## **Описание работы утилиты Encrypted Disk Detector.** *Практическая работа #1, компьютерная экспертиза. Работу выполнил студент группы БСБО-08-19, Липухин Игорь Николаевич.* --- **Encrypted Disk Detector** (EDD) — это инструмент командной строки, который может быстро проверять наличие зашифрованных томов в компьютерной системе. Данная утилита используется в **Forensic** (Форензике) - прикладной науке о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. Форензика является подразделом криминалистики. ## Что необходимо для выполнения нашей задачи: Для выполнения всех манипуляций с EDD нам понадобится сама утилита (что логично;), а также программа(-ы), с помощью которых мы будем шифровать тома. > Кстати говоря, делать все действия я буду на виртуальной машинке с Windows 7 (которую я сделал на VMware Workstation). > Ссылка на образ с ней, если нужно - https://disk.yandex.ru/d/Ox7iZk_yMirnCQ EDD можно скачать с официального сайта, но придется указывать много данных о себе, чего делать мы, конечно же, не будем! Ссылка на exeшник - [https://disk.yandex.ru/d/h0R2cRgs6v4NQw](https://) Шифровать тома я решил при помощи **TrueCrypt**. > TrueCrypt — компьютерная программа для шифрования на «лету» для 32- и 64-разрядных операционных систем семейств Microsoft Ссылка на архив с этой программой - [https://disk.yandex.ru/d/hWipUN8DfJXk6Q](https://) ## Установка: --- EDD устанавливать не нужно - она идет готовым EXE файликом, который просто нужно будет запустить(но пока что этого делать не нужно). А вот TrueCrypt необходимо установить. При запуске установщика (TrueCrypt Setup 7.1a) делаем стандартные процедуры и соглашаемся с политикой. На этапе выбора режима выбираем "установить". ## Создаем зашифрованный том для проверки работы программы: Запускаем наш прекрасный и неповторимый TrueCrypt и видим такую картину перед собой: > TrueCrypt, к слову, не используется уже давно (с 2014 года)... Но для того, чтобы понять, как работает EDD, он будет очень полезен!:)  Оставим в покое это окно на некоторое время, **позже** вернемся к нему. Для удобства и для иммитации реальных действий пользователей, разобьем на два тома наш единственный локальный диск. Я сделал так:  > Не все знают, как разбить на тома диск, поэтому лучше сказать, чем нет! В пуске винды вводим "создание и форматирование разделов жесткого диска". Тыкаем правой кнопкой мыши по нашему диску C и в выпавшем окне выбираем сжать том, затем выбираем количество памяти, которую хотим получить для нового тома. Скрин: Затем даем любую букву и любое название нашему нераспределенному пространству, нажав правой кнопкой на поле под черной полосочкой и выбрав "создать простой том", как на скриншоте: На новом диске создаем любой файл, в последствии он будет являться ключиком к нашему зашифрованному тому. Крутяк! Возвращаемся к программе TrueCrypt. Нажимаем "создать том" и в первых двух выбираем "далее". Затем выбираем наш файлик и клацаем "далее", как на скриншоте: Затем везде также выбираем "далее" и выбираем желаемый размер зашифрованного тома (я выбрал 500 мб). Задаем пароль и идем далее. Всё, том создан! В TrueCrypt нажимаем "файл" и выбираем наш сокровенный файлик. Затем нажимаем смонировать, вводим пароль, заданный прежде и получаем виртуальный и зашифрованный том, в котором можем проводить обычные манипуляции (добавлять и удалять файлы и т.п.).  > Видим наш том и при двойном клике по нему попадаем, собственно, в него... ## Запускаем EDD. Ура, ура, ура! Наконец-то запускаем Encrypted Disk Detector. И... Видим: Наша утилита сообщает нам желтым текстом о том, что у нас имеется на компьютере виртуальный диск, который, скорее всего, зашифрован при помощи TrueCrypt или PGP. --- > В дополнении хочу также продемонстрировать, как EDD определяет зашифрованный том при помощи BitLocker: