TCHunt es una pequeña aplicación portátil que se puede utilizar para encontrar volúmenes True Crypt cifrados en el sistema. Ha sido diseñado específicamente para demostrar la posibilidad de encontrar volúmenes True Crypt incluso si no están montados y bien disfrazados por el usuario. Con True Crypt, es posible cifrar una partición de un disco duro, o una cantidad específica de espacio de almacenamiento que se almacena en un archivo contenedor en un dispositivo de almacenamiento.
Estos volúmenes pueden tener tamaños a partir de 19 Kilobytes y nombres de archivo y extensiones completamente arbitrarios. El programa ha sido diseñado para mostrar que es posible identificar esos contenedores True Crypt incluso si son razonablemente pequeños y disfrazados por el usuario. Es más o menos imposible verificar la existencia de un contenedor True Crypt sin ayuda técnica, a menos que el contenedor en sí sea bastante grande o esté situado en un lugar donde pueda ser fácilmente identificado. Aunque es posible analizar cada posible fichero contenedor en un sistema, llevaría mucho tiempo hacerlo.
TCHunt escanea una carpeta o partición seleccionada en la computadora en busca de los siguientes cuatro atributos que son parte de cada volumen TrueCrypt:
- El tamaño del archivo sospechoso modulo 512 debe ser igual a cero.
- El tamaño del archivo sospechoso es de al menos 19 KB (aunque en la práctica se establece en 5 MB).
- El contenido del archivo sospechoso pasa una prueba de distribución de chi-cuadrado.
- El archivo sospechoso no debe contener una cabecera de archivo común.
Es necesario que acepte las condiciones de servicio en el inicio antes de poder utilizar el explorador de carpetas para seleccionar una carpeta raíz para el análisis. La aplicación escanea todos los archivos basándose en los atributos anteriores e informa de sus hallazgos en la interfaz del programa. No todos los archivos que se encuentran son contenedores True Crypt, pero puede estar seguro de que todos los contenedores True Crypt almacenados en la carpeta raíz seleccionada se encuentran durante el análisis.
El programa ignora completamente el nombre y la extensión del archivo, que muchos usuarios de True Crypt utilizan para disfrazar el volumen en el sistema informático. El programa también puede ser útil si olvidó dónde colocó su propio volumen True Crypt en un sistema, ya que puede revelarle esa ubicación.
TCHunt demuestra que es posible detectar volúmenes True Crypt incluso si no están montados en el sistema. Sin embargo, se detiene aquí, ya que no puede hacer fuerza bruta ni pasar por alto el cifrado en sí mismo. Los usuarios de True Crypt deben tener en cuenta que es posible detectar esos volúmenes, y los desarrolladores de True Crypt deben considerar aleatorizar los volúmenes si es posible para evitar esa detección.
True Crypt Hunt está disponible para el sistema operativo Windows. El código fuente del programa también está disponible para su descarga en el sitio web. Según el sitio del desarrollador, el programa sólo es compatible con Windows 7.
Actualizar : El programa se envía como una herramienta de línea de comandos ahora y ya no con su propia interfaz. Debe ejecutarlo desde la línea de comandos de Windows y utilizar las siguientes opciones para iniciar una búsqueda:
- -d directory El directorio en el que desea buscar, por ejemplo -d c: para escanear la unidad c
- -h muestra la ayuda
- -v imprime salida verbosa
Las versiones para Linux y Mac también están disponibles, pero necesitan ser compiladas desde el código fuente.
Anuncio