» TrueCrypt (часть 2)

tempmsk

Цитата:

а целиком шифрованный раздел. Оно так умеет ?

Зашифрованный раздел можно смонтировать TrueCrypt'ом на любом компьютере. Тем более если угроблен только загрузчик, а сам раздел не тронут, вообще никаких проблем не должно быть. Вставить в другой компьютер, запустить TrueCrypt, выбрать в "Устройство..." системный раздел подключенного диска, нажать "Смонтировать" и ввести пароль.

Спасибо, обнадежили. Буду пытаться. О результатах доложу! ))

TCHunt 1.5
Проблема с контейнерами Truecrypt не только в том что, они зашифрованы а ещё и в том что, их трудно найти на харде. Единственное что умеет TCHunt, это находить на локальном компьютере зашифрованные контейнеры программы TrueCrypt.
Эту программу используют специалисты в области Форензики, когда требуется найти на жёстком диске конфиденциальную, спрятанную информацию.

Инструкция:
Автор: 16s
Совместимость с Windows 7: Да
Язык интерфейса: English
http://16s.us/TCHunt/index.php

Цитата:

Зашифрованный раздел можно смонтировать TrueCrypt'ом на любом компьютере. Тем более если угроблен только загрузчик, а сам раздел не тронут, вообще никаких проблем не должно быть. Вставить в другой компьютер, запустить TrueCrypt, выбрать в "Устройство..." системный раздел подключенного диска, нажать "Смонтировать" и ввести пароль.

Да, огромное спасибо SergikZ за дельный совет. Все заработало безупречно.

На моём ноутбуке установлен гибридный жёсткий диск HDD+SSD. Я установлю две операционных системы, т.е. разобью HHD на два логических диска на каждом из которых будет стоять своя операционная система. Одну из них зашифрую TrueCryp-ом. Тоесть c SSD ничего делать не буду, ни разбивать его, ни шифровать, не устанавливать на него ОС. Вопрос в чём, если я будут работать из под шифрованной оси, будет ли сливаться как ой либо не зашифрованный кнтент, так сказать в голом виде на SSD???

obtim
Цитата:

TCHunt 1.5

забавная штучка..

вопросик возник - а может ли "охотник" определить том, зарытый в NTFS-стрим?
в исходниках особо не силён, но, как понял, тулза пропускает файлы со стандартными заголовками..
сталыть, том, прицепленный, к примеру, к картинке, "охотник" не найдёт.. вернее - пропустит..

зы.
их фак почитал, но с ходу ответа не нашёл..

Добавлено:
ссылку на тулзу добавил в шапку:
Цитата:

TCHunt - поиск контейнеров TrueCrypt

Подскажите, у меня установлена Win 7 x64. Сабжевая программа (версия 7.1а) даже при запуске от имени Админа не дает создать скрытый том в формате NTFS, а для меня это важно. Как побороть?

obtim

Цитата:

Единственное что умеет TCHunt, это находить на локальном компьютере зашифрованные контейнеры программы TrueCrypt.

Если это предложение перевести на русский, то звучать оно будет так - "Единственное что умеет TCHunt, это находить на локальном компьютере предположительно зашифрованные возможно контейнеры наверное программы TrueCrypt".

TheBarmaley

Цитата:

вопросик возник - а может ли "охотник" определить том, зарытый в NTFS-стрим?

Какая разница между предположительно томом и предположительно томом запрятаным в ads?

Цитата:

сталыть, том, прицепленный, к примеру, к картинке, "охотник" не найдёт.. вернее - пропустит..

Пропустит.

Цитата:

ссылку на тулзу добавил в шапку:

Поправил на:

Цитата:

TCHunt - поиск файлов которые, предположительно, являются контейнерами TrueCrypt

Encrypted Disk Detector 1.2
В отличии от TCHunt позволяет находить шифрованные разделы.
Поддерживает TrueCrypt, PGP, Safeboot и Bitlocker.
Домашняя страница: _http://www.magnetforensics.com/encrypted-disk-detector/
Прямая ссылка на скачивание: _http://wp.magnetforensics.com.carbdev.dynalias.com/downloads/EDD.exe

Regsnap

Цитата:

Encrypted Disk Detector 1.2
В отличии от TCHunt позволяет находить шифрованные разделы.

