Znajdź typ zaszyfrowanego dysku twardego

powiedz, że masz w rękach losowy dysk twardy, który jest zaszyfrowany. czy można po prostu z układu danych sprawdzić, jakiego rodzaju szyfrowania użyto?

tj. Bitlocker, Truecrypt, dcrypt?

Nie wiem o Bitlockerze ani dcrypt (nigdy ich nie używałem), ale TCHunt by 16 Systems był w stanie bardzo szybko wykryć wolumeny TrueCrypt na moim komputerze.

TCHead , kolejne narzędzie firmy 16 Systems, było w stanie odszyfrować nagłówki TrueCrypt (oczywiście z hasłem) i może być użyte do brutalnej siły haseł do podejrzanych woluminów TrueCrypt.

Jak działa TCHunt (ze strony internetowej 16 Systems):

TCHunt stosuje bardzo prosty proces eliminacji.
Program sprawdza atrybuty pliku i sprawdza bajty pliku.
Jeśli plik jest wystarczająco duży (domyślnie 15 MB, ale można to zmienić),
następnie ten plik jest testowany, aby sprawdzić, czy rozmiar pliku modulo 512 wynosi 0.

Jeśli plik przejdzie te testy, wykonywany jest kolejny test w celu ustalenia
jeśli zawartość pliku jest losowa. I jako ostateczny test program sprawdza plik
dla kilku popularnych nagłówków plików. To wszystko, co robi TCHunt.

Domyślnie TCHunt szuka tylko plików o rozmiarze co najmniej 15 MB (jak wspomniano powyżej). Wartość tę można łatwo zmienić w kodzie źródłowym programu i ponownie skompilować do pracy z wartościami minimalnego rozmiaru pliku podanymi przez użytkownika.

Możesz wypróbować bezpłatny Encrypted Disk Detector firmy Magnet Forensics, który jest narzędziem wiersza poleceń systemu Windows:

Encrypted Disk Detector (wersja 2 wydana 22.04.2013) to narzędzie wiersza polecenia, które może szybko i nieinwazyjnie sprawdzać zaszyfrowane woluminy w systemie komputerowym podczas reagowania na incydent.

Obecnie Encrypted Disk Detector wykrywa zaszyfrowane woluminy TrueCrypt, PGP, Safeboot i Bitlocker, a my dodajemy do tej listy z każdą nową wersją.