» DiskCryptor

Ради научного интереса взялся установить семёрку в VHD, не расшифровывая диск. Получилось, но пришлось повозиться.

Упрощённо, процесс таков.
1. Интегрируем драйвер DC в установочный диск, это можно несколько раз мучительно долго делать по «официальной» инструкции, или немного ускорить процесс с помощью [more=скрипта]WinSetupDVD.cmd
По ситуации, правим блок переменных в начале, остальное не трогаем.
Файлы WinSetupDVD.cmd, dcrypt.reg, vhd.cmd, vhd.txt, dcrypt.cmd кладём в папку %RootDir%

Код: set RootDir=C:
set WAIK=%ProgramFiles%\"Windows AIK"
set PackageDir=%RootDir%\WinSetupDVD
set ServicingDir=%RootDir%\WinSetupDVD-Servicing
set ServicingHive=%ServicingDir%\Windows\System32\config\SYSTEM
set ServicingKey=HKLM\WinSetupDVD
set DCryptDir=%ProgramFiles%\DiskCryptor
set DCryptScript=%RootDir%\dcrypt.cmd
set DCryptReg=%RootDir%\dcrypt.reg
set VHDScript=%RootDir%\VHD.cmd
set VHDSettings=%RootDir%\VHD.txt
set FinalISO=%RootDir%\WinSetupDVD.iso

cd %RootDir%\

mkdir %ServicingDir%
@pause

%WAIK%\Tools\x86\Servicing\Dism.exe /Mount-Wim /WimFile:%PackageDir%\sources\boot.wim /index:2 /MountDir:%ServicingDir%
@pause

mkdir %ServicingDir%\"Program Files"\dcrypt
copy %DCryptDir%\dcapi.dll %ServicingDir%\"Program Files"\dcrypt
copy %DCryptDir%\dccon.exe %ServicingDir%\"Program Files"\dcrypt
copy %DCryptDir%\dcrypt.exe %ServicingDir%\"Program Files"\dcrypt
copy %DCryptReg% %ServicingDir%\"Program Files"\dcrypt
copy %DCryptDir%\dc_fsf.sys %ServicingDir%\Windows\System32\drivers
copy %DCryptDir%\dcrypt.sys %ServicingDir%\Windows\System32\drivers
@pause

reg load %ServicingKey% %ServicingHive%
@pause

reg import %DCryptReg%
@pause

reg unload %ServicingKey%
@pause

copy %DCryptScript% %ServicingDir%
copy %VHDScript% %ServicingDir%
copy %VHDSettings% %ServicingDir%
@pause

%WAIK%\Tools\x86\Servicing\Dism.exe /Unmount-Wim /MountDir:%ServicingDir% /commit
@pause

%WAIK%\Tools\x86\oscdimg.exe -n -m -b%PackageDir%\boot\etfsboot.com %PackageDir% %FinalISO%
@pause

Никто не в курсе, где можно почитать про настройки для внутреннего/внешнего загрузчика, доступные при шифровании системного раздела?

Заранее огромное спасибо!

Цитата:

Никто не в курсе, где можно почитать про настройки для внутреннего/внешнего загрузчика, доступные при шифровании системного раздела?

А что расписывать-то? Всё на скриншотах и так предельно ясно.

aleksvolgin 20:33 01-10-2013
Цитата:

Всё на скриншотах и так предельно ясно.

Ну, вот такой я тёмный, мне неясно Кое-какие догадки имеются, но очень уж не хочется в результате экспериментов потерять доступ к своим данным. Поэтому был бы очень признателен за краткие пояснения или ссылку

oshizelly
Там ничего сложного нет.
Главное - поначалу не удалить пока единственный загрузчик с основного диска (кнопка «Remove Loader»), но и это вовсе не смертельно. Его всегда можно будет снова установить, например, загрузившись с какого-нибудь CD-реаниматора типа SV-Micro PE.

Слева - выбираем, ставить загрузчик непосредственно на жесткий диск, или на «секретный» съёмный носитель.
Справа - просто выбираем этот самый носитель, на которой будем устанавливать загрузчик.
Загрузчик может быть отдельно от зашифрованного раздела. Его можно установить на любое количество загрузочных устройств без зашифрованных разделов.
Small bootloader, only with AES - не знаю в чем смысл уменьшенного загрузчика, но можно выбрать, если не используем Twofish и Serpent.


Цитата:

у кого-нибудь работает акселератор Alt+S в диалоге подмонтирования диска ("Mount disk") для быстрого перемещения фокуса к выбору опции "Show Password"? Подчёркивание первой буквы "S" в названии пункта как бы намекает на такую возможность, но на самом деле это у меня не работает...

