TrueCrypt, Bitlocker 및 PGP 컨테이너와 디스크를 해독하는 포렌식 도구 출시
- 범주: 보안
데이터를 보호하기 위해 수행 할 수있는 작업 중 하나는 암호화를 사용하는 것입니다. 개별 파일을 암호화하거나 파일을 이동할 컨테이너 만들기 또는 파티션 또는 디스크 암호화 . 암호화의 주요 이점은 데이터에 액세스하려면 키 (일반적으로 암호)가 필요하다는 것입니다. 암호화의 기본 형식은 암호로 zip 파일을 보호하는 경우 고급 암호화로 전체 시스템을 보호 할 수 있습니다. 운영 체제 파티션 포함 권한이없는 사용자로부터.
제 3자가 성공적으로 암호를 추측하거나 무차별 대입하지 못하도록 설정하는 동안 보안 암호를 선택하는 것이 중요하지만 데이터에 액세스 할 수있는 다른 방법이있을 수 있다는 점에 유의하는 것이 중요합니다.
Elcomsoft Forensic Disk Decryptor 도구를 출시했습니다. 이 회사는 PGP, Bitlocker 및 TrueCrypt 디스크 및 컨테이너에 저장된 정보를 해독 할 수 있다고 말합니다. 프로그램에서 사용하는 방법 중 하나가 작동하려면 시스템에 대한 로컬 액세스가 필요합니다. 암호화 키는 다음 세 가지 방법으로 획득 할 수 있습니다.
- 최대 절전 모드 파일을 분석하여
- 메모리 덤프 파일 분석
- FireWire 공격 수행
암호화 키는 사용자가 컨테이너 또는 디스크를 마운트 한 경우 최대 절전 모드 파일 또는 메모리 덤프에서만 추출 할 수 있습니다. 메모리 덤프 파일 또는 최대 절전 모드 파일을 받으면 언제든지 쉽게 키 검색을 시작할 수 있습니다. 프로세스에서 올바른 파티션 또는 암호화 된 컨테이너를 선택해야합니다.
최대 절전 모드 파일에 액세스 할 수없는 경우 다음을 사용하여 쉽게 메모리 덤프를 만들 수 있습니다. Windows 메모리 도구 키트 . 무료 커뮤니티 에디션을 다운로드하고 다음 명령을 실행하십시오.
- 관리자 권한 명령 프롬프트를 엽니 다. Windows 키를 탭하고 cmd를 입력 한 다음 결과를 마우스 오른쪽 버튼으로 클릭하고 관리자 권한으로 실행하도록 선택하면됩니다.
- 메모리 덤프 도구를 추출한 디렉토리로 이동하십시오.
- win64dd / m 0 / r / f x : dump mem.bin 명령을 실행합니다.
- OS가 32 비트 인 경우 win64dd를 win32dd로 바꿉니다. 마지막에 경로를 변경해야 할 수도 있습니다. 파일은 컴퓨터에 설치된 메모리만큼 큽니다.
나중에 포렌식 도구를 실행하고 키 추출 옵션을 선택하십시오. 생성 된 메모리 덤프 파일을 가리키고 처리 될 때까지 기다립니다. 나중에 프로그램에서 키가 표시되는 것을 볼 수 있습니다.
평결
Elcomsoft의 Forensic Disk Decryptor는 메모리 덤프 또는 최대 절전 모드 파일에 손을 대면 잘 작동합니다. 모든 공격 양식에는 시스템에 대한 로컬 액세스가 필요합니다. 마스터 키를 잊어 버리고 데이터에 대한 액세스가 절실히 필요한 경우 유용한 도구가 될 수 있습니다. 비용은 상당히 비싸지 만 € 299의 비용이 들지만 최대 절전 모드를 사용하거나 컨테이너 또는 디스크가 시스템에 마운트 된 동안 생성 한 메모리 덤프 파일이있는 경우 키를 검색하는 것이 최선의 희망일 수 있습니다. 구매하기 전에 평가판을 실행하여 키를 감지 할 수 있는지 확인하십시오.
이러한 종류의 공격으로부터 시스템을 보호하기 위해 최대 절전 모드 파일 생성을 비활성화 할 수 있습니다. 아무도 메모리 덤프 파일을 생성하거나 Firewire 공격을 사용하여 시스템을 공격 할 수 없도록해야하지만 PC가 부팅되지 않을 때 아무도 정보를 추출 할 수 없도록합니다.