Каким образом Encrypted Disk Detector докажет, что раздел именно зашифрованный? Без знания валидного пароля никак не докажет!

P.S.
Цитата:

Домашняя страница: _http://www.magnetforensics.com/encrypted-disk-detector/

Насколько я помню в Программах запрещено портить ссылки.

TheBarmaley

Цитата:

тулза пропускает файлы со стандартными заголовками

Да так и есть. Заметил, что прога сильно лажает проверяя недокаченные торрентом (как известно - p2p тянет данные в over9000 потоков) файлы, почти все задетектила как тома TC, хотя они таковыми и не являются, но и тома TC ловит на ура. Еще попробовал подсунуть ей data.z (файл из дистрибутива какой-то версии Промта) - схавала и его (скрин). Не раз просматривал потроха *.z-архивов, когда не мог их отрыть всеми дсотупными архиваторами, заголовка у них не было, вот и решил с ними поиграться.
Есть еще вариант, как можно обмануть прогу, но его пока не проверял на деле (может позже), да и не настолько он будет удобен в плане юзабельности томов TC.

WildGoblin


Цитата:

Каким образом Encrypted Disk Detector докажет, что раздел именно зашифрованный? Без знания валидного пароля никак не докажет!

Докажет суд а Encrypted Disk Detector укажет на раздел который "возможно является зашифрованным".
А вообще для таких вопросов есть саппорт производителя.

Regsnap

Цитата:

Докажет суд

Доказывают стороны, а не суд!

Цитата:

А вообще для таких вопросов есть саппорт производителя.

Для каких?
Нет в природе программ умеющих обнаружить том или раздел зашифрованный трукриптом.

Цитата:

Нет в природе программ умеющих обнаружить том или раздел зашифрованный трукриптом.

Скрин
Так прога опознаёт флешку полностью зашифрованную трукриптом. Флешка подключена но раздел не смонтирован.

Regsnap

Цитата:

Скрин
Так прога опознаёт флешку полностью зашифрованную трукриптом. Флешка подключена но раздел не смонтирован.

Вы пожалуйста сами повнимательнее рассмотрите эту картинку!
Что там написано? "Partition 1 might be an encrypted volume, or contains a damaged boot sector"! Для тех кто не понял этой витиеватой фразы переведу: "Начальные сектора раздела содержат информацию которую Encrypted Disk Detector понять не в силах, а стало быть это или том зашифрованный трукриптом, либо хз что - однозначного ответа нет!"

P.S. Вы почитайте документацию - заголовок контейнера/раздела, зашифрованного трукриптом, не содержит никаких сигнатур и полностью зашифрован! Определить его можно только с вероятностью 50% - либо это трукрипт, либо нет!

WildGoblin

Цитата:

а стало быть это или том зашифрованный трукриптом, либо хз что - однозначного ответа нет!

Никто и не претендует на 100% детект.
Как я писал ранее:
Цитата:

Encrypted Disk Detector укажет на раздел который "возможно является зашифрованным".

Чет я туплю маленько. Не могу понять что делать чтоб изменить текст загрузчика зашифрованного раздела. Балуюсь на виртуалке с шифрованием и вот вошел в небольшой ступор.


Разобрался. Это просто виртуалка каждый раз грузилась с ISO образа TrueCrypt

т.е. если я белый и пушистый, тайн у меня нет, но завалялась поломаная флешка....
и вот меня перепутали с гангстером, и проводят обыск... нашли эту флешку и что? меня будут пытать шоб я им сказал пароль? мне пришьют шпионаж и измену родине?
ЭТО ПРОСТО ФЛЕШКА СО СЛЕТЕВШЕЙ ФАТ я её просто отформатировать забыл

Regsnap

Цитата:

Как я писал ранее:

Ещё ранее вы написали - "В отличии от TCHunt позволяет находить шифрованные разделы."

Stranger_Y2K

Цитата:

ЭТО ПРОСТО ФЛЕШКА СО СЛЕТЕВШЕЙ ФАТ я её просто отформатировать забыл

В некоторых странах могут потребовать выдать пароль, а так как вы его не выдадите (откуда у вас может быть пароль к флэшке со слетевшим фат... ), то посадят вас лет на пять!

WildGoblin
Цитата:

Какая разница между предположительно томом и предположительно томом запрятаным в ads?
Цитата:сталыть, том, прицепленный, к примеру, к картинке, "охотник" не найдёт.. вернее - пропустит..
Пропустит.

