TCHunt como Aplicação de Código Aberto para Detectar Volumes Criptografados TrueCrypt

Sendo do conhecimento de algumas pessoas, o TrueCrypt é um software open-source de criptografia de disco para Windows 7/Vista/XP, Mac OS X e Linux. Ele faz isso criando um disco virtual criptografado dentro de um arquivo, e monta-o como um disco real. A razão da abordagem em torno do TrueCrypt é por causa de TCHunt – uma aplicação de código aberto para detectar a maioria de volumes criptografados TrueCrypt.

TrueCrypt é muito estável e faz seu trabalho como ele mesmo se propõe: ele é utilizado por quase todos os que querem impedir o acesso não autorizado aos seus dados. Além disso, permite que você use keyfiles voltados para stop keyloggers basics, suporta desmontagem automática após timeouts, etc… No entanto, isso também traz os “bad guys” que se escondem por trás do software legítimo, para se proteger. Ele torna realmente difícil quando uma investigação forense está sendo feita em um drive criptografado TC; este é o lugar onde TCHunt vem a calhar.

TCHunt lhe permite procurar arquivos com os seguintes atributos:

– O modulo de tamanho de arquivo suspeito 512 deve ser igual a zero.
– O tamanho do arquivo suspeito é de pelo menos 19 KB de tamanho (embora na prática isso seja definido como 5 MB).
– O conteúdo do arquivo suspeito passa por um teste de distribuição chi-square.
– O arquivo suspeito não deve conter um cabeçalho de arquivo comum.

Saiba Mais:

[1] http://www.pentestit.com/category/forensics/

Anúncios

Uma resposta para “TCHunt como Aplicação de Código Aberto para Detectar Volumes Criptografados TrueCrypt

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s