quarta-feira, 27 de abril de 2011

Análise Forense: TCHunt como Aplicação de Código Aberto para Detectar Volumes Criptografados TrueCrypt

Sendo do conhecimento de algumas pessoas, o TrueCrypt é um software open-source de criptografia de disco para Windows 7/Vista/XP, Mac OS X e Linux. Ele faz isso criando um disco virtual criptografado dentro de um arquivo, e monta-o como um disco real. A razão da abordagem em torno do TrueCrypt é por causa de TCHunt - uma aplicação de código aberto para detectar a maioria de volumes criptografados TrueCrypt.

TrueCrypt é muito estável e faz seu trabalho como ele mesmo se propõe: ele é utilizado por quase todos os que querem impedir o acesso não autorizado aos seus dados. Além disso, permite que você use keyfiles voltados para stop keyloggers basics, suporta desmontagem automática após timeouts, etc... No entanto, isso também traz os "bad guys" que se escondem por trás do software legítimo, para se proteger. Ele torna realmente difícil quando uma investigação forense está sendo feita em um drive criptografado TC; este é o lugar onde TCHunt vem a calhar.

TCHunt lhe permite procurar arquivos com os seguintes atributos:


- O modulo de tamanho de arquivo suspeito 512 deve ser igual a zero.
- O tamanho do arquivo suspeito é de pelo menos 19 KB de tamanho (embora na prática isso seja definido como 5 MB).
- O conteúdo do arquivo suspeito passa por um teste de distribuição chi-square.
- O arquivo suspeito não deve conter um cabeçalho de arquivo comum.


Saiba Mais:

[1] http://www.pentestit.com/category/forensics/

Nenhum comentário:

Postar um comentário

Observação: somente um membro deste blog pode postar um comentário.