ну, раз хантер пропустит, в том и разница.. :)))

---

savant_a
Цитата:

Есть еще вариант

а именно? если это не коммерческий секрет, ессно.. :)
что касаемо
Цитата:

не настолько он будет удобен

вопрос интересный, если учитывать фактор "правдоподобности отрицания наличия"..
даже о-очень интересный, если при этом отпадёт вопрос применения терморектального метода вскрытия паролей.. ;)

---

по поводу "может обнаружить, но не однозначно" - эх-х-хх.. проблемка в том, что этого достаточно, чтобы "прицепились".. имхо..
ну.. во времена старика Лаврентия тоже особо не интересовались, насколько правдиво сексоты стучали..
шо, однако, не мешало разную "контру" пачками в "места, не столь отдалённые" слать.. :(

Добавлено:
WildGoblin
Цитата:

Поправил на

наверное, есть смысл где-то рядом добавить ещё и обсуждаемый Encrypted Disk Detector, нет?..
ну.. так сказать, для "полноты картины" имеющихся средств обнаружения сабжа.. :)

TheBarmaley

Цитата:

ну, раз хантер пропустит, в том и разница.. ))

Прятать что-то в ads это как положить на видном месте и вывеской светящейся снабдить.

Цитата:

- эх-х-хх.. проблемка в том, что этого достаточно, чтобы "прицепились".. имхо..

Если у вас производят обыск, то значит на вас и так уже что-то есть.
В случае "обнаружения" органами у вас чего-то отдалённо похожего на контейнер/том трукрипт можно всегда отвергнуть эти подозрения и не выдавать ключ (если вы живёте в нормальной стране, то это таки сработает).

Цитата:

ну.. во времена старика Лаврентия тоже особо не интересовались, насколько правдиво сексоты стучали..

Как же людям головы штампами и глупостями заполнили..

Цитата:

наверное, есть смысл где-то рядом добавить ещё и обсуждаемый Encrypted Disk Detector...

Так в чём же дело?

WildGoblin
Цитата:

Прятать что-то в ads это как положить на видном месте

ну, хоть как-то.. во всяком случае, тогда "ищущим" потребуется уже два инструмента, вместо одного.. :)

Цитата:

если вы живёте в нормальной стране, то это таки сработает

мы все живём в нормальной стране.. но всегда есть "нюансы".. ;)

сопссно, вряд-ли есть смысл спорить, шо на любую защиту всегда найдётся лом.. тот или иной.. рано или поздно..
но не в том суть.. если говорить по текущей теме, проблема "правдоподобности отрицания" таки есть..
и утилиты, подобные хантеру и детектору, ни разу не помогают увеличению этой правдоподобности..
посему была и остаётся проблема "сокрытия наличия".. при условии, что том не на сменном носителе..
и какие остаются варианты? ну.. кроме "шапочного" адс и архивирования с нулевой компрессией..

Цитата:

Так в чём же дело?

тоже верно.. айн-цвай - унд аллес гемахт.. :)

U3 latest?

TheBarmaley

Цитата:

посему была и остаётся проблема "сокрытия наличия"..

Если контейнер небольшой (1-50 мб), то назовите его "~DFC357E75558BC9329.TMP", закиньте в папку TEMP и всего делов.
Если же у вас гиговые контейнеры (или раздел зашифрованный), то никаких спец утилит для отыскания оных не потребуется - подозрительные файлы находятся, довольно быстро, руками.


Цитата:

...и архивирования с нулевой компрессией..

Для чего это?

[more] Мне вообще кажется, что возможность отрицания наличия скрытого контейнера, надо рассматривать в трех вариантах.
Вариант №1 - вы никому нах не нужны, на вас ничего конкретного нет, но на вас наехали, так сказать по беспеделу (изъяли все носители информации, устроили обыск и т.д.), в надежде что вы испугаетесь и сделаете то что от вас требуется. Тут всё прокатит - это понятно.
Вариант №2 - так сказать, тот случай когда уже без адвоката не обойтись. Пытать вас ни кто не будет, процентов на 99%, ну может закроют на пару месяцев. Отрицание всего на свете вероятно сыграет свою положительную роль. (Сократит срок и сбережет здоровье, а чьи то там предположения, что вы что то там скрываете, к делу не пришьешь)
А вот вариант №3 - вы практически официально объявлены врагом народа №1, вопрос по вашему делу давно уже решен. Вопрос остался только по собранию доказательной базы. Понятно, что если на винте осталось свободное пространство, значит там что то есть. Тут и без экспертизы понятно. Только зачем пытать то, если ты не террорист и не заложил где то бомбу. Если пойдёш на сотрудничество со следствием получишь вместо четырех например только тир или два. Мне кажется, посидев в СИЗО, месяцев этак 9-12, любой согласится.

