» TrueCrypt (часть 2)

GCRaistlin
на вирт машине системный раздел шифровал. ничем не отличается от шифрования физической машины. наверно вам стоит перефразировать вопрос )) чтобы более понятна была задача.
вообще тут две проблемы))) вопрос относится к работе виртуальных машин (в данном случае vmware) и предпочтительнее для шифрования не системных разделов использовать DiskCryptor, т.е. не для этой темы (имхо)

Encrypted Disk Detector 1.2
В отличии от TCHunt позволяет находить шифрованные разделы.
Поддерживает TrueCrypt, PGP, Safeboot и Bitlocker.
Домашняя страница: _http://www.magnetforensics.com/encrypted-disk-detector/
Прямая ссылка на скачивание: _http://wp.magnetforensics.com.carbdev.dynalias.com/downloads/EDD.exe

mleo
Нет, как раз на виртуалке я шифровать ничего не хочу. Я хочу зашифровать хост HyperV, чтобы пароль вводить однажды при включении физического хоста. Виртуальные должны запускаться сами, уже в зашифрованном пространстве, но прозрачно, ничего не зная о шифровании. Здесь я трудностей не предвижу.
Проблема в том, что к одной из виртуалок у меня подключены несколько физических дисков (с торрентами - а на самой виртуалке запущен торрент-клиент). Их я тоже хочу зашифровать. У TrueCrypt есть возможность автоматически монтировать зашифрованные разделы на физических дисках при старте системы с шифрованного раздела. Но в моем случае это, скорее всего, не поможет, т. к. системе эти диски будут недоступны (т. к. они отданы на откуп виртуалке). А виртуалке неоткуда взять пароль для их монтирования. Т. о., автоматического старта виртуалки, вероятно, не получится.

Regsnap

Цитата:

Encrypted Disk Detector 1.2
В отличии от TCHunt позволяет находить шифрованные разделы.

Каким образом Encrypted Disk Detector докажет, что раздел именно зашифрованный? Без знания валидного пароля никак не докажет!

P.S.
Цитата:

Домашняя страница: _http://www.magnetforensics.com/encrypted-disk-detector/

Насколько я помню в Программах запрещено портить ссылки.

GCRaistlin
))) ну как бы в голове я построил (представил).. я правильно понял, что вы хотите автоматизировать расщифровку физ дисков, подключенных к одной из виртуалок, в обход самой вирт машины? то есть до разворачивания вирт ос, а не из нее? до запуска вирт ос, диски подключены к физ машине и вероятно могут расшифровываться до запуска вирт-ос
зы под вирт-ос понимается гостевая система

Добавлено:
да а кстати, гости MS?

TheBarmaley

Цитата:

тулза пропускает файлы со стандартными заголовками

Да так и есть. Заметил, что прога сильно лажает проверяя недокаченные торрентом (как известно - p2p тянет данные в over9000 потоков) файлы, почти все задетектила как тома TC, хотя они таковыми и не являются, но и тома TC ловит на ура. Еще попробовал подсунуть ей data.z (файл из дистрибутива какой-то версии Промта) - схавала и его (скрин). Не раз просматривал потроха *.z-архивов, когда не мог их отрыть всеми дсотупными архиваторами, заголовка у них не было, вот и решил с ними поиграться.
Есть еще вариант, как можно обмануть прогу, но его пока не проверял на деле (может позже), да и не настолько он будет удобен в плане юзабельности томов TC.

mleo

Цитата:

вы хотите автоматизировать расщифровку физ дисков, подключенных к одной из виртуалок, в обход самой вирт машины? то есть до разворачивания вирт ос, а не из нее? до запуска вирт ос, диски подключены к физ машине и вероятно могут расшифровываться до запуска вирт-ос

Да в том-то и дело, что не могут. Чтобы физический диск был доступен виртуалке, он д. б. offline, т. е. разделы на нем физически недоступны хосту. В момент перевода в offline вся дешифровка пойдет по одному женскому месту.

WildGoblin


Цитата:

Каким образом Encrypted Disk Detector докажет, что раздел именно зашифрованный? Без знания валидного пароля никак не докажет!

Докажет суд а Encrypted Disk Detector укажет на раздел который "возможно является зашифрованным".
А вообще для таких вопросов есть саппорт производителя.

Народ, подскажите - что делаю не так?
Установил ТруКрипт, создал зашифрованный том в видефайла, скопировал в него файлы. Проверил, все читается-пишется.
Файл-хранилище переписал на флэшку.
Потом переустановил операциооную систему, снова установил ТруКрипт, скопировал файл-хранилище на диск. Пытаюсь открыть - пишет что не тот пароль или это не ТруКрипт файл.
Что не так? Пароль правильный.

Regsnap

Цитата:

Докажет суд

Доказывают стороны, а не суд!

Цитата:

А вообще для таких вопросов есть саппорт производителя.

Для каких?
Нет в природе программ умеющих обнаружить том или раздел зашифрованный трукриптом.

