TCHunt,搜索TrueCrypt卷
- 类别: 视窗
TCHunt是一个小型便携式应用程序,可用于在系统上查找加密的True Crypt卷。它经过专门设计,以展示找到True Crypt卷的可能性,即使它们未安装且用户伪装得很好。使用True Crypt,可以对硬盘驱动器的分区或存储在存储设备上的容器文件中的特定数量的存储空间进行加密。
这些卷的大小可以从19 KB开始,并且可以是完全任意的文件名和扩展名。该程序旨在显示出即使那些很小且被用户掩盖的True Crypt容器也是可以识别的。在没有技术帮助的情况下,几乎不可能检验True Crypt容器的存在,除非该容器本身相当大或放置在易于识别的位置。尽管可以分析系统上每个可能的容器文件,但这样做将花费很长时间。
TCHunt扫描计算机上的选择文件夹或分区中的以下四个属性,这些属性是每个TrueCrypt卷的一部分:
- 可疑文件模512的大小必须等于零。
- 可疑文件的大小至少为19 KB(尽管实际上设置为5 MB)。
- 可疑文件内容通过了卡方分布测试。
- 可疑文件不得包含公共文件头。
您需要在启动时接受服务条款,然后才能使用文件夹浏览器选择要扫描的根文件夹。该应用程序根据上述属性扫描所有文件,并在程序界面中报告其发现结果。并非所有找到的文件都是True Crypt容器,但是您可以确保在扫描过程中找到所有存储在选定根文件夹下的True Crypt容器。
该程序将完全忽略文件名和扩展名,许多True Crypt用户使用该文件名和扩展名来伪装计算机系统上的卷。如果您忘记了在系统上放置自己的True Crypt卷的位置,该程序也可能会有所帮助,因为它可以向您显示该位置。
TCHunt演示了即使未将True Crypt卷安装在系统上也可以检测到。但是,它无法在此处停止,因为它无法强行使用或绕过加密本身。 True Crypt用户应注意,可以检测到这些卷,并且True Crypt开发人员应考虑尽可能地将卷随机化以避免这种检测。
真正的地穴狩猎 适用于Windows操作系统。该程序的源代码也可以从网站上下载。根据开发人员的站点,该程序仅与Windows 7兼容。
更新资料 :该程序现在作为命令行工具提供,不再具有其自己的界面。您需要从Windows命令提示符运行它,并使用以下选项开始搜索:
- -d目录 您要搜索的目录,例如-d c:扫描驱动器c
- -H 显示帮助
- -v 打印详细输出
还提供了适用于Linux和Mac的版本,但需要从源代码进行编译。