Повсеместное распространение шифрования всего и вся способно не просто затруднить анализ данных, но и сделать его невозможным при малейших отклонениях от установленных процедур. В то же время точное следование процедурам изъятия компьютерной техники далеко не всегда возможно в практических условиях. Своевременное обнаружение зашифрованных дисков позволит предпринять необходимые меры для защиты доступа к зашифрованным уликам, прежде чем компьютер подозреваемого будет обесточен. Какие шаги необходимы и как узнать, используется ли в системе шифрование диска? Сделать это достаточно просто, запустив соответствующую утилиту с флеш-накопителя.

В декабре 2021 в Elcomsoft Encrypted Disk Hunter и Elcomsoft Distributed Password Recovery добавлена поддержка BestCrypt Volume Encryption 4 и 5.

Зашифрованные диски

Зашифрованные диски — постоянная головная боль для экспертов-криминалистов. Доступ к уликам, хранящимся на зашифрованных томах, может оказаться невозможен без проведения достаточно длительных атак на пароль. При этом в некоторых условиях доступ к зашифрованным данным будет невозможен в принципе — например, при использовании некоторых типов защиты BitLocker. Классический рабочий процесс состоит из отключения компьютера, извлечения дисков, создания образа диска через устройство с блокировкой записи и последующий анализ данных уже из виртуального образа диска.

В этом процессе есть тонкий момент: если в системе были смонтированы зашифрованные тома, то доступ к записанным на них данным пропадает при отключении питания.

Разумеется, этого не произойдёт, если эксперт будет знать о наличии смонтированных зашифрованных томов и предпримет несложные шаги по консервации имеющихся данных (забегая вперёд — обычно достаточно снять образ оперативной памяти компьютера). Мы предлагаем простой и быстрый способ узнать, присутствуют ли в системе зашифрованные диски.

Как обнаружить зашифрованные диски

С точки зрения пользователя смонтированный зашифрованный диск ничем не отличается от обычного диска. Тем не менее, при выключении компьютера зашифрованный диск, как правило, размонтируется, и при следующем включении пользователю придётся или ввести пароль, или авторизоваться в системе (так работает, в частности, шифрование BitLocker с ключом, который защищается посредством аппаратного модуля TPM или Intel PTT; пароля в классическом смысле слова у таких дисков нет, поэтому и любые атаки на данные из образа диска будут совершенно бесполезны).

Отличить зашифрованный диск от незашифрованного «на глазок» достаточно сложно. С одной стороны, можно проанализировать настройки системы — например, приложение BitLocker в Панели управления Windows. С другой — продвинутые преступники часто используют более серьёзное шифрование, например — вложенный контейнер TrueCrypt (кстати, использование вложенного контейнера позволит подозреваемому отрицать сам факт наличия улик, выдав вместо пароля от вложенного контейнера пароль от «обёртки», в которой не будет содержаться ничего инкриминирующего).

Определить наличие зашифрованных дисков поможет бесплатная утилита командной строки Elcomsoft Encrypted Disk Hunter.

Elcomsoft Encrypted Disk Hunter — это бесплатный портативный инструмент, который поможет быстро обнаружить наличие зашифрованных дисков. Для анализа системы достаточно запустить утилиту с USB накопителя; список подключённых устройств и зашифрованных дисков выводится автоматически. Инструмент может обнаруживать зашифрованные диски TrueCrypt/VeraCrypt, BitLocker, PGP WDE, FileVault2, BestCrypt и LUKS (только первой версии). Справедливости рады, вам вряд ли встретятся диски с шифрованием FIleVault2 и LUKS, подключённые к компьютеру с Windows (наша утилита работает только в этой ОС). Их поддержку мы включили для тех редких случаев, когда они могут вам понадобиться.

Что делать, если на компьютере пользователя запущена macOS или Linux? В этом случае вам поможет другой, загрузочный инструмент — Elcomsoft System Recovery.

Как это работает?

Прежде всего, для использования утилиты нужны права администратора в анализируемой системе. Без административных привилегий не будет низкоуровневого доступа ни к дискам, ни к оперативной памяти компьютера и списку драйверов.