99%:

Цитата:

Пароль правильный

или это не так. Или язык ввода не тот, или кепслок не в той позиции.
1%: файл стал битый.

Цитата:

Нет в природе программ умеющих обнаружить том или раздел зашифрованный трукриптом.

Скрин
Так прога опознаёт флешку полностью зашифрованную трукриптом. Флешка подключена но раздел не смонтирован.

aristarh_1970
SFC
Заголовок тома хранится с дубликатом в конце. Это ещё надо умудриться так побить, чтобы пострадало и начало и конец файла. Если бы побилось иная область, а не заголовок, ошибки монтирования тогда не возникло. Ещё варианта банальные.
- не тот файл, перепутал
- помимо пароля использовался ключевой файл, который был в конфиге и на старой системе подхватывался автоматом.
- всё же пароль, раскладка, регистр

Regsnap

Цитата:

Скрин
Так прога опознаёт флешку полностью зашифрованную трукриптом. Флешка подключена но раздел не смонтирован.

Вы пожалуйста сами повнимательнее рассмотрите эту картинку!
Что там написано? "Partition 1 might be an encrypted volume, or contains a damaged boot sector"! Для тех кто не понял этой витиеватой фразы переведу: "Начальные сектора раздела содержат информацию которую Encrypted Disk Detector понять не в силах, а стало быть это или том зашифрованный трукриптом, либо хз что - однозначного ответа нет!"

P.S. Вы почитайте документацию - заголовок контейнера/раздела, зашифрованного трукриптом, не содержит никаких сигнатур и полностью зашифрован! Определить его можно только с вероятностью 50% - либо это трукрипт, либо нет!

Странно. Я этим паролем пользуюсь давно - раньше тупо складывал файлы в зашифрованный зип-архив.
Еще вопрос. Несколько файлов из закрытых ТруКриптом у меня есть в не зашифрованном виде.
Можно ли (если да то как) используя их восстановить доступ ко всему архиву?

WildGoblin

Цитата:

а стало быть это или том зашифрованный трукриптом, либо хз что - однозначного ответа нет!

Никто и не претендует на 100% детект.
Как я писал ранее:
Цитата:

Encrypted Disk Detector укажет на раздел который "возможно является зашифрованным".

aristarh_1970
Нельзя, это только может помочь в криптоанализе единицам.
Прежде чем восстанавливать доступ надо выяснить что произошло, переустановка ОС ну никак повлиять не могла.

Цитата:

Несколько файлов из закрытых ТруКриптом у меня есть в не зашифрованном виде.
Можно ли (если да то как) используя их восстановить доступ ко всему архиву?

Не чужой ли ты контейнер пытаешься вскрыть

Чет я туплю маленько. Не могу понять что делать чтоб изменить текст загрузчика зашифрованного раздела. Балуюсь на виртуалке с шифрованием и вот вошел в небольшой ступор.


Разобрался. Это просто виртуалка каждый раз грузилась с ISO образа TrueCrypt

aristarh_1970
Том не hidden случайно? Если в Mount Options поставить галку "Protect hidden volume against damage caused by writing to outer volume", то диалог преспокойно закрывается по OK при пустом пароле (хотя это бессмысленно). И сколько ни вводи потом правильный пароль в основном окне, система будет говорить про incorrect password - пока галку не снимешь.

т.е. если я белый и пушистый, тайн у меня нет, но завалялась поломаная флешка....
и вот меня перепутали с гангстером, и проводят обыск... нашли эту флешку и что? меня будут пытать шоб я им сказал пароль? мне пришьют шпионаж и измену родине?
ЭТО ПРОСТО ФЛЕШКА СО СЛЕТЕВШЕЙ ФАТ я её просто отформатировать забыл

Контейнер самый обычный - в файле, без скрытых контейнеров.
А можно проверить целостность контейнера, чтобы понять - может файл сломался при переписывании туда-обратно?
Да, щас вот подумалось, в последний раз когда этот контейнер работал - вполне возможно перед выключением компьютера я его не отмонтировал.
Это могло привести к поломке контейнера?



Цитата:

Не чужой ли ты контейнер пытаешься вскрыть

Если б пытался вскрыть чужой - так бы и написал (совести у меня нет).
Кроме того открывать чужий я бы не взялся - откуда узнаешь какие файлы там лежат?

Regsnap

Цитата:

Как я писал ранее:

Ещё ранее вы написали - "В отличии от TCHunt позволяет находить шифрованные разделы."

Stranger_Y2K

Цитата:

ЭТО ПРОСТО ФЛЕШКА СО СЛЕТЕВШЕЙ ФАТ я её просто отформатировать забыл

В некоторых странах могут потребовать выдать пароль, а так как вы его не выдадите (откуда у вас может быть пароль к флэшке со слетевшим фат... ), то посадят вас лет на пять!

aristarh_1970

Цитата:

А можно проверить целостность контейнера, чтобы понять - может файл сломался при переписывании туда-обратно?

