Криптоконтейнеры

[Lesya_sh]

Здравствуйте! Подскажите пожалуйста, как можно установить содержимое криптозащищенных объектов и обстоятельства работы с ними. Какие цифровые следы они оставляют и где. Заранее большое спасибо!

 

[Сергей Сталь]

Коллега, твой вопрос крайне не понятен. Что бы тебе лучше понимать что ты дальше хочешь изучать и в какую сторону смотреть читай до полного понимания

Ссылка скрыта от гостей

и

Ссылка скрыта от гостей

.
Если тебе интересно как они работают под капотом читать

Ссылка скрыта от гостей

.
Если ты поклоник хардкора и хочешь знать и понимать как расшифровывается криптоконтейнер TrueCrypt с помощью Volatility и MKDecrypt внимательно ознакомься со статьей на codeby.net тут

 

[bothub]

содержимое контейнеров это отдельная тема для разговора, а вот следы их наличия, к примеру это наличие файлов без расширений или файлов у которых есть расширение, но они имеют достаточно большой размер их имена не совпадают с существующими в системе или напротив совпадают, но при этом имеют достаточно большой размер, или малый размер. Поэтому в первую очередь нужно работать с поиском по маске и размеру, и знать дефолтные названия файлов в системе. Можно работать и с временем последнего изменения, если ваш подопытный не отключил его.

Следующий способ это анализ софта установленного у подопытного. Есть вероятность что этот софт работал с файлами находящимися в крипто контейнере, например это программы для хранения паролей, работе с прокси. Некоторые автономные программы которые могут храниться в контейнере и запускаться только в нем, могут оставлять следы в системе в виде кэшей или иконок запуска. Ещё один способ анализ реестра, к примеру запуск поиска ошибок и неверных расширений, может показать что в системе есть записи о том, что существуют файлы, но их место размещение или программа сейчас не подключена к файловой системе ПК. Но и самое первое, это конечно наличие самого софта для работы с крипто контейнерами или наличия следов этого софта на ПК или истории поиска и скачиваний по данному софту.

 

[Lesya_sh]

Коллега, твой вопрос крайне не понятен. Что бы тебе лучше понимать что ты дальше хочешь изучать и в какую сторону смотреть читай до полного понимания

Ссылка скрыта от гостей

и

Ссылка скрыта от гостей

.
Если тебе интересно как они работают под капотом читать

Ссылка скрыта от гостей

.
Если ты поклоник хардкора и хочешь знать и понимать как расшифровывается криптоконтейнер TrueCrypt с помощью Volatility и MKDecrypt внимательно ознакомься со статьей на codeby.net тут

Соглашусь, вопрос не конкретизирован. И спасибо Вам за ответ).
Я исследую криптоконтецнеры с точки зрения судебной компьютерно -технической экспертизы. И затруднение в том, какие технико-криминалистические методы есть для исследования криптоконтейнеров, как эти методы разграничить, и где непосредственно контейнеры оставляют свои цифровые следы в ОС Windows.

содержимое контейнеров это отдельная тема для разговора, а вот следы их наличия, к примеру это наличие файлов без расширений или файлов у которых есть расширение, но они имеют достаточно большой размер их имена не совпадают с существующими в системе или напротив совпадают, но при этом имеют достаточно большой размер, или малый размер. Поэтому в первую очередь нужно работать с поиском по маске и размеру, и знать дефолтные названия файлов в системе. Можно работать и с временем последнего изменения, если ваш подопытный не отключил его.

Следующий способ это анализ софта установленного у подопытного. Есть вероятность что этот софт работал с файлами находящимися в крипто контейнере, например это программы для хранения паролей, работе с прокси. Некоторые автономные программы которые могут храниться в контейнере и запускаться только в нем, могут оставлять следы в системе в виде кэшей или иконок запуска. Ещё один способ анализ реестра, к примеру запуск поиска ошибок и неверных расширений, может показать что в системе есть записи о том, что существуют файлы, но их место размещение или программа сейчас не подключена к файловой системе ПК. Но и самое первое, это конечно наличие самого софта для работы с крипто контейнерами или наличия следов этого софта на ПК или истории поиска и скачиваний по данному софту.

Спасибо большое! Очень информативно.

 

[Сергей Сталь]

Соглашусь, вопрос не конкретизирован. И спасибо Вам за ответ).
Я исследую криптоконтецнеры с точки зрения судебной компьютерно -технической экспертизы. И затруднение в том, какие технико-криминалистические методы есть для исследования криптоконтейнеров, как эти методы разграничить, и где непосредственно контейнеры оставляют свои цифровые следы в ОС Windows.

В таком случае коллега, посмотри в интернетах книги по криптографии, сам я их не читал но предполагаю там будут описаны подобные случаи. Так же тебе в данном вопросе помогут книги и статьи по форензике они направят тебя в данном вопросе куда требуется и научат разбараться в данной сфере. Главное запомни простое правило которые тебе поможет дальше "Все знания что тебе дают в учебном заведении только 1 капля в море, дальше тебе нужно самому искать и вылеплять крупицы информации". Потренироваться в этом можно на специальных платформах почитай статью тут.

На текущем форуме когда получиш статус One Level откроется огромная библиотека с различной литературой которая тебе может помочь.