Salah satu perkara yang boleh anda lakukan untuk melindungi data anda ialah dengan menggunakan penyulitan. Anda boleh menyulitkan fail individu, membuat bekas untuk memindahkan fail masuk atau menyulitkan partisyen atau cakera. Manfaat utama penyulitan ialah kunci, biasanya kata laluan, diperlukan untuk mengakses data. Bentuk enkripsi asas adalah jika kata laluan anda melindungi fail zip, penyulitan lebih maju dapat melindungi seluruh sistem termasuk partisi sistem operasi dari pengguna yang tidak sah.
Walaupun penting untuk memilih kata laluan yang selamat semasa persediaan untuk mengelakkan pihak ketiga berjaya meneka atau kasar memaksa kata laluan, adalah penting untuk diperhatikan bahawa mungkin ada cara lain untuk mendapatkan akses ke data.
Elcomsoft baru sahaja mengeluarkan alat Decryptor Disk Forensiknya. Syarikat menyatakan bahawa ia boleh menyahsulit maklumat yang disimpan dalam PGP, Bitlocker dan TrueCrypt disks dan bekas. Perlu diingatkan bahawa akses tempatan ke sistem diperlukan untuk salah satu kaedah yang digunakan oleh program untuk berfungsi. Kekunci enkripsi boleh diperolehi dengan tiga cara:
- Dengan menganalisis fail hibernasi
- Dengan menganalisis fail dump memori
- Dengan melakukan serangan FireWire
Kunci penyulitan hanya boleh diekstrak dari fail hibernasi atau pembuangan memori jika bekas atau cakera telah dipasang oleh pengguna. Sekiranya anda mendapat fail dump memori atau fail hibernasi, anda boleh memulakan carian utama dengan mudah dan pada bila-bila masa. Perhatikan bahawa anda perlu memilih partition yang betul atau bekas yang disulitkan dalam proses.
Jika anda tidak mempunyai akses kepada fail hibernasi, anda boleh membuat dump memori dengan mudah dengan Windows Memory Toolkit. Muat turun edisi komuniti percuma dan jalankan perintah berikut:
- Buka arahan arahan tinggi. Lakukan dengan ketuk pada kunci Windows, menaip cmd, klik kanan hasilnya dan memilih untuk berjalan sebagai pentadbir.
- Navigasi ke direktori yang anda telah dieksekusi alat dump memori untuk.
- Jalankan perintah win64dd / m 0 / r / fx:\dump\mem.bin
- Sekiranya OS anda 32-bit, ganti win64dd dengan win32dd. Anda juga mungkin perlu menukar laluan pada akhir. Perlu diingat bahawa fail akan sebesar memori yang dipasang di komputer.
Jalankan alat forensik selepas itu dan pilih pilihan pengekstrakan utama. Arahkan ke fail dump memori yang telah dibuat dan tunggu sehingga proses itu telah diproses. Anda harus melihat kunci yang dipaparkan kepada anda oleh program selepas itu.
Putusan
Decryptor Disk Forensik Elcomsoft berfungsi dengan baik jika anda boleh mendapatkan tangan anda pada dump memori atau fail hibernasi. Semua bentuk serangan memerlukan akses tempatan ke sistem. Ia boleh menjadi alat yang berguna jika anda terlupa kunci induk dan sangat memerlukan akses ke data anda. Walaupun agak mahal, ia harganya € 299, ia mungkin menjadi harapan terbaik anda untuk mendapatkan kunci, dengan syarat anda menggunakan hibernasi atau mempunyai fail pembuangan memori yang telah anda buat semasa bekas atau cakera dipasang pada sistem. Sebelum anda membuat pembelian, jalankan versi percubaan untuk mengetahui sama ada ia boleh mengesan kunci.
Anda boleh mematikan penciptaan fail hibernasi untuk melindungi sistem anda daripada serangan jenis ini. Walaupun anda masih perlu memastikan bahawa tiada siapa yang boleh membuat fail dump memori atau menyerang sistem menggunakan serangan Firewire, ia memastikan bahawa tiada siapa yang dapat mengekstrak maklumat apabila PC tidak boot.