Вы мне вот что лучше скажите. у меня такая ситуация:
Под Windows сам SSD диск себя ни как не обнаруживает. Т.е. работает как бы скрыто. Разбит на две части, одна часть отведена под режим гибернации, с ней работает драйвер материнской платы; а другая часть отведена под системный кэш, с которым работает ещё одна утилита (из под DOS). (К тому же сама SSD шифруется на аппаратном уровне.) Такая хитрая система кэширования не могла бы служить причиной утечки информации с зашифрованного системного диска??? Как вариант, сделать SSD обычным диском, удалив все не нужные драйвера. Но можно ли обойтись без этого??? И оставить всё как есть??? [/more]

Razummoff
по SSD нужно смотреть на особенности записи и хранения инфы на них. читал давненько, что с шифрованием и его чисткой существуют особенности. ((( не помню где брал эту статью..

WildGoblin

Цитата:

Если контейнер небольшой (1-50 мб), то назовите его "~DFC357E75558BC9329.TMP", закиньте в папку TEMP и всего делов.

Чтобы потом какой-нибудь CCleaner его удалил?

WildGoblin
Цитата:

назовите его

да без разницы чё/как назвать и куда засунуть.. если уж контейнер лежит на несъёмном винте, тот же хантер его найдёт на раз..

шо же касается ручного поиска по размеру, без стороннего струмента тут ваще никто ничё предъявить не смогёт..
ну, лежит хз какой файл с хз каким именем/расширением, ну и ква? мало ли чё на винте валяется..
эдак вы, родные, мне ещё и пагефиле.сис к особосекретным томам причислите.. ;))

не-не, речь-то идёт именно о действенном сокрытии, которое и тулзы всякие не ущучат..
в смысле, шоб даже саму предъяву на основании "возможно является томом" нельзя было сделать..

Цитата:

Для чего это?

дык, это как раз и есть один из методов "противодействия поиску".. :)

всё просто - если есть автоматизация поиска, значит, надо сделать так, штоб автопоиск ничё не нашёл, а ручной поиск был бы полностью нецелесообразен по затратам времени..

ну, в частности по вопросу об архивах с нулевой компрессией..
1. размер архива может быть ниипически большим? угу..
2. венда может работать с содержимым зип-архива как с обычной папкой? угу..
3. заголовок архива стандартный и тот же хантер не вякнет, шо это "возможно чё-то спрятанное"? угу..
4. нулевая компрессия не сказывается значительно на скорости работы? угу..
5. никакой закон не запрещает держать в архиве мильён файлов самого произвольного имени/размера и прочая? угу..
6. можно ли держать на винте мильён подобных архивов, в одном из которых реально лежит контейнер? угу..
7. можно держать мильён подобных архивов в адс? угу..
ну, и т.д.. :))

вот из-за этих "угу" и было написано, шо это - один из возможных вариантов "правдоподобного отрицания".. :)
не "стопудовый", каэшно, метод, есть и у него куча "минусов".. но вполне сойдёт как вариант, пока что (!) обходящий имеющиеся (пока что) поисковые тулзы..

упреждая лобовое возражение "архив можно распаковать и проанализировать", скажу, шо не зря говорил о "мильёне" файлов/архивов - слишком уж затратно и нецелесообразно оно.. сталыть, никто и искать не будет.. ;)

но, ессно, если же за хвост берут "по-настоящему", то всё это лишнее.. ибо есть паяльник и иже.. :)

---

Razummoff
всё правильно, про три варианта наезда.. сопссно, мне, как технарю, интересно исключить то, что могу.. т.е. если можно каким-либо техническим приёмом убрать варианты 1 и 2 и/или "снизить давление" при любом варианте наезда, то я должен это сделать.. причём, весьма желательно, заранее.. :)

шо же касается варианта №3, тут всё тупо и просто - технического решения нет и быть не может по определению.. :(

Добавлено:
Engaged Clown
Цитата:

Чтобы потом какой-нибудь CCleaner его удалил?

