ค้นหาประเภทของฮาร์ดดิสก์ที่เข้ารหัส

บอกว่าคุณได้รับฮาร์ดดิสก์สุ่มในมือซึ่งเข้ารหัส เป็นไปได้จากเลย์เอาต์ของข้อมูลเพื่อดูว่ามีการใช้การเข้ารหัสชนิดใด

เช่น Bitlocker, Truecrypt, dcrypt?

ฉันไม่รู้เกี่ยวกับ Bitlocker หรือ dcrypt (ฉันไม่เคยใช้มัน) แต่TCHunt by 16 Systemsสามารถตรวจสอบปริมาณ TrueCrypt บนคอมพิวเตอร์ของฉันได้อย่างรวดเร็ว

TCHeadซึ่งเป็นยูทิลิตี้อื่นจาก 16 ระบบสามารถถอดรหัสส่วนหัว TrueCrypt (ด้วยรหัสผ่านแน่นอน) และสามารถใช้ในการเดรัจฉานรหัสผ่านบังคับสำหรับไดรฟ์ข้อมูล TrueCrypt ที่น่าสงสัย

TCHunt ทำงานอย่างไร (จากเว็บไซต์ 16 ระบบ):

TCHunt ใช้กระบวนการกำจัดที่ง่ายมาก
โปรแกรมจะตรวจสอบคุณสมบัติของไฟล์และตรวจสอบไบต์ไฟล์
หากไฟล์มีขนาดใหญ่พอ (15MB เริ่มต้น แต่สามารถปรับได้)
ไฟล์นั้นจะถูกทดสอบเพื่อดูว่าขนาดของไฟล์ modulo 512 เท่ากับ 0 หรือไม่

หากไฟล์ผ่านการทดสอบเหล่านั้นจะมีการทดสอบอีกครั้งเพื่อพิจารณา
ถ้าเนื้อหาไฟล์เป็นแบบสุ่ม และเป็นการทดสอบขั้นสุดท้ายโปรแกรมจะตรวจสอบไฟล์
สำหรับส่วนหัวไฟล์ทั่วไปบางส่วน นั่นคือทั้งหมดที่ TCHunt ทำ

โดยค่าเริ่มต้น TCHunt จะค้นหาเฉพาะไฟล์ที่มีขนาดอย่างน้อย 15 MB (ตามที่กล่าวไว้ข้างต้น) ค่านี้สามารถเปลี่ยนแปลงได้อย่างง่ายดายในซอร์สโค้ดของโปรแกรมและรวบรวมใหม่เพื่อทำงานกับค่าขนาดไฟล์ขั้นต่ำที่ผู้ใช้ระบุ

คุณสามารถลองEncrypted Disk Detectorฟรีจาก Magnet Forensics ซึ่งเป็นเครื่องมือบรรทัดคำสั่งของ Windows:

Encrypted Disk Detector (v2 release 04/22/2013) เป็นเครื่องมือบรรทัดคำสั่งที่สามารถตรวจสอบไดรฟ์ข้อมูลที่เข้ารหัสบนระบบคอมพิวเตอร์ได้อย่างรวดเร็วและไม่ติดขัดในระหว่างการตอบสนองเหตุการณ์

ขณะนี้ Encrypted Disk Detector ตรวจพบไดรฟ์ข้อมูลที่เข้ารหัส TrueCrypt, PGP, Safeboot และ Bitlocker และเรากำลังเพิ่มลงในรายการนี้ด้วยการเปิดตัวแต่ละรุ่นใหม่