TCHunt, Suche nach TrueCrypt-Volumes
- Kategorie: Windows
TCHunt ist eine kleine tragbare Anwendung, mit der verschlüsselte True Crypt-Volumes auf dem System gefunden werden können. Es wurde speziell entwickelt, um die Möglichkeit zu demonstrieren, True Crypt-Volumes zu finden, auch wenn sie vom Benutzer nicht bereitgestellt und gut getarnt sind. Mit True Crypt ist es möglich, eine Partition einer Festplatte oder eine bestimmte Menge an Speicherplatz zu verschlüsseln, der in einer Containerdatei auf einem Speichergerät gespeichert ist.
Diese Volumes können Größen ab 19 Kilobyte und völlig beliebige Dateinamen und Erweiterungen haben. Das Programm wurde entwickelt, um zu zeigen, dass es möglich ist, diese True Crypt-Container zu identifizieren, selbst wenn sie angemessen klein und vom Benutzer getarnt sind. Es ist mehr oder weniger unmöglich, die Existenz eines True Crypt-Containers ohne technische Hilfe zu überprüfen, es sei denn, der Container selbst ist ziemlich groß oder befindet sich an einem Ort, an dem er leicht identifiziert werden kann. Es ist zwar möglich, jede mögliche Containerdatei auf einem System zu analysieren, dies würde jedoch sehr lange dauern.
TCHunt durchsucht einen ausgewählten Ordner oder eine Partition auf dem Computer nach den folgenden vier Attributen, die Teil jedes TrueCrypt-Volumes sind:
- Die verdächtige Dateigröße modulo 512 muss gleich Null sein.
- Die verdächtige Dateigröße beträgt mindestens 19 KB (obwohl dies in der Praxis auf 5 MB festgelegt ist).
- Der Inhalt der verdächtigen Datei besteht einen Chi-Quadrat-Verteilungstest.
- Die verdächtige Datei darf keinen gemeinsamen Dateikopf enthalten.
Sie müssen die Nutzungsbedingungen beim Start akzeptieren, bevor Sie mit dem Ordnerbrowser einen Stammordner für den Scan auswählen können. Die Anwendung scannt alle Dateien anhand der oben genannten Attribute und meldet ihre Ergebnisse in der Programmoberfläche zurück. Nicht alle gefundenen Dateien sind True Crypt-Container. Sie können jedoch sicher sein, dass alle im ausgewählten Stammordner gespeicherten True Crypt-Container während des Scans gefunden werden.
Das Programm ignoriert den Dateinamen und die Erweiterung vollständig, mit denen viele True Crypt-Benutzer das Volume auf dem Computersystem verschleiern. Das Programm kann auch hilfreich sein, wenn Sie vergessen haben, wo Sie Ihr eigenes True Crypt-Volume auf einem System abgelegt haben, da es Ihnen diesen Speicherort anzeigen kann.
TCHunt zeigt, dass True Crypt-Volumes auch dann erkannt werden können, wenn sie nicht auf dem System bereitgestellt sind. Es hört hier jedoch auf, da es die Verschlüsselung selbst nicht brutal erzwingen oder umgehen kann. True Crypt-Benutzer sollten beachten, dass es möglich ist, diese Volumes zu erkennen, und die True Crypt-Entwickler sollten nach Möglichkeit eine zufällige Zuordnung der Volumes in Betracht ziehen, um diese Erkennung zu vermeiden.
Wahre Krypta-Jagd ist für das Windows-Betriebssystem verfügbar. Der Quellcode des Programms steht auch auf der Website zum Download zur Verfügung. Laut der Entwicklerseite ist das Programm nur mit Windows 7 kompatibel.
Aktualisieren : Das Programm wird jetzt als Befehlszeilenprogramm ausgeliefert und verfügt nicht mehr über eine eigene Oberfläche. Sie müssen es an der Windows-Eingabeaufforderung ausführen und die folgenden Optionen verwenden, um eine Suche zu starten:
- -d Verzeichnis Das Verzeichnis, das Sie durchsuchen möchten, z. -d c: zum Scannen des Laufwerks c
- -h zeigt die Hilfe an
- -v druckt eine ausführliche Ausgabe
Versionen für Linux und Mac sind ebenfalls verfügbar, müssen jedoch aus dem Quellcode kompiliert werden.