Увы, не работают никакие «подчёркнутые» комбинации, кроме четырех титульных буковок в главном меню.
Кстати, в главном окне буква M подчёркнута одновременно на кнопках «Mount» и «Mount All».

romby
Огромное спасибо, теперь действительно всё понятно.
Собственно, я примерно так и думал, но, как уже сказано выше, не хотелось втёмную экспериментировать.

Единственно вот это прошу уточнить:

Цитата:

Small bootloader, only with AES - не знаю в чем смысл уменьшенного загрузчика, но можно выбрать, если не используем Twofish и Serpent.

Я правильно понимаю, что дополнительные алгоритмы не могут в этом случае использоваться именно для шифрования системного раздела, а для шифрования остальных разделов - могут?

А смысл уменьшения, возможно, в том, что при мультисистемной изагрузке загрузчики каждой системы должны быть записаны в первый сектор диска, а там место ограничено. Что-то я такое где-то когда-то читал, но помню очень смутно.


Цитата:

Главное - поначалу не удалить пока единственный загрузчик с основного диска (кнопка «Remove Loader»)

Что-то я не вижу такой кнопки. Но, может, оно и к лучшему

Добавлено:

Цитата:

Увы, не работают никакие «подчёркнутые» комбинации, кроме четырех титульных буковок в главном меню.  

А я уже разобрался. В меню мнотирования раздела нажатие на клавишу с соответствующей буквой, например, [S], переносит фокус ввода на соответствующую опцию. После этого можно включить/отключить опцию при помощи пробела. Это либо баг, либо своеобразное представление автора сабжа об использовании акселераторов.


Цитата:

Кстати, в главном окне буква M подчёркнута одновременно на кнопках «Mount» и «Mount All».

Аналогично буква U на кнопках [Unmount] и [Unmount All]. Вот последнюю особенно не хотелось бы выбрать по ошибке. Так что, может, оно и к лучшему, что не работают.

Решил попробовать ДискКриптор
Столкнулся с отсутствием пошагового мануала по настройке и зашифровке диска.
Какие возникли вопросы:
1.
При нажатии Encrypt появляется окошко с опциями, с Algoritm - все ясно,
а вот на что влияет Wipe mode - не понял.

2. очень неприятный вопрос, у меня 7х64, пока писал пост DiskCryptor был в фоне открыт как на скрине выше, при переключении из браузера обратно - я увидел это:

т.е. полностью зависшее и не отвечающее приложение.
Что интересно, ну подумал - случайно зависло - ан нет, открыл так же само окно Encryption Settings , просто поигрался вкладками Algoritm и Wipe mode (если не трогать - не виснет)- переключился на браузер - и обратно - та же картина.
Так вот мне стало как-то стремно доверить шифрование этому софту... Это не есть нормально... Если на середине процесса зашифровки диска так же зависнет - все, кранты?

kosjachok
1)
Цитата:

Как работает функция "Wipe Mode"? После её использования я могу восстановить удалённые файлы на смонтированном зашифрованном разделе.
В DiskCryptor эта функция имеет несколько иное назначение чем вы возможно привыкли ожидать от таких утилит как Eraser. При включении этой функции DiskCryptor не удаляет файлы или какие-либо остаточные данные которые могут содержаться в файловой системе. Это не нужно поскольку программа шифрует файловую систему полностью, включая все видимые и невидимые данные. Функция "Wipe Mode" предназначена для предотвращения возможности восстановить данные по остаточной намагниченности на специальном оборудовании. Когда эта функция включена, DiskCryptor считывает данные с сектора, вытирает этот сектор, а затем пишет в него зашифрованные данные. Поэтому абсолютно все данные которые присутствовали на диске до этого, включая удалённые файлы, вы сможете обнаружить на смонтированном зашифрованном диске.

2) Проблема скорее всего в вашей системе. Софтина работает у меня без нареканий на XPx32, 7x32, 7x64, никогда не видел чтоб она подвисла.

garchi

Цитата:

Проблема скорее всего в вашей системе. Софтина работает у меня без нареканий на XPx32, 7x32, 7x64, никогда не видел чтоб она подвисла.

Попробовал этот глюк на другом компе с ХР х32
- все воспроизвелось, DiskCryptor - завис...
после выбора вкладок и смены фокуса на другое приложение - мертвая висячка....
Вы бы попробовали для начала хотябы...

