ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Инструменты (https://forum.antichat.xyz/forumdisplay.php?f=176)
-   -   Truehunter-обнаружение зашифрованных контейнеров (https://forum.antichat.xyz/showthread.php?t=1619491)

Vertigo 24.04.2017 02:47
Приветствую Друзей , Форумчан и ценителей информационной безопасности.

Сегодня вам хочу представить для знакомства антипод,своего рода,известной программе TrueCrypt. Автор Adoreste совсем недавно обнародовал свою работу.

Итак,встречаем,огорчаемся, ли радуемся - Truehunter - утилита,целью которой является обнаружение контейнеров , созданных TrueCrypt. Утилита изучает размер,неизвестные заголовки и энтропию Файлов, чтобы определить, являются ли они зашифрованными контейнерами. Она не требует никаких дополнительных зависимостей,единственное условие-это наличие пакета Phyton в ОС.

Как можно скачать: git clone https://github.com/adoreste/truehunter.git

Запуск :1) cd truehunter/

2) ./truehunter.py -h

Опции:

Код:


Код:
usage: truehunter.py [-h] [-D HEADERSFILE] [-m MINSIZE] [-M MAXSIZE]
[-R MAXHEADER] [-f] [-o OUTPUTFILE]
LOCATION
Checks for file size, unknown header, and entropy of files to determine if
they are encrypted containers.
positional arguments:
LOCATION Drive or directory to scan.
optional arguments:
-h, --help show this help message and exit.
-D HEADERSFILE, --database HEADERSFILE
Headers database file, default headers.db
-m MINSIZE, --minsize MINSIZE
Minimum file size in Kb, default 1Mb.
-M MAXSIZE, --maxsize MAXSIZE
Maximum file size in Kb, default 100Mb.
-R MAXHEADER, --repeatHeader MAXHEADER
Discard files with unknown headers repeated more than
N times, default 3.
-f, --fast Do not calculate entropy.
-o OUTPUTFILE, --outputfile OUTPUTFILE
Scan results file name, default scan_results.csv
При завершении работы,по дефолту результат будет находиться в директории truehunter в виде созданного файла scan_results.csv, который затем читается и анализируется.

Из собственного опыта : Была создана для исследования скрытая директория, в которой с помощью TrueCrypt,были созданы 2 контейнера (внешний и внутренний размерами 30 и 10 МБ соответственно),после чего отмонтированы для реалистичности опыта.

Запуск проводился с дефолтными опциями,без дополнительных аргументов. Утилита обнаруживала именно ту директорию, где находился внешний контейнер и сообщала о нахождении 1 файла,указывая верное название внешнего контейнера, независимо от попыток переименования и указания любых расширений,даже тех,которых не существует в природе.

Из приведённого скрина ясно,что ,помимо угадывания приблизительных размеров, утилита ясно даёт понять,что кроме обнаруженного файла,существует и ещё одно скрытое пространство с зашифрованными данными.

На этом всё,благодарю за внимание.

XuliNam 09.05.2017 01:24
Отличная статья)) так держать))

stephanie887 20.06.2020 19:58
Спасибо за статью, вы меня сильно огорчили!))


Время: 01:37