntは(上記のように)少なくとも15MBのサイズのファイルのみを検索します。この値は、プログラムの ソースコード で簡単に変更でき、ユーザーが指定した最小ファイルサイズ値で動作するように再コンパイルできます。
WindowsコマンドラインツールであるMagnetForensicsの無料の Encrypted Disk Detector を試すことができます。
Encrypted Disk Detector(v2リリース2013年4月22日)は、インシデント対応中にコンピューターシステム上の暗号化されたボリュームをすばやく非侵入的にチェックできるコマンドラインツールです。
現在、Encrypted Disk Detectorは、TrueCrypt、PGP、Safeboot、およびBitlockerで暗号化されたボリュームを検出しており、新しいリリースごとにこのリストに追加しています。