Какие действия можно выполнять с зашифроваными разделами? в частности, можно ли менять размер раздела, размер кластера, тип файловой системы ?

kosjachok

Цитата:

т.е. полностью зависшее и не отвечающее приложение.

А предыдущая версия (1.0.744.115) как себя ведёт?

laprad

Цитата:

в частности, можно ли менять размер раздела,  размер кластера, тип файловой системы ?

Нет, нет, нет.

Цитата:

А предыдущая версия (1.0.744.115) как себя ведёт?

Не нашел живого линка на эту версию...

Цитата:

Не нашел живого линка на эту версию.

Смотрим сюда

по сути этот глюк - мелочный, т.е. если фокус не менять а нажать далее - этап просто проходит без зависания...
Но все же это очень портит первое впечатление от софта...
У многих на этом этапе может возникнуть вопрос по Wipe Mode, и нырнув в браузер для чтения что же это такое - вернуться в зависший DiskCryptor уже не сможем...
сразу сработает мысля - "Стоп, кривая прога, ну нах нужно искать что нить другое...."

Добавлено:
mleo
Цитата:

Смотрим сюда

Сам то хоть смотрел??? Или абы шо написать?

kosjachok
Не хамите!! я с вами за одним столом не сидел.
Где вы увидели, что ссылка дана на именно предложенный билд?
ссылка на предыдущие версии.

DiskCryptor 1.0.744.115 released
но и там этой версии нет.

Добавлено:
если нужна ВО ЧТОБЫ ТО НИ СТАЛО именно эта версия, то
Быстро находим здесь

Цитата:

Где вы увидели, что ссылка дана на именно предложенный билд?
ссылка на предыдущие версии.

а разве ответ с повелительно - снисходительным "смотрим сюда" написан не в ответ на мою цитату , в которой я искал 1.0.744.115?
И, да по поводу хамства, повелительно - снисходительный тон уместен в разговоре учителя с учеником, папы с сыном, старшего с младшим, умного с глупым и т.д.... Ни первым ни вторым ни десятым вы для меня не являетесь, поэтому не нужно мне тут расказывать о хамстве.

А не сильно ли тормозит зашифрованный диск под интелом i3 по сравнению с интел i5 ? Ведь в первом нет аппаратного AES

И как себя прога ведет под win8 ? Без приколов?

Сегодня касперский (6.0.4.1611(e,j) с базами от 14.10.2013) определил загрузчик
DiskCryptor на флешке как Rootkit.Boot.Xpaj.a - и удалил его.
Хорошо что вовремя заметил, а то бы поимел геморроя при перезагрузке. При попытке установить загрузчик заново - таже фигня, пока в трастед зону не добаил.

Ложное срабатывание на DiskCryptor
Я временно поместил загрузчик на CD до исправления баз.

Shaman2
Я зашифрованный USB-диск и на Атоме использовал, никаких тормозов не ощущал.
Под Windows 8 этот диск у меня тоже нормально работал, а вот с системным вопросы возникают.

romby

Цитата:

Слева - выбираем, ставить загрузчик непосредственно на жесткий диск, или на «секретный» съёмный носитель.
Справа - просто выбираем этот самый носитель, на которой будем устанавливать загрузчик.

Прошу простить за дурацкий вопрос, но в чём вообще смысл размещения загрузчика на внешнем носителе? То есть, наверное, так будет более безопасно. Но почему? Ведь даже если разместить загрузчик на том же самом диске (что, понятно, более удобно), то оппонент всё равно никак не сможет его использовать для получения доступа к зашифрованному системному разделу? Или всё-таки сможет?

Кстати, если сейчас при шифровании системнного раздела выбрать в качестве места расположения загрузчика тот же диск, то можно ли будет потом переместить загрузчик на внешний носитель без перешифрования диска?

Спасибо!

Добавлено:
И ещё вопрос в продолжение темы. Насколько правильно, с точки зрения безопасности, будет указать в качестве способа аутентификации ключевой файл на USB-флешке, а пароль не использовать вообще? Тогда, по идее, когда эта USB-флешка подключена к машине, то загрузка должна происходить автоматически безо всякик запросов, а когда этой флешки нет, то загрузку будет невозможна, в принципе?

Цитата:

Насколько правильно, с точки зрения безопасности, будет указать в качестве способа аутентификации ключевой файл на USB-флешке, а пароль не использовать вообще?

И пароль и ключ - секьютернее, но

Цитата:

Тогда, по идее, когда эта USB-флешка подключена к машине, то загрузка должна происходить автоматически безо всякик запросов, а когда этой флешки нет, то загрузку будет невозможна, в принципе?

