Hvordan identifisere kryptering programvare

Hvordan identifisere kryptering programvare


Kryptering programvare forvrenges nyttige data inn i tilsynelatende tilfeldige biter for å hindre avlytting. Når den brukes i et lukket system, trenger det ikke være noen identifiserende trekk ved krypterte data for å tillate tredjeparter å bestemme hvilken type kryptering programvare som brukes til å rykke ut dataene. Men mest kommersielle og åpen kildekode kryptering programvare eller krypterte e-postløsninger forlate fingeravtrykk eller overskrifter som identifiserer krypteringsalgoritmer som brukes for kompatibilitet med andre krypteringsprogrammer. Kryptering programvare, selv programmer med ikke-beskrivende navn eller dokumentasjon, bosatt på målsystemet kan også gi ledetråder til identiteten til kryptering programvare.

Bruksanvisning

1 Skaff en prøve av den krypterte data, fil eller e-post. Hvis du kan søke etter filer på en harddisk med tilfeldige eller åpenlyst krypterte data, bruk av verktøy som Autopsy Forensic Toolkit eller andre innholdsbaserte filtype detektorer. Søk etter stenographically krypterte data - data skjult i andre tilsynelatende harmløse filer, for eksempel bilder. Sørg for å skanne hele stasjonen (inkludert ledig plass), som hackere kan forsøke å skjule data i ufordelte seksjoner på harddisken.

2 Bestem type kryptert data du har. Dersom data ligger i en fil, undersøke filtype eller innholdet av filen for ukryptert header informasjon. Mest sannsynlig vil noen kryptert ZIP, Microsoft Office eller PDF-filer inneholder ukrypterte overskrifter som angir at filen er kryptert med en viss algoritme. Vær forsiktig med å stole for mye på filtypen, som smarte brukere vil forsøke å obfuscate den sanne filtypen ved å tildele en falsk filtype eller fjerne utvidelsen helt.

3 Hvis du arbeider med en kryptert e-post, søke gjennom rå e-post hoder for å fastslå om filen er kryptert med S / MIME eller PGP (de to vanligste formene for e-kryptering). Alle former for problemfritt kryptert e-post vil inneholde informasjon i en overskrift la mottakeren til å dekryptere e-post med den riktige algoritmen. E-posten data blokk kan også inneholde informasjon om algoritmen som brukes, i ren tekst.

4 Se på operativsystemet ledetråder til hva krypteringsprogrammer er installert. For enkelhets skyld, vil de fleste parter som bruker kryptering ikke gå til bryet med å fjerne kryptering programvare fra en datamaskin etter hver bruk. Hvis bare en eller to typer er installert på systemet, kan det være rimelig å anta at en av disse programmene ble brukt til å kryptere måldata. Hvis en ukjent stykke programvare er installert, kan PC-utviklere kunne reverse-engineering koden for å bestemme krypteringsalgoritmen typen, selv om denne prosessen kan ta lang tid. Mange sterke krypterings pakker kan "Cascade" krypteringsalgoritmer, ved hjelp av så mange som tre eller fire forskjellige krypteringsalgoritmer før utslipp krypterte data.

Hint

  • I mange jurisdiksjoner, er tilstedeværelsen av krypterte data eller kryptering programvare i seg selv ikke er sannsynlig årsak til uønskede rettslige skritt.
  • Andre former for informasjonsinnhenting, for eksempel atferdsanalyse eller emne avhør, kan gi raskere resultater i å identifisere krypteringsprogramvare enn reverse engineering eller andre automatiserte påvisningsforsøk.
  • Innhente tillatelse fra systemansvarlig eller eieren før du utfører noen programvare eller maskinvare basert analyse. Uautorisert tilgang til en datamaskin eller data som befinner seg der er en føderal forbrytelse (USC tittel 18, 1030).
  • Denne artikkelen er ikke juridisk rådgivning. Ta kontakt med en advokat før du tar noen handling nevnt i denne artikkelen.