Едно от нещата, които можете да направите, за да защитите данните си, е да използвате криптиране. Можете или да шифровате отделни файлове, да създадете контейнер, в който да премествате файлове, или да шифровате дял или диск. Основното предимство на криптирането е, че е необходим ключ, обикновено парола за достъп до данните. Основна форма на криптиране е, ако защитите с парола zip файл, по-разширеното криптиране може да защити цялата система, включително дяла на операционната система, от неоторизирани потребители.
Макар че е важно да изберете сигурна парола по време на настройката, за да предотвратите успешно отгатване или грубо принуждаване на паролата на трети страни, важно е да се отбележи, че може да има други средства за достъп до данните.
Elcomsoft току-що пусна своя Forensic Disk Decryptor инструмент. Компанията заявява, че може да декриптира информацията, съхранявана в дискове и контейнери PGP, Bitlocker и TrueCrypt. Трябва да се отбележи, че е необходим локален достъп до системата, за да работи един от методите, използвани от програмата. Шифровите ключове могат да бъдат придобити с три начина:
- Чрез анализ на файла за хибернация
- Чрез анализиране на файла за зареждане на паметта
- Чрез извършване на атака на FireWire
Ключът за криптиране може да бъде извлечен от файла за хибернация или от сметището, ако контейнерът или дискът са монтирани от потребителя. Ако имате файл за зареждане с памет или файл за хибернация, можете да започнете търсенето на ключове лесно и по всяко време. Имайте предвид, че в процеса трябва да изберете правилния дял или криптиран контейнер.
Ако нямате достъп до файл за хибернация, можете лесно да създадете сметище за памет с инструментариума за памет на Windows. Просто изтеглете безплатното издание на общността и изпълнете следните команди:
- Отворете повишен команден ред. Направете това с докосване на клавиша на Windows, въведете cmd, щракнете с десния бутон върху резултата и изберете да стартирате като администратор.
- Отворете директорията, в която сте извлекли инструмента за зареждане на паметта.
- Изпълнете командата win64dd / m 0 / r /fx:\dump\mem.bin
- Ако вашата ОС е 32-битова, заменете win64dd с win32dd. Може също да се наложи да промените пътя в края. Имайте предвид, че файлът ще бъде толкова голям, колкото паметта, инсталирана в компютъра.
След това стартирайте инструмента за криминалистика и изберете опцията за извличане на ключ. Насочете го към създадения файл за зареждане на паметта и изчакайте, докато бъде обработен. След това трябва да видите клавишите, които ви показват програмата.
присъда
Деклараторът за криминалистичен диск на Elcomsoft работи добре, ако можете да получите ръцете си за изваждане на памет или хибернация. Всички форми за атака изискват локален достъп до системата. Може да бъде полезен инструмент, ако сте забравили главния ключ и отчаяно се нуждаете от достъп до вашите данни. Въпреки че е доста скъп, струва 299 евро, може би е най-добрата ви надежда за извличане на ключа, при условие че използвате хибернация или имате файл за зареждане на паметта, който сте създали, докато контейнерът или дискът са били монтирани в системата. Преди да направите покупка, стартирайте пробната версия, за да видите дали тя може да открие клавишите.
Можете да деактивирате създаването на файл за хибернация, за да защитите системата си от този вид атака. Въпреки че все още трябва да сте сигурни, че никой не може да създаде файл за зареждане на паметта или да атакува системата с помощта на атака на Firewire, тя гарантира, че никой не може да извлече информацията, когато компютърът не е стартиран.
