يجعل الانتشار الواسع لتشفير القرص الكامل من تحليل النظام المباشر أثناء الاستجابة للحوادث تحديًا ، ولكنه يمثل أيضًا فرصة. يتيح الكشف في الوقت المناسب عن تشفير القرص الكامل أو حاوية التشفير المركبة للخبراء اتخاذ خطوات إضافية لتأمين الوصول إلى الأدلة المشفرة قبل سحب القابس. ما الخطوات المطلوبة وكيفية معرفة ما إذا كان النظام يستخدم تشفير القرص بالكامل؟ “لدينا أداة لذلك”.
التحدي
يمثل تشفير القرص بالكامل تحديًا مستمرًا لخبراء الطب الشرعي. قد لا يكون الوصول إلى الأدلة المخزنة على وحدات تخزين القرص المشفرة ممكنًا دون كسر التشفير أولاً. تضمن سير العمل الكلاسيكي دائمًا سحب القابس وإخراج الأقراص والتصوير المحظور الكتابة والتحليل اللاحق لملفات الصور.
سير العمل الكلاسيكي معيب. لا يقتصر الأمر على منع الخبراء من الوصول إلى الأدلة المخزنة على وحدات تخزين مشفرة تم تركيبها أثناء عملية الاستحواذ ، ولكن اعتمادًا على نوع الحامي تُستخدم لتأمين وحدة التخزين ، قد يتعذر الوصول إلى الدليل تمامًا بمجرد إزالة القرص من الكمبيوتر الأصلي.
نقترح طريقة لتأمين الوصول إلى الأدلة أثناء الاستجابة للحادث من خلال تحليل النظام المباشر بحثًا عن علامات تشفير القرص الكامل. إذا تم اكتشاف واحد أو أكثر من وحدات التخزين المشفرة ، أو إذا كانت هناك علامات على احتمال استخدام تشفير القرص الكامل على النظام ، فيجب اتخاذ خطوات إضافية لمزيد من التحقيق في النظام المباشر من أجل تأمين وحفظ الأدلة التي يمكن أن تضيع في حالة تم إيقاف تشغيل الكمبيوتر.
الكشف عن تشفير القرص الكامل
لاكتشاف وجود تشفير كامل للقرص ، نقترح استخدام Elcomsoft Encrypted Disk Hunter.
Elcomsoft Encrypted Disk Hunter هي أداة سطر أوامر محمولة مجانية لمساعدة الخبراء على اكتشاف وجود وحدات تخزين مشفرة بسرعة عند إجراء تحليل مباشر للنظام. يمكن للأداة اكتشاف TrueCrypt / VeraCrypt و BitLocker و PGP WDE و FileVault2 و LUKS. بينما نادرًا ما تتم مصادفة الأقراص المشفرة FIleVault2 و LUKS المتصلة بجهاز كمبيوتر يعمل بنظام Windows في البرية ، فقد قمنا بتغطيتها فقط لتلك الحالات النادرة التي قد تحتاج إليها. إذا كان الكمبيوتر يعمل بشكل طبيعي بنظام macOS أو Linux ، فقد ترغب في التمهيد من محرك أقراص محمول باستخدام استعادة النظام Elcomsoft .
عند الحديث عن تشفير LUKS ، يوجد إصداران: LUKS1 (الإصدار الشائع) و LUKS2 (أحدث ولكن نادرًا ما يستخدم). يدعم Elcomsoft Encrypted Disk Hunter الإصدار الأول فقط في الوقت الحالي ؛ نحن نعمل على إضافة دعم للثاني.
كيف يعمل؟
أولاً وقبل كل شيء ، يتطلب امتيازات إدارية على النظام الذي تقوم بتحليله. بدون امتيازات إدارية ، لا يوجد وصول منخفض المستوى إلى الأقراص وذاكرة الكمبيوتر المتقلبة وسلسلة برامج التشغيل.
بمجرد تشغيل Elcomsoft Encrypted Disk Hunter (وهو ما يمكنك القيام به من محرك أقراص محمول محمول) ، تتحقق الأداة من أجهزة التخزين المتصلة بالنظام لتشفير TrueCrypt / VeraCrypt و BitLocker و PGP WDE و FileVault2 و LUKS1 من خلال البحث عن التوقيعات المميزة في محركات الأقراص ‘MBR. إذا تم اكتشاف وحدة تخزين مشفرة واحدة أو أكثر ، تقوم الأداة بسرد الأقراص المشفرة.
بعد ذلك ، تتحقق الأداة مما إذا كان أي من وحدات التخزين المشفرة مثبتة حاليًا. إذا لم يتم العثور على علامات واضحة لتشفير القرص ، يقوم برنامج Encrypted Disk Hunter بفحص سلسلة برامج تشغيل النظام لبرامج تشغيل TrueCrypt و VeraCrypt و PGP WDE. إذا تم التعرف على برنامج تشغيل تشفير كامل القرص (نحن نبحث عن truecrypt.sys و veracrypt.sys و PGPdisk.SYS و Pgpwdefs.sys و PGPwded.sys) ، فستبلغ الأداة عن استخدام وحدة تخزين مشفرة في النظام ، حتى لو لم يتم تركيبه أو توصيله حاليًا. قد يكون هذا هو أفضل رهان لك ، لأن بعض الأدوات (PGP WDE) تمنع بشكل روتيني الوصول إلى وحدات تخزين القرص غير المثبتة حاليًا.
