Auffinden von TrueCrypt Containern

Dieser Artikel beschäftigt sich mit der Problematik, des Auffindens von TrueCrypt Containern, die sich hinter einen unauffälligen Dateinamen verstecken.

*.TC

Grundsätzlich bietet TrueCrypt es an, die Datenendung *.TC zu verwenden, sodass es immer eine gute Idee ist nach solchen Dateiendungen zu suchen.

Signatur

Ein TrueCrypt Container besitzt normalerweise keine eindeutige Signatur. Allerdings ist es nicht ausgeschlossen, dass  die Verschlüsselung einen gültigen Header erzeugt. Desweiteren kann jederzeit eine modifizierte Version von TrueCrypt erstellt werden,  welche automatisch einen Header dem Container anfügt und entsprechend auch dort erwartet.

Entropy

Mit einem Entropy-Test ermittelt man die statistische Verteilung der Bytes in einer Datei. Eine Verschlüsselte Datei hat eine hochgradige zufällige Verteilung aller Bytes über die gesamte Länge.

Neben dem unten genannten TCHunt bietet z.b. auch X-Ways Forensics eine Entropy-Funktion.

Größe

Die minimale Größe eines TrueCrypt Containers ist beschränkt auf 19KB. Durch TrueCrypt selbst wird eine minimale Größe von 15MB empfohlen.

Modulo

Der Modulo der Dateigröße eines TrueCrypt Containers muss bei einer Teilung durch 512 immer 0 ergeben. Also <filesize> durch 512 = <irgendwas> , Rest = Null !

 

Alles zusammen: TCHunt

TCHunt ist ein kleines Open Source C++ Programm welches auf dem lokalen System nach TrueCrypt Container sucht. Es bezieht dabei die oben genannten Funktionen mit ein.

Unterstützte Formate die TCHunt prüft:

.GZIP, .RAR, .GIF, .ZIP, .VDF (Virus Database File from Avira), .ar | .deb , .cab , .png , .jpg, .xex (xbox 360), .ID3, .RIFF; .PDF, .BZ2, .epi, .MPQ (World of WarCraft)

http://16s.us/TCHunt/index.php