Приветствую Друзей , Форумчан и ценителей информационной безопасности.
Сегодня вам хочу представить для знакомства антипод,своего рода,известной программе TrueCrypt. Автор Adoreste совсем недавно обнародовал свою работу.
Итак,встречаем,огорчаемся,или радуемся - Truehunter - утилита,целью которой является обнаружение контейнеров , созданных TrueCrypt. Утилита изучает размер,неизвестные заголовки и энтропию Файлов, чтобы определить, являются ли они зашифрованными контейнерами. Она не требует никаких дополнительных зависимостей,единственное условие-это наличие пакета Phyton в ОС.
Как можно скачать : git clone https://github.com/adoreste/truehunter.git
Запуск :1) cd truehunter/
2) ./truehunter.py -h
Опции:
При завершении работы,по дефолту результат будет находиться в директории truehunter в виде созданного файла scan_results.csv, который затем читается и анализируется.
Из собственного опыта : Была создана для исследования скрытая директория, в которой с помощью TrueCrypt,были созданы 2 контейнера (внешний и внутренний размерами 30 и 10 МБ соответственно),после чего отмонтированы для реалистичности опыта.
Запуск проводился с дефолтными опциями,без дополнительных аргументов. Утилита обнаруживала именно ту директорию, где находился внешний контейнер и сообщала о нахождении 1 файла,указывая верное название внешнего контейнера, независимо от попыток переименования и указания любых расширений,даже тех,которых не существует в природе.
Из приведённого скрина ясно,что ,помимо угадывания приблизительных размеров, утилита ясно даёт понять,что кроме обнаруженного файла,существует и ещё одно скрытое пространство с зашифрованными данными.
На этом всё,благодарю за внимание.
Сегодня вам хочу представить для знакомства антипод,своего рода,известной программе TrueCrypt. Автор Adoreste совсем недавно обнародовал свою работу.
Итак,встречаем,огорчаемся,или радуемся - Truehunter - утилита,целью которой является обнаружение контейнеров , созданных TrueCrypt. Утилита изучает размер,неизвестные заголовки и энтропию Файлов, чтобы определить, являются ли они зашифрованными контейнерами. Она не требует никаких дополнительных зависимостей,единственное условие-это наличие пакета Phyton в ОС.
Как можно скачать : git clone https://github.com/adoreste/truehunter.git
Запуск :1) cd truehunter/
2) ./truehunter.py -h
Опции:
Код:
usage: truehunter.py [-h] [-D HEADERSFILE] [-m MINSIZE] [-M MAXSIZE]
[-R MAXHEADER] [-f] [-o OUTPUTFILE]
LOCATION
Checks for file size, unknown header, and entropy of files to determine if
they are encrypted containers.
positional arguments:
LOCATION Drive or directory to scan.
optional arguments:
-h, --help show this help message and exit.
-D HEADERSFILE, --database HEADERSFILE
Headers database file, default headers.db
-m MINSIZE, --minsize MINSIZE
Minimum file size in Kb, default 1Mb.
-M MAXSIZE, --maxsize MAXSIZE
Maximum file size in Kb, default 100Mb.
-R MAXHEADER, --repeatHeader MAXHEADER
Discard files with unknown headers repeated more than
N times, default 3.
-f, --fast Do not calculate entropy.
-o OUTPUTFILE, --outputfile OUTPUTFILE
Scan results file name, default scan_results.csvИз собственного опыта : Была создана для исследования скрытая директория, в которой с помощью TrueCrypt,были созданы 2 контейнера (внешний и внутренний размерами 30 и 10 МБ соответственно),после чего отмонтированы для реалистичности опыта.
Запуск проводился с дефолтными опциями,без дополнительных аргументов. Утилита обнаруживала именно ту директорию, где находился внешний контейнер и сообщала о нахождении 1 файла,указывая верное название внешнего контейнера, независимо от попыток переименования и указания любых расширений,даже тех,которых не существует в природе.
Из приведённого скрина ясно,что ,помимо угадывания приблизительных размеров, утилита ясно даёт понять,что кроме обнаруженного файла,существует и ещё одно скрытое пространство с зашифрованными данными.
На этом всё,благодарю за внимание.
