| Сейчас на форуме: (+2 невидимых) |
 |
eXeL@B —› Оффтоп —› Поиск данных TrueCrypt контейнера |
| Посл.ответ | Сообщение |
|
|
Создано: 27 января 2010 14:33 · Личное сообщение · #1 Есть некий файл который работает с \.\TrueCrypt Явно заметить присутствие файла контейнера не удалось. Программа запускалась вместе с предустановленной видной вместо експлорера. После манипуляций акронисом - работать перестало. Я так понимаю погибли данные. Какой метод хранения контейнера мог быть использован? Может на неиспользуемом пространстве диска? Я понимаю, что определить наличие контейнера в файле или на диске нельзя, но может есть логгер для truecrypt.sys или в реестре следы того, что открывалось и на какой диск монтировалось... Есть ли у трукрипта возможность открывать диск, но без монтирования в систему?  |
|
|
Создано: 27 января 2010 19:42 · Личное сообщение · #2 у truecrypt есть возможность создания скрытого раздела с ОС |
|
|
Создано: 28 января 2010 14:35 · Личное сообщение · #3 Ну там WinXP и программа запускается, не думаю, что скрытый раздел с ОС. Скорее всего всякие ресурсы там живут... Или имеешь ввиду, что есть возможность домонтировать к текущему разделу? Например сейчас нет папки C:\XXX, а после открытия контейнера появляется? |
|
|
Создано: 28 января 2010 17:37 · Личное сообщение · #4 Т.е. некая прога работает используя драйвер трукрипта? ToBad пишет: Есть ли у трукрипта возможность открывать диск, но без монтирования в систему? Как сказано выше, есть возможность шифрования разделов (как раз без монтирования). Может в этом дело? ----- Я медленно снимаю с неё UPX... *FF_User* |
|
|
Создано: 31 января 2010 02:26 · Поправил: ToBad · Личное сообщение · #5 AlexZ пишет: Т.е. некая прога работает используя драйвер трукрипта? Да, драйвер присутствует. Диск представлен в виде одной партиции (полностью всё пространство), предустановлена винда. То есть получается прямо начиная с сектора N на диске в ntfs разделе мы располагаем данные которые представляют из себя контейнер трукрипта и которые никак не обозначены в файловой системе, а программой просто открываем его по ходу выполнения? Так получается можно? В этом случае определить наличие такого диска нельзя, а случайная запись в сектора занимаемые этими данными приведёт к его неработоспособности? Я правильно понял? |
|
|
Создано: 31 января 2010 14:57 · Личное сообщение · #6 Если честно, я ничего не понял. Если у тебя есть флешка - поэксперементируй с созданием зашифрованного раздела (не контейнера). Это второй радиобаттон в мастере (первый - контейнеры). А третий - это ещё чуть более хитро, это на ВМ попробуй. ----- Я медленно снимаю с неё UPX... *FF_User* |
|
eXeL@B —› Оффтоп —› Поиск данных TrueCrypt контейнера |
Для печати