# **Описание работы утилиты Encrypted Disk Detector.** *Практическая работа #1, компьютерная экспертиза. Работу выполнил студент группы БСБО-08-19, Липухин Игорь Николаевич.* --- **Encrypted Disk Detector** (EDD) — это инструмент командной строки, который может быстро проверять наличие зашифрованных томов в компьютерной системе. Данная утилита используется в **Forensic** (Форензике) - прикладной науке о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. Форензика является подразделом криминалистики. ## Что необходимо для выполнения нашей задачи: Для выполнения всех манипуляций с EDD нам понадобится сама утилита (что логично;), а также программа(-ы), с помощью которых мы будем шифровать тома. > Кстати говоря, делать все действия я буду на виртуальной машинке с Windows 7 (которую я сделал на VMware Workstation). > Ссылка на образ с ней, если нужно - https://disk.yandex.ru/d/Ox7iZk_yMirnCQ EDD можно скачать с официального сайта, но придется указывать много данных о себе, чего делать мы, конечно же, не будем! Ссылка на exeшник - [https://disk.yandex.ru/d/h0R2cRgs6v4NQw](https://) Шифровать тома я решил при помощи **TrueCrypt**. > TrueCrypt — компьютерная программа для шифрования на «лету» для 32- и 64-разрядных операционных систем семейств Microsoft Ссылка на архив с этой программой - [https://disk.yandex.ru/d/hWipUN8DfJXk6Q](https://) ## Установка: --- EDD устанавливать не нужно - она идет готовым EXE файликом, который просто нужно будет запустить(но пока что этого делать не нужно). А вот TrueCrypt необходимо установить. При запуске установщика (TrueCrypt Setup 7.1a) делаем стандартные процедуры и соглашаемся с политикой. На этапе выбора режима выбираем "установить".![](https://i.imgur.com/pRGVkIb.png) ## Создаем зашифрованный том для проверки работы программы: Запускаем наш прекрасный и неповторимый TrueCrypt и видим такую картину перед собой: > TrueCrypt, к слову, не используется уже давно (с 2014 года)... Но для того, чтобы понять, как работает EDD, он будет очень полезен!:) ![](https://i.imgur.com/uu58Hrh.png) Оставим в покое это окно на некоторое время, **позже** вернемся к нему. Для удобства и для иммитации реальных действий пользователей, разобьем на два тома наш единственный локальный диск. Я сделал так: ![](https://i.imgur.com/HXCq1eZ.png) > Не все знают, как разбить на тома диск, поэтому лучше сказать, чем нет! В пуске винды вводим "создание и форматирование разделов жесткого диска". Тыкаем правой кнопкой мыши по нашему диску C и в выпавшем окне выбираем сжать том, затем выбираем количество памяти, которую хотим получить для нового тома. Скрин:![](https://i.imgur.com/bU14m77.png) Затем даем любую букву и любое название нашему нераспределенному пространству, нажав правой кнопкой на поле под черной полосочкой и выбрав "создать простой том", как на скриншоте:![](https://i.imgur.com/kknJdk5.png) На новом диске создаем любой файл, в последствии он будет являться ключиком к нашему зашифрованному тому.![](https://i.imgur.com/Wq1T877.png) Крутяк! Возвращаемся к программе TrueCrypt. Нажимаем "создать том" и в первых двух выбираем "далее". Затем выбираем наш файлик и клацаем "далее", как на скриншоте:![](https://i.imgur.com/IhjeHcF.png) Затем везде также выбираем "далее" и выбираем желаемый размер зашифрованного тома (я выбрал 500 мб). Задаем пароль и идем далее. Всё, том создан! В TrueCrypt нажимаем "файл" и выбираем наш сокровенный файлик. Затем нажимаем смонировать, вводим пароль, заданный прежде и получаем виртуальный и зашифрованный том, в котором можем проводить обычные манипуляции (добавлять и удалять файлы и т.п.). ![](https://i.imgur.com/rmWy153.png) > Видим наш том и при двойном клике по нему попадаем, собственно, в него... ## Запускаем EDD. Ура, ура, ура! Наконец-то запускаем Encrypted Disk Detector. И... Видим:![](https://i.imgur.com/LEQfihp.png) Наша утилита сообщает нам желтым текстом о том, что у нас имеется на компьютере виртуальный диск, который, скорее всего, зашифрован при помощи TrueCrypt или PGP. --- > В дополнении хочу также продемонстрировать, как EDD определяет зашифрованный том при помощи BitLocker:![](https://i.imgur.com/UbBiWo3.png) --- # Задание с лекции(рассказ об утилите). **Elcomsoft Encrypted Disk Hunter** В линейке продуктов «Элкомсофт» существует бесплатный продукт Elcomsoft Encrypted Disk Hunter. Данный продукт запускается из командной строки. Его цель – обнаружить наличие или признаки наличия зашифрованных томов и крипто-контейнеров. Утилитой поддерживаются зашифрованные диски TrueCrypt/VeraCrypt, BitLocker, PGP WDE, FileVault2 и LUKS, созданные в Windows, macOS и Linux. Для сканирования системы достаточно запустить портативную версию утилиты с любого носителя. Программа сканирует подключённые к системе накопители в поиске характерных для зашифрованных дисков сигнатур. При обнаружении зашифрованных дисков выводится их список и тип шифрования (TrueCrypt/VeraCrypt, BitLocker, PGP WDE, FileVault2 или LUKS), а также выдаётся рекомендация не отключать питание компьютера. Затем необходимо снять образ оперативной памяти и осуществить поиск ключей шифрования. Если ключ шифрования будет найден, зашифрованные диски можно будет смонтировать или расшифровать без проведения длительных атак. Если на компьютере не обнаружено явных признаков шифрования диска, Encrypted Disk Hunter сканирует цепочку системных драйверов на предмет наличия драйверов TrueCrypt, VeraCrypt и PGP WDE. При обнаружении загруженного драйвера шифрования выдаётся сообщение о том, что в системе могло быть использовано шифрование.