Нет, конечно. Иначе чего бы стоило такое шифрование.

Цитата:

Если б пытался вскрыть чужой - так бы и написал (совести у меня нет)

УК учит нас держать язык за зубами. Есть совесть, нет совести, а голова на плечах никому еще не мешала.

Добавлено:

Цитата:

Контейнер самый обычный - в файле, без скрытых контейнеров.

Я неточно выразился. Просто проверь, не стоит ли галка.

WildGoblin
Цитата:

Какая разница между предположительно томом и предположительно томом запрятаным в ads?
Цитата:сталыть, том, прицепленный, к примеру, к картинке, "охотник" не найдёт.. вернее - пропустит..
Пропустит.

ну, раз хантер пропустит, в том и разница.. :)))

---

savant_a
Цитата:

Есть еще вариант

а именно? если это не коммерческий секрет, ессно.. :)
что касаемо
Цитата:

не настолько он будет удобен

вопрос интересный, если учитывать фактор "правдоподобности отрицания наличия"..
даже о-очень интересный, если при этом отпадёт вопрос применения терморектального метода вскрытия паролей.. ;)

---

по поводу "может обнаружить, но не однозначно" - эх-х-хх.. проблемка в том, что этого достаточно, чтобы "прицепились".. имхо..
ну.. во времена старика Лаврентия тоже особо не интересовались, насколько правдиво сексоты стучали..
шо, однако, не мешало разную "контру" пачками в "места, не столь отдалённые" слать.. :(

Добавлено:
WildGoblin
Цитата:

Поправил на

наверное, есть смысл где-то рядом добавить ещё и обсуждаемый Encrypted Disk Detector, нет?..
ну.. так сказать, для "полноты картины" имеющихся средств обнаружения сабжа.. :)

Цитата:

УК учит нас держать язык за зубами.

Дык и с точки зрения УК тут все чисто: мои фаилы, мои данные. Разве если пара книжек с флибусты или фильмов с торрентов завалялась...

aristarh_1970
Речь выше шла о том, что, мол, буду пытаться вскрыть чужой контейнер - так и напишу. Ну, пиши, конечно... дело твое.
И не обольщайся насчет "мои файлы, мои данные" - каждый, кто использует TrueCrypt, нарушает закон: использование несертифицированных ФАПСИ криптографических средств. Штраф "физикам" - до 5000 р., ЕМНИП.

TheBarmaley

Цитата:

ну, раз хантер пропустит, в том и разница.. ))

Прятать что-то в ads это как положить на видном месте и вывеской светящейся снабдить.

Цитата:

- эх-х-хх.. проблемка в том, что этого достаточно, чтобы "прицепились".. имхо..

Если у вас производят обыск, то значит на вас и так уже что-то есть.
В случае "обнаружения" органами у вас чего-то отдалённо похожего на контейнер/том трукрипт можно всегда отвергнуть эти подозрения и не выдавать ключ (если вы живёте в нормальной стране, то это таки сработает).

Цитата:

ну.. во времена старика Лаврентия тоже особо не интересовались, насколько правдиво сексоты стучали..

Как же людям головы штампами и глупостями заполнили..

Цитата:

наверное, есть смысл где-то рядом добавить ещё и обсуждаемый Encrypted Disk Detector...

Так в чём же дело?

Цитата:

каждый, кто использует TrueCrypt, нарушает закон

Предлагаете всем участникам этих десяти веток по ТруКрипту от стыда за глубину своего падения - выпить йаду и убить-сибя-ап-стену?

WildGoblin
Цитата:

Прятать что-то в ads это как положить на видном месте

ну, хоть как-то.. во всяком случае, тогда "ищущим" потребуется уже два инструмента, вместо одного.. :)

Цитата:

если вы живёте в нормальной стране, то это таки сработает

мы все живём в нормальной стране.. но всегда есть "нюансы".. ;)

сопссно, вряд-ли есть смысл спорить, шо на любую защиту всегда найдётся лом.. тот или иной.. рано или поздно..
но не в том суть.. если говорить по текущей теме, проблема "правдоподобности отрицания" таки есть..
и утилиты, подобные хантеру и детектору, ни разу не помогают увеличению этой правдоподобности..
посему была и остаётся проблема "сокрытия наличия".. при условии, что том не на сменном носителе..
и какие остаются варианты? ну.. кроме "шапочного" адс и архивирования с нулевой компрессией..

Цитата:

Так в чём же дело?

тоже верно.. айн-цвай - унд аллес гемахт.. :)

GCRaistlin
Контейнер, создаваемый сабжем - представляет собой просто набор байт, и доказать, что это криптоконтейнер - невозможно, сколько ни реверси его. А вот если шифрованна вся система - другой вопрос, загрузчик ТруКрипт можно легко найти. Но ведь проще создать виртуаку и ее шифровать, при этом использовать при необходимости и тогда вопрос о палевности отпадает.