После запуска Elcomsoft Encrypted Disk Hunter инструмент сканирует подключённые к системе устройства хранения информации на предмет шифрования, осуществляя поиск характерных сигнатур и заголовков в таблицах разделов. При обнаружении зашифрованных томов выводится список зашифрованных дисков.

После этого проверяется, смонтирован ли какой-либо из зашифрованных томов. Если никаких явных признаков шифрования диска не обнаружено, Encrypted Disk Hunter проверяет цепочку системных драйверов на предмет наличия в ней драйверов зашифрованных дисков. Если распознан драйвер шифрования диска (например, truecrypt.sys, veracrypt.sys, PGPdisk.SYS, Pgpwdefs.sys или PGPwded.sys), утилита сообщит, что в системе могло использоваться шифрование, даже если в данный момент времени ни одного зашифрованного тома не обнаружено. Кстати, такая эвристика — единственный способ обнаружить диск, зашифрованный PGP WDE, т.к. последний блокирует доступ к размонтированным зашифрованным томам.

Дальнейшие шаги

Ваши дальнейшие действия будут зависеть от выданного программой результата и проведённой вами оценки рисков.

1. Если никаких признаков полного шифрования диска не обнаружено: образ оперативной памяти создать желательно, но не обязательно; отключите питание и следуйте обычной схеме.
   Признаков шифрования не обнаружено
2. При обнаружении признаков шифрования: обязательно создайте образ оперативной памяти (например, посредством Elcomsoft Forensic Disk Decryptor); возможно, вам придётся потратить дополнительное время на исследование системы перед тем, как обесточить компьютер.
   Зашифрованные тома не обнаружены, но обнаружен активный процесс шифрования диска. Требуется дальнейшее исследование.
3. Если найдены смонтированные зашифрованные диски: создайте образ оперативной памяти; попытайтесь извлечь из него ключи восстановления / депонированные ключи. Если позволяет время, попытайтесь извлечь улики из смонтированных зашифрованных томов.
   
   Найден том TrueCrypt/VeraCrypt. Further analysis mandatory. Требуется дальнейшее исследование.
   Найден том BitLocker. Требуется дальнейшее исследование.

Если смонтирован хотя бы один зашифрованный диск, обратите внимание на тип шифрования. Рекомендуем ознакомиться с нашей статьёй Безопасность в опасности: как и от чего защищать информацию на компьютере, в которой рассказано об основных принципах шифрования дисков. Также рекомендуем более детальные статьи Расшифровка криптоконтейнеров VeraCrypt и Расшифровка дисков LUKS, а если вы владеете английским — то и статьи Unlocking BitLocker: Can You Break That Password? и Unlocking BitLocker Volumes by Booting from a USB Drive.

Также рекомендуем воспользоваться утилитой Elcomsoft Forensic Disk Decryptor для создания образа оперативной памяти и поиска ключей шифрования, что позволит обойтись без попыток подобрать оригинальный пароль. Извлечение ключей шифрования из образа памяти может и вовсе оказаться единственным доступным методом для разблокировки томов BitLocker, защищённых некоторыми типами протекторов (например, TPM).

Если этот вариант не сработал, используйте Elcomsoft Distributed Password Recovery для взлома пароля. EDPR реализует все возможные оптимизации с учётом человеческого фактора, но атака может оказаться достаточно длительной, так как перебор паролей к зашифрованным дискам может быть очень и очень медленным.

Скачать Elcomsoft Encrypted Disk Hunter

Elcomsoft Encrypted Disk Hunter можно скачать по ссылке с нашего сайта:

Скачать Elcomsoft Encrypted Disk Hunter

Утилита доступна в виде ZIP-архива без установщика. В архиве содержится портативный исполняемый файл, подписанный цифровой подписью. Распакуйте архив, сохраните утилиту на USB-накопителе и используйте в системе с правами администратора. Настоятельно рекомендуем запускать инструмент непосредственно с USB-накопителя.