Alat forensik untuk mendekripsi TrueCrypt, Bitlocker, dan wadah dan disk PGP dirilis

Salah satu hal yang dapat Anda lakukan untuk melindungi data Anda adalah dengan menggunakan enkripsi. Anda dapat mengenkripsi file individual, membuat wadah untuk memindahkan file ke, atau mengenkripsi partisi atau disk. Manfaat utama enkripsi adalah diperlukan kunci, biasanya kata sandi, untuk mengakses data. Bentuk dasar enkripsi adalah jika kata sandi Anda melindungi file zip, enkripsi yang lebih canggih dapat melindungi seluruh sistem termasuk partisi sistem operasi dari pengguna yang tidak sah.

Meskipun penting untuk memilih kata sandi yang aman selama pengaturan untuk mencegah pihak ketiga berhasil menebak atau memaksa kata sandi, penting untuk dicatat bahwa mungkin ada cara lain untuk mendapatkan akses ke data.

Elcomsoft baru saja merilis alat Decryptor Disk Forensik. Perusahaan menyatakan bahwa ia dapat mendekripsi informasi yang tersimpan dalam disk dan wadah PGP, Bitlocker dan TrueCrypt. Perlu dicatat bahwa akses lokal ke sistem diperlukan untuk salah satu metode yang digunakan oleh program untuk bekerja. Kunci enkripsi dapat diperoleh dengan tiga cara:

  • Dengan menganalisis file hibernasi
  • Dengan menganalisis file dump memori
  • Dengan melakukan serangan FireWire

Kunci enkripsi hanya dapat diekstraksi dari file hibernasi atau dump memori jika kontainer atau disk telah dipasang oleh pengguna. Jika Anda mendapatkan file dump memori atau file hibernasi, Anda dapat memulai pencarian kunci dengan mudah dan kapan saja. Perhatikan bahwa Anda perlu memilih partisi yang tepat atau wadah terenkripsi dalam proses.

Jika Anda tidak memiliki akses ke file hibernasi, Anda dapat membuat dump memori dengan mudah dengan Windows Memory Toolkit. Cukup unduh edisi komunitas gratis dan jalankan perintah berikut:

  • Buka prompt perintah yang ditinggikan. Lakukan dengan mengetuk tombol Windows, mengetik cmd, mengklik kanan hasilnya dan memilih untuk menjalankannya sebagai administrator.
  • Arahkan ke direktori tempat Anda mengekstraksi alat dump memori.
  • Jalankan perintah win64dd / m 0 / r /fx:\dump\mem.bin
  • Jika OS Anda 32-bit, ganti win64dd dengan win32dd. Anda mungkin juga perlu mengubah jalur di akhir. Perlu diingat bahwa file tersebut akan sebesar memori yang dipasang di komputer.

Jalankan alat forensik sesudahnya dan pilih opsi ekstraksi kunci. Arahkan ke file dump memori yang dibuat dan tunggu sampai diproses. Anda akan melihat kunci ditampilkan kepada Anda oleh program sesudahnya.

Putusan

Forensic Disk Decryptor Elcomsoft berfungsi dengan baik jika Anda bisa mendapatkan memori dump atau file hibernasi. Semua bentuk serangan memerlukan akses lokal ke sistem. Ini bisa menjadi alat yang berguna jika Anda lupa kunci master dan sangat membutuhkan akses ke data Anda. Meskipun harganya cukup mahal, harganya € 299, ini mungkin harapan terbaik Anda untuk mengambil kunci, asalkan Anda menggunakan hibernasi atau memiliki file dump memori yang telah Anda buat ketika wadah atau disk dipasang pada sistem. Sebelum Anda melakukan pembelian, jalankan versi percobaan untuk melihat apakah itu dapat mendeteksi kunci.

Anda dapat menonaktifkan pembuatan file hibernasi untuk melindungi sistem Anda dari serangan semacam ini. Meskipun Anda masih perlu memastikan bahwa tidak ada yang dapat membuat file dump memori atau menyerang sistem menggunakan serangan Firewire, itu memastikan bahwa tidak ada yang dapat mengekstrak informasi ketika PC tidak di-boot.