удобнее. Втыркнул флешку и врубил комп. Вырубил комп и унёс флешку домой - комп бесполезен.

Цитата:

Прошу простить за дурацкий вопрос, но в чём вообще смысл размещения загрузчика на внешнем носителе? То есть, наверное, так будет более безопасно. Но почему?

Потому, что:
1) Тогда на дисках вообще не будет ни одного незашифрованного байта. Полный винчестер с кашей из символов. Можно спрыгнуть, что винчестер проглючил
2) Второе вытекает из первого - проще отрицать само наличие шифрования. Ибо заставить человека назвать пароль довольно легко с помощью паяльника в анусе. А так есть дополнительный шанс закосить под лоха "всё работало, всё включалось, может вы его ударили, вы сломали мой компьютер, он же даже не включается, после того как вы покопались"
3) Флешку можно, например, взять карточку, и в случае шухера раскусить зубами или сломать. Если это единственный загрузчик, тогда расшифровать информацию смогут только на суперкомпьютерах ЗОГ.

banaji 16:12 25-10-2013
Цитата:

И пароль и ключ - секьютернее, но
Цитата: Тогда, по идее, когда эта USB-флешка подключена к машине, то загрузка должна происходить автоматически безо всяких запросов, а когда этой флешки нет, то загрузка будет невозможна, в принципе?

удобнее. Втыркнул флешку и врубил комп. Вырубил комп и унёс флешку домой - комп бесполезен.

banaji
Цитата:

Цитата: в чём вообще смысл размещения загрузчика на внешнем носителе?

1) Тогда на дисках вообще не будет ни одного незашифрованного байта.
2) Второе вытекает из первого - проще отрицать само наличие шифрования.

romby 21:57 25-10-2013
Цитата:

Цитата: А можно ли сделать аутентификацю по паролю и по ключевому файлу альтернативно?

Можно провести эксперимент - записать пароль в файл и попробовать использовать его как ключевой файл

romby

Цитата:

По-моему, таблица разделов в нулевом секторе «внутреннего» носителя не может быть зашифрована. В MBR точно, в новомодной GPT не знаю, но наверняка тоже. Там указывается начало, конец и тип раздела, а у сабжа тип свой, особенный, что значительно снижает «правдоподобность отрицания».

Указывается начало и конец раздела в таблице разделов и что такого? У вас в этом разделе винда стоит, файловая система NTFS, а почему вдруг этот раздел не читается и т.п. вы не знаете!

Тип раздела у сабже не свой, а тот который вы разбивали (первичный или логический), ID раздела 0х07 NTFS (если вы конечно форматировали в NTFS).

oshizelly

Цитата:

Например, при шифровании системного раздела я выбираю вариант размещения загрузчика на том же самом диске. Потом через месяц я захочу убрать загрузчик с диска и поставить его на внешний носитель. Какие действия для этого надо будет проделать?

Нужно будет удалить загрузчик с диска и поставить его на внешний носитель.

WildGoblin 16:11 26-10-2013
Цитата:

Цитата: Например, при шифровании системного раздела я выбираю вариант размещения загрузчика на том же самом диске. Потом через месяц я захочу убрать загрузчик с диска и поставить его на внешний носитель. Какие действия для этого надо будет проделать?

Нужно будет удалить загрузчик с диска и поставить его на внешний носитель.

oshizelly

Цитата:

В самом DiskCrypt в диалоге Tools -> Config Bootloader я таких команд не нашёл.

А оно там есть ("Install Loader", "Remove Loader").

WildGoblin

Цитата:

А оно там есть ("Install Loader", "Remove Loader").

У меня есть только "Install Loader", а "Remove Loader" нету. Возможно, эта кнопка появится после того, как я закриптую системный раздел?

И тогда, значит, если после шифрования системного раздела понадобится в будущем изменить конфигурацию, то кнопкой "Install Loader" надо будет перенести загрузчик с системного диска на внешний, а потом кнопкой "Remove Loader" удалить исходный. Правильно?

oshizelly

Цитата:

Возможно, эта кнопка появится после того, как я закриптую системный раздел?

Она там появится после того как вы выполните "Install Loader".

Цитата:

...то кнопкой "Install Loader" надо будет перенести загрузчик с системного диска на внешний...

Загрузчик не переносится, а просто устанавливается (загрузчик везде одинаковый - в нём нет какой-либо приватной инфы).

Цитата:

...а потом кнопкой "Remove Loader" удалить исходный.

Да.