 |
24.04.2017, 02:47
|
|
Познавший АНТИЧАТ
Регистрация: 27.02.2017
Сообщений: 1,312
С нами:
4845950
Репутация:
0
|
|
Приветствую Друзей , Форумчан и ценителей информационной безопасности.
Сегодня вам хочу представить для знакомства антипод,своего рода,известной программе TrueCrypt. Автор Adoreste совсем недавно обнародовал свою работу.
Итак,встречаем,огорчаемся, ли радуемся - Truehunter - утилита,целью которой является обнаружение контейнеров , созданных TrueCrypt. Утилита изучает размер,неизвестные заголовки и энтропию Файлов, чтобы определить, являются ли они зашифрованными контейнерами. Она не требует никаких дополнительных зависимостей,единственное условие-это наличие пакета Phyton в ОС.
Как можно скачать: git clone https://github.com/adoreste/truehunter.git
Запуск :1) cd truehunter/
2) ./truehunter.py -h
Опции:
Код:
Код:
usage: truehunter.py [-h] [-D HEADERSFILE] [-m MINSIZE] [-M MAXSIZE]
[-R MAXHEADER] [-f] [-o OUTPUTFILE]
LOCATION
Checks for file size, unknown header, and entropy of files to determine if
they are encrypted containers.
positional arguments:
LOCATION Drive or directory to scan.
optional arguments:
-h, --help show this help message and exit.
-D HEADERSFILE, --database HEADERSFILE
Headers database file, default headers.db
-m MINSIZE, --minsize MINSIZE
Minimum file size in Kb, default 1Mb.
-M MAXSIZE, --maxsize MAXSIZE
Maximum file size in Kb, default 100Mb.
-R MAXHEADER, --repeatHeader MAXHEADER
Discard files with unknown headers repeated more than
N times, default 3.
-f, --fast Do not calculate entropy.
-o OUTPUTFILE, --outputfile OUTPUTFILE
Scan results file name, default scan_results.csv
При завершении работы,по дефолту результат будет находиться в директории truehunter в виде созданного файла scan_results.csv, который затем читается и анализируется.
Из собственного опыта : Была создана для исследования скрытая директория, в которой с помощью TrueCrypt,были созданы 2 контейнера (внешний и внутренний размерами 30 и 10 МБ соответственно),после чего отмонтированы для реалистичности опыта.
Запуск проводился с дефолтными опциями,без дополнительных аргументов. Утилита обнаруживала именно ту директорию, где находился внешний контейнер и сообщала о нахождении 1 файла,указывая верное название внешнего контейнера, независимо от попыток переименования и указания любых расширений,даже тех,которых не существует в природе.
Из приведённого скрина ясно,что ,помимо угадывания приблизительных размеров, утилита ясно даёт понять,что кроме обнаруженного файла,существует и ещё одно скрытое пространство с зашифрованными данными.
На этом всё,благодарю за внимание. |
|
|
09.05.2017, 01:24
|
|
Новичок
Регистрация: 04.03.2018
Сообщений: 2
С нами:
4313846
Репутация:
0
|
|
Отличная статья)) так держать))
|
|
|
|
20.06.2020, 19:58
|
|
Новичок
Регистрация: 09.07.2020
Сообщений: 0
С нами:
3077872
Репутация:
0
|
|
Спасибо за статью, вы меня сильно огорчили!))
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
