Однією з речей, які ви можете зробити для захисту своїх даних, є використання шифрування. Ви можете або зашифрувати окремі файли, створити контейнер для переміщення файлів у або шифрувати розділ чи диск. Основна перевага шифрування полягає в тому, що для доступу до даних потрібен ключ, як правило, пароль. Основна форма шифрування - якщо ви захищаєте паролем zip-файл, більш розширене шифрування може захистити всю систему, включаючи розділ операційної системи, від несанкціонованих користувачів.
Хоча під час налаштування важливо вибрати безпечний пароль, щоб запобігти успішному відгадуванню або грубому змушенню пароля стороннім особам, важливо зазначити, що для доступу до даних можуть бути інші засоби.
Elcomsoft тільки що випустив інструмент розшифровки криміналістичних дисків. Компанія заявляє, що може розшифрувати інформацію, що зберігається на дисках і контейнерах PGP, Bitlocker та TrueCrypt. Слід зазначити, що для доступу до однієї із методів, які використовує програма, необхідний локальний доступ до системи. Ключі шифрування можна придбати трьома способами:
- Аналізуючи файл сплячки
- Аналізуючи дамп-файл пам’яті
- Виконуючи атаку FireWire
Ключ шифрування може бути витягнутий лише з гібернаційного файлу або дампа пам'яті, якщо контейнер або диск був встановлений користувачем. Якщо у вас є файл дамп-пам’яті або файл сплячки, ви можете розпочати пошук ключів легко і в будь-який час. Зауважте, що вам потрібно вибрати правильний розділ або зашифрований контейнер у процесі.
Якщо у вас немає доступу до файла сплячки, ви можете легко створити дамп пам'яті за допомогою інструментарію пам'яті Windows. Просто завантажте безкоштовну версію спільноти та виконайте такі команди:
- Відкрийте піднесений командний рядок. Зробіть це, натиснувши клавішу Windows, набравши cmd, клацнувши правою кнопкою миші результат та вибравши запуск адміністратора.
- Перейдіть до каталогу, до якого вилучили інструмент скидання пам'яті.
- Виконайте команду win64dd / m 0 / r /fx:\dump\mem.bin
- Якщо ваша ОС 32-розрядна, замініть win64dd на win32dd. Можливо, вам також знадобиться змінити шлях наприкінці. Майте на увазі, що файл буде настільки ж великим, як пам'ять, встановлена на комп’ютері.
Запустіть інструмент криміналістики після цього і виберіть варіант вилучення ключа. Наведіть його на створений дамп-файл пам'яті та почекайте, поки він не буде оброблений. Ви повинні побачити клавіші, які потім відображаються програмою.
Вирок
Декоптор криміналістичного диска Elcomsoft працює добре, якщо ви можете потрапити на демпінговий файл пам’яті або зі сплячого режиму. Усі форми атаки вимагають локального доступу до системи. Це може бути корисним інструментом, якщо ви забули головний ключ і відчайдушно потребуєте доступу до своїх даних. Незважаючи на те, що він коштує досить дорого, коштує 299 євро, можливо, ви будете найкращим сподіванням отримати ключ за умови, що ви використовуєте сплячку або маєте файл дамп-пам’яті, який ви створили під час встановлення контейнера або диска на систему. Перш ніж зробити покупку, запустіть пробну версію, щоб побачити, чи може вона виявити ключі.
Ви можете відключити створення файлу сплячки, щоб захистити вашу систему від подібних атак. Хоча вам все-таки потрібно переконатися, що ніхто не може створити файл дамп-пам’яті або атакувати систему за допомогою Firewire-атаки, це гарантує, що ніхто не може витягувати інформацію, коли ПК не завантажується.