ماذا بعد؟
بناءً على النتيجة وبعد إجراء تقييم المخاطر ، قد ترغب في متابعة أحد الطرق التالية.
- إذا لم يتم العثور على أي علامات على تشفير القرص الكامل: التقط بشكل اختياري تفريغ الذاكرة ؛ اسحب القابس واتبع الروتين الكلاسيكي.
الصورة 1: لم يتم العثور على علامات تشفير القرص الكامل - إذا تم العثور على علامات تشفير القرص الكامل: التقاط الذاكرة تفريغ؛ التحقيق في النظام الحي أكثر.
الصورة 2: بينما لم يتم اكتشاف وحدات تخزين مشفرة ، تم اكتشاف عملية تشفير نشطة للقرص الكامل. مطلوب مزيد من التحقيق. لا تسحب القابس! - إذا تم تحميل وحدات التخزين المشفرة: التقاط تفريغ الذاكرة ؛ محاولة تصدير مفاتيح الاسترداد / مفاتيح الضمان ؛ إذا سمح الوقت ، حاول استخراج الأدلة من المجلدات المشفرة.
صورة 3: مجلد TrueCrypt / VeraCrypt مُثبت حاليًا. مزيد من التحليل إلزامي. لا تسحب القابس!
الصورة 4: تم الكشف عن وحدة تخزين BitLocker. مطلوب مزيد من التحقيق. لا تسحب القابس!
إذا تم تركيب قسم قرص مشفر واحد على الأقل ، فهذا يعني أنك إما في خطر ، أو أنك محظوظ ، اعتمادًا على الجانب الذي تتواجد فيه: حماية خصوصيتك أو جمع الأدلة الهامة. في الحالة الأولى ، تحقق من مقالتنا مقدمة إلى BitLocker: حماية قرص النظام الخاص بك لتجنب الأخطاء الشائعة عند حماية بياناتك ، وتذكر أن ترك الأقراص المشفرة مثبتة مع ترك جهاز الكمبيوتر الخاص بك دون مراقبة يمثل مخاطرة كبيرة.
إذا كنت خبيرًا تقوم بعمل الاستخراج ، فاقرأ فتح وحدات تخزين BitLocker عن طريق التمهيد من محرك USB مقال لمعرفة سبب عدم جدوى مهاجمة كلمة المرور في حالة تشفير القرص بالكامل ؛ تعرف على أنواع مختلفة من أدوات الحماية وسير عمل الهجوم المختلفة. على أي حال ، احصل على Elcomsoft Forensic Disk Decryptor ، والتقاط تفريغ الذاكرة لتأمين الوصول إلى الأدلة المشفرة.
لماذا تحتاج إلى تفريغ الذاكرة؟ يمكنك استخدام Elcomsoft Forensic Disk Decryptor لمسح تفريغ الذاكرة بحثًا عن مفاتيح OTFE (مفاتيح التشفير أثناء الطيران) التي يمكن استخدامها لتركيب أو فك تشفير وحدة التخزين على الفور دون فرض كلمة المرور. قد يكون استخراج OTFE هو الطريقة الوحيدة المتاحة لإلغاء تأمين وحدات تخزين BitLocker المحمية ببعض نوع الحماة (مثل TPM فقط). المزيد حول كسر تشفير القرص الكامل باستخدام Elcomsoft Forensic Disk Decryptor في مدونتنا: فتح BitLocker: هل يمكنك كسر كلمة المرور هذه؟
إذا لم يساعد ذلك (أو إذا لم يتم تثبيت بعض الأقراص المشفرة المكتشفة) ، فاستخدم توزيع Elcomsoft لاستعادة كلمة المرور لمهاجمة كلمة المرور. ينفذ EDPR جميع التحسينات الممكنة مع استهداف العامل البشري ، ولكن استعد للانتظار حيث يمكن أن تكون كلمات المرور المؤذية للأقراص المشفرة بطيئة.
تحميل برنامج Elcomsoft Encrypted Disk Hunter
يمكنك تنزيل Elcomsoft Encrypted Disk Hunter مجانًا من موقعنا الرسمي على الويب.
تحميل برنامج Elcomsoft Encrypted Disk Hunter
الأداة متاحة كأرشيف ZIP بدون مثبت. يتم توقيع أداة سطر الأوامر المحمولة رقمياً. ما عليك سوى فك ضغط الأداة وتخزينها على محرك أقراص محمول واستخدامها على النظام المستهدف بامتيازات إدارية. نوصي بشدة بتشغيل الأداة مباشرة من محرك أقراص فلاش.
بواسطة Oleg Afonin at 2020-07-28 08:55:54 المصدر مدونة ElcomSoft: 
No comments:
Post a Comment