암호화 된 하드 디스크 유형 찾기

암호화 된 임의의 하드 디스크를 손에 넣습니다. 데이터 레이아웃에서 어떤 종류의 암호화가 사용되었는지 확인할 수 있습니까?

즉 Bitlocker, Truecrypt, dcrypt?

Bitlocker 또는 dcrypt에 대해서는 잘 모르지만 (사용한 적이 없음) 16 Systems의 TCHunt 는 컴퓨터에서 TrueCrypt 볼륨을 매우 빠르게 감지 할 수있었습니다.

16 Systems의 또 다른 유틸리티 인 TCHead 는 TrueCrypt 헤더를 해독 할 수 있었으며 (물론 암호를 사용하여) 의심되는 TrueCrypt 볼륨에 대해 강제 암호를 무차별 처리하는 데 사용할 수 있습니다.

TCHunt 작동 방식 (16 Systems 웹 사이트에서) :

TCHunt는 매우 간단한 제거 프로세스를 사용합니다.
프로그램은 파일 속성을보고 파일 바이트를 검사합니다.
파일이 충분히 큰 경우 (기본 15MB이지만 조정할 수 있음)
그런 다음 파일 크기 모듈로 512가 0과 같은지 확인하기 위해 해당 파일을 테스트합니다.

파일이 해당 테스트를 통과하면 다른 테스트를 수행하여
파일 내용이 무작위 인 경우 그리고 최종 테스트로 프로그램은 파일을 확인합니다
몇 가지 일반적인 파일 헤더. 그게 전부 TCHunt입니다.

기본적으로 TCHunt는 크기가 15MB 이상인 파일 만 찾습니다 (위에서 언급 한 것처럼). 이 값은 프로그램의 소스 코드 에서 쉽게 변경 하고 사용자가 제공 한 최소 파일 크기 값으로 작동하도록 다시 컴파일 할 수 있습니다.

Windows 명령 줄 도구 인 Magnet Forensics에서 무료로 암호화 된 디스크 감지기 를 사용할 수 있습니다.

암호화 디스크 탐지기 (2013 년 4 월 22 일 릴리스 된 v2)는 사고 대응 중에 컴퓨터 시스템에서 암호화 된 볼륨을 신속하고 비침 해적으로 확인할 수있는 명령 줄 도구입니다.

현재 암호화 된 디스크 탐지기는 TrueCrypt, PGP, Safeboot 및 Bitlocker 암호화 된 볼륨을 감지하며 새로운 릴리스마다이 목록에 추가됩니다.