BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

23Mai/110

Truecrypt-Container in Festplatten Backups aufspühren

Im Beitrag über "Truecrypt-Container auf Datenträger finden" hatte ich beschrieben, wie man Container auf der Festplatte finden kann.

Hier stelle ich euch ein neues Tool vor von Mr. Will Schroeder and Mr. Tyler Dean, die für PenTestIT TCDiscover geschrieben haben. Es handelt sich dabei um ein in Python geschriebenes Skript, welches Festplatten Images, die via "dd" erstellt worden sind, nach Truecrypt-Containern absucht.

Das Tool findet ihr hier: [download tcdiscover]

So startet man TCDiscover:

Usage: ./tcdiscover.py -i 
28Apr/110

Truecrypt-Container auf Datenträger finden

Als Forensiker, wünscht man sich oft, schnell und präzise TrueCrypt Container auf einer Festplatte zu identifizieren.

Auf die Frage der Entschlüsselung oder Herausgabe von Passwörtern auf Anordnung, möchte ich hier nicht weiter eingehen. (Denkt daran, wohin man verreist und welche Daten man mit nimmt!)

Durch die tägliche Arbeit mit TrueCrypt Container habe ich ein Interessantes Tool gefunden.

TCHunt - Erkennung von TrueCrypt Containern und TrueCrypt Bootloader

Dieses Tool, welches unter Windows und Linux läuft, hilft dem Anwender, mit ein paar Mausklicks die vorhandenen TrueCrypt Container, auf dem jeweiligen Datenträger zu finden. Dabei ignoriert TCHunt jegliche Dateinamen oder Dateiendungen bei der Suche.

Leider produziert dieses Tool auch false-positives. Es kann einen normalen Container nicht, von einer Datei mit Random-Daten unterscheiden. Ein einfacher Befehl, kann zu false-positives führen, wenn man TCHunt startet. Der Autor des Tools schreibt, dass er lieber ein paar false-positives erzeugt, anstatt false-negatives als false-positives zu erkennen!

False-Positiv erzeugen unter Linux:

cat /dev/urandom > mein-container.tc

Vielleicht ist es gar nicht so abwegig, sich anhand der gegebenen Forensik Software, ein paar "fake" Container an zu legen, um die Entdeckung seiner echten Container zu verzögern.

Ich versuche diese Liste mit Programmen zur Erkennung von TrueCrypt Containern zu erweitern, sobald ich Alternativen finde. Gerne könnt Ihr mir auch einen Kommentar mit Programmvorschlägen machen.

/* google like button API */