Одна из вещей, которую вы можете сделать для защиты ваших данных, - это использовать шифрование. Вы можете зашифровать отдельные файлы, создать контейнер для перемещения файлов или зашифровать раздел или диск. Основное преимущество шифрования заключается в том, что для доступа к данным необходим ключ, обычно пароль. Базовая форма шифрования - если вы защищаете zip-файл паролем, более совершенное шифрование может защитить всю систему, включая раздел операционной системы, от неавторизованных пользователей.
Несмотря на то, что важно выбрать безопасный пароль во время установки, чтобы не допустить, чтобы третьи лица успешно угадали или взломали пароль, важно отметить, что могут быть другие способы получить доступ к данным.
Elcomsoft только что выпустила свой инструмент для расшифровки криминалистических данных. Компания заявляет, что может расшифровать информацию, хранящуюся на дисках и контейнерах PGP, Bitlocker и TrueCrypt. Следует отметить, что для работы одного из методов, используемых программой, необходим локальный доступ к системе. Ключи шифрования можно получить тремя способами:
- Анализируя файл гибернации
- Анализируя файл дампа памяти
- Выполняя атаку FireWire
Ключ шифрования может быть извлечен из файла гибернации или дампа памяти только в том случае, если контейнер или диск были смонтированы пользователем. Если у вас есть файл дампа памяти или файл гибернации, вы можете легко и в любой момент начать поиск ключа. Обратите внимание, что вам нужно выбрать правильный раздел или зашифрованный контейнер в процессе.
Если у вас нет доступа к файлу гибернации, вы можете легко создать дамп памяти с помощью Windows Memory Toolkit. Просто скачайте бесплатную версию сообщества и выполните следующие команды:
- Откройте командную строку с повышенными правами. Сделайте это, нажав клавишу Windows, набрав cmd, щелкнув правой кнопкой мыши результат и выбрав запуск от имени администратора.
- Перейдите в каталог, в который вы распаковали утилиту дампа памяти.
- Запустите команду win64dd / m 0 / r /fx:\dump\mem.bin
- Если ваша ОС 32-битная, замените win64dd на win32dd. Вам также может понадобиться изменить путь в конце. Имейте в виду, что файл будет иметь размер памяти, установленной на компьютере.
Запустите инструмент судебной экспертизы и выберите опцию извлечения ключа. Направьте его на созданный файл дампа памяти и подождите, пока он не будет обработан. После этого вы должны увидеть, какие клавиши отображаются вам программой.
решение суда
Elcomsoft Forensic Disk Decryptor работает хорошо, если вы можете получить дамп памяти или файл гибернации. Все формы атаки требуют локального доступа к системе. Это может быть полезным инструментом, если вы забыли мастер-ключ и отчаянно нуждаетесь в доступе к вашим данным. Хотя это довольно дорого, но стоит 299 евро, это может быть вашей лучшей надеждой на получение ключа при условии, что вы используете спящий режим или у вас есть файл дампа памяти, который вы создали, когда контейнер или диск были смонтированы в системе. Прежде чем совершить покупку, запустите пробную версию, чтобы узнать, сможет ли она обнаружить ключи.
Вы можете отключить создание файла гибернации, чтобы защитить свою систему от такого рода атак. Хотя вам все еще нужно убедиться, что никто не может создать файл дампа памяти или атаковать систему с помощью атаки Firewire, он гарантирует, что никто не сможет извлечь информацию, когда компьютер не загружен.
