Az adatok védelme érdekében az egyik dolog a titkosítás használata. Vagy titkosíthat egyes fájlokat, létrehozhat egy tárolót, ahová a fájlokat áthelyezheti egy partícióra vagy lemezre, vagy titkosíthatja azokat. A titkosítás fő előnye, hogy kulcshoz - általában jelszóhoz - van szükség az adatok eléréséhez. A titkosítás alapvető formája, ha egy jelszóval védi a zip fájlt, a fejlettebb titkosítás megvédi a teljes rendszert, beleértve az operációs rendszer partícióját a jogosulatlan felhasználók ellen.
Míg a telepítés során fontos kiválasztani a biztonságos jelszót, hogy megakadályozzuk a harmadik feleket abban, hogy sikeresen kitalálják a jelszót vagy kényszerítsék rá, fontos megjegyezni, hogy az adatokhoz való hozzáféréshez más eszközök is rendelkezésre állhatnak.
Az Elcomsoft nemrég kiadta a Forensic Disk Decryptor eszközt. A társaság kijelenti, hogy visszafejteni tudja a PGP, Bitlocker és TrueCrypt lemezeken és tárolókon tárolt információkat. Meg kell jegyezni, hogy a program által használt egyik módszer működéséhez a rendszerhez való helyi hozzáférésre van szükség. A titkosítási kulcsok három módon szerezhetők be:
- A hibernációs fájl elemzésével
- A memória dump fájl elemzésével
- FireWire támadás végrehajtásával
A titkosítási kulcsot csak akkor lehet kibontani a hibernációs fájlból vagy a memória kiürítéséből, ha a tárolót vagy a lemezt a felhasználó csatlakoztatta. Ha megvan a memória dump fájl vagy hibernációs fájl, akkor bármikor könnyedén elindíthatja a kulcskeresést. Vegye figyelembe, hogy a folyamatban ki kell választania a megfelelő partíciót vagy titkosított tárolót.
Ha nem fér hozzá hibernált fájlhoz, akkor a Windows Memória eszközkészlet segítségével könnyen létrehozhat memórialeképeket. Csak töltse le az ingyenes közösségi kiadást, és futtassa a következő parancsokat:
- Nyisson meg egy emelt parancssort. Ehhez koppintson a Windows gombra, írja be a cmd parancsot, kattintson az egér jobb egérgombbal az eredményre, és válassza a rendszergazda funkciót.
- Keresse meg azt a könyvtárat, amelybe kibontotta a memória-eltávolító eszközt.
- Futtassa a win64dd / m 0 / r /fx:\dump\mem.bin parancsot
- Ha az operációs rendszer 32 bites, cserélje ki a Win64dd-t a Win32dd-re. Lehet, hogy meg kell változtatnia az utat is a végén. Ne feledje, hogy a fájl olyan nagy lesz, mint a számítógépbe telepített memória.
Ezután futtassa a kriminalisztikai szerszámot, és válassza a kulcskivonás lehetőséget. Mutasson rá a létrehozott memóriakép-fájlra, és várja meg, amíg feldolgozásra nem kerül. Ezt követően látnia kell, hogy a gombok mikor jelennek meg a program segítségével.
Ítélet
Az Elcomsoft Forensic Disk Decryptor jól működik, ha kéznél van egy memórialeképező vagy hibernációs fájl. Minden támadási forma helyi hozzáférést igényel a rendszerhez. Hasznos eszköz lehet, ha elfelejtette a fő kulcsot, és kétségbeesetten igényel hozzáférést az Ön adataihoz. Noha nagyon drága, 299 euróba kerül, a legfontosabb remény lehet a kulcs lekérésénél, feltéve, hogy hibernált állapotban van, vagy van olyan memóriakép-fájlja, amelyet a tároló vagy a lemez csatlakoztatásakor hozott létre. Mielőtt vásárolna, futtassa a próbaverziót, hogy kiderüljön-e a kulcsok felismerése.
Letilthatja a hibernációs fájl létrehozását, hogy megvédje rendszerét az ilyen támadásoktól. Még mindig meg kell győződnie arról, hogy senki sem hozhat létre memóriakép-fájlt vagy támadhat a rendszert Firewire támadással, ugyanakkor biztosítja, hogy senki sem tudja kibontani az információkat, ha a számítógép nincs indítva.