Como ya habréis leído más de uno en la solución de la prueba 11 habréis visto que se llegaba un punto en el cual nos descargábamos el fichero cifradoverdadero que había que abrir para continuar la prueba. Este fichero estaba creado con Truecrypt, pero ¿cómo lo podíamos saber? La pista era el nombre pero existen algunas herramientas útiles para detectar este tipo de volúmenes.
Imagen de la prueba 11 del reto
En conexioninversa nos proponen un par de herramientas que nos ayudarán en este proceso. En ese post se muestra como detectar (ojo, no descifrar) qué ficheros existen dentro del contenedor Truecrypt. Para ello han usado un USB al cual le han añadido una partición cifrada con truecrypt y han metido unos cuantos ficheros.
El resultado es que con un editor hexadecimal podemos reconocer que claramente ha sido creado con Truecrypt y gracias a herramientas como File Investigator File y TCHunt podremos ver los nombres y unos cuantos metadatos sobre los ficheros que hayan dentro.
Pero ¿cómo se puede ocultar esa información? Pues no usando una partición entera con Truecrypt, usando una partición normal con el volumen truecrypt dentro (por lo menos hasta donde he podido comprarlo yo xD). De este modo se detecta que el volumen ha sido creado con Truecrypt pero no se ofrece ningún tipo de información sobre los ficheros que contiene. De hecho el fichero cifradoverdadero contiene un mp3 en su volumen normal y un fichero de texto en el oculto, y la gracia es que nada nos ha avisado ni siquiera de la existencia de la parte oculta, se te tiene que ocurrir o imaginártelo por tema de tamaños.
Además, en el caso de que solo tuviéramos un editor hexadecimal la cabecera no delataría el uso de Truecrypt como ocurría con la partición completa cifrada, por lo que ya de primeras podríamos considerarlo mejor opción.
Por cierto, a mí me el TCHunt me ha sacado todo tipo de falsos positivos por el disco duro: un pdf, un bz2, un binario normal y alguna cosa más, eso sí, el par de volumenes de Truecrypt que tenía me los ha marcado 
Felicidades a conexioninversa por el artículo, yo no conocía las herramientas, si buscáis información sobre análisis forense es un buen sitio a donde acudir.
–
Fuente original en http://vierito.es/wordpress
Similar Posts:
- Explota al máximo tu IDA Pro: los mejores plugins
- Port-Knocking y Crypt-Port-Knocking
- Descifrando un reto del FBI
0 responses so far ↓
There are no comments yet...Kick things off by filling out the form below.
Leave a Comment