cla*_*amp 8 encryption truecrypt bitlocker disk-encryption
假设你拿到了一个加密的随机硬盘。是否可以仅从数据的布局中看出使用了哪种加密?
即 Bitlocker、Truecrypt、dcrypt?
我不知道 Bitlocker 或 dcrypt(我从未使用过它们),但16 Systems 的 TCHunt能够非常快速地检测我计算机上的 TrueCrypt 卷。
THead是 16 Systems 的另一个实用程序,能够解密 TrueCrypt 标头(当然需要密码),并且可用于暴力破解可疑 TrueCrypt 卷的密码。
TCHunt 的工作原理(来自 16 Systems 的网站):
TCHunt 使用非常简单的排除过程。 该程序查看文件属性并检查文件字节。 如果文件足够大(默认 15MB,但可以调整), 然后测试该文件以查看文件大小模 512 是否等于 0。 如果文件通过了这些测试,则执行另一个测试以确定 如果文件内容是随机的。作为最终测试,程序检查文件 一些常见的文件头。这就是 TCHunt 所做的一切。
默认情况下,TCHunt 仅查找大小至少为 15 MB 的文件(如上所述)。该值可以在程序的源代码中轻松更改,并重新编译以与用户提供的最小文件大小值一起使用。