ну.. можно добавить клинеру в исключения.. :D

Engaged Clown

Цитата:

Чтобы потом какой-нибудь CCleaner его удалил?

CCleaner сам по себе запускается?

TheBarmaley

Цитата:

если уж контейнер лежит на несъёмном винте, тот же хантер его найдёт на раз..

"хантер" ищет файлы не содержащие известные ему заголовки (за минуту можно написать прогу прописывающую нужный заголовок контейнеру и потом возвращающую оригинальные байты) - заархивируйте контейнер и прилепите его большому джипегу (у меня вот полно jpg и tiff размером 10-50-100 мб) и при поверхностном осмотре никто и ничто этот контейнер не найдёт.

Цитата:

эдак вы, родные, мне ещё и пагефиле.сис к особосекретным томам причислите.. )

Вы разговор в болтологию скатываете - pagefile.sys достаточно тем же листером (тоталкоммандера) открыть чтобы понять что это не контейнер.

Цитата:

не-не, речь-то идёт именно о действенном сокрытии, которое и тулзы всякие не ущучат..

Действенное сокрытие это скрытый контейнер внутри контейнера трукрипта - всё остальное от лукавого и выглядит чем-то действенным только в глазах незнающих людей.

Цитата:

в смысле, шоб даже саму предъяву на основании "возможно является томом" нельзя было сделать..

Это очень легко сделать - достаточно всего лишь не создавать зашифрованный контейнер/том.


Цитата:

вот из-за этих "угу" и было написано, шо это - один из возможных вариантов "правдоподобного отрицания"..

Зачем городить огород когда можно просто не выдавать ключ от контейнера?

(Некоторый наивные школьники думают, что с обыском приходят в надежде найти что-либо - бывает конечно и так, но в основном приходят изымать конкретные вещи. )

Цитата:

шо не зря говорил о "мильёне" файлов/архивов - слишком уж затратно и нецелесообразно оно.. сталыть, никто и искать не будет..

Тем же Forensic Toolkit (от Access Data) всё очень быстро находится.

WildGoblin
Цитата:

заархивируйте контейнер и прилепите его большому джипегу

ну, дык ить, и я про то же.. ;)
в том смысле, шо
Цитата:

при поверхностном осмотре

действительно
Цитата:

никто и ничто этот контейнер не найдёт

и задачка сокрытия от простого "наезда" решима..

Цитата:

разговор в болтологию скатываете

вопчем=то, про пагефиле - это шутка была.. если кто не понял.. ;)
речь ведь была о бессмысленности ручного поиска по размеру.. т.е. безо всяких доп.тулз..
листер от тотала, кстати, тоже вполне можно относить к дополнительным средствам поиска.. :))

Цитата:

Действенное сокрытие это скрытый контейнер внутри контейнера трукрипта

нащёт действенности полностью согласен.. но вот беда - контейнер-то "оболочка" при этом обнаруживается.. сталыть, и "искатели" (если они не полные дятлы) вправе предположить, шо есть и скрытый.. и, соответссно, вправе "копать глыбже".. поэтому всё-тки весьма желательно, шоб и "оболочку" не нашли.. за тем, сопссно, и нужен весь огород с сокрытием тома.. :)

Цитата:

Зачем городить огород когда можно просто не выдавать ключ от контейнера?

имею встречный вопрос - а зачем ваще давать повод к тому, чтобы этот ключ начали из тебя вытрясать?.. ;)
нет повода - спим спокойно, есть повод - надо напрягаться и придумывать всякие отмазы..
не-не.. лично я предпочитаю в таких случаях даже повода не давать.. :)

ну.. если уж на то пошло - не имею ни малейшего желания облегчать кому-либо поиск..
и если смогу "ищущему" задачу осложнить, мне печенька, а ему - хрен с маслом.. :)

Цитата:

Тем же Forensic Toolkit (от Access Data) всё очень быстро находится

а что находится-то? пруфлинк можно?
и именно о том, шо сия тулза реально нашла том сабжа в архиве, содержащем туеву хучу файлов..
на всякий случай - тут глянул, в лоб не узрелось..