La modifica di un file di Word da un volume TrueCrypt montato non lascia tracce sul computer host?

7

Ho sentito che anche se hai un documento Word encrpito (usando solo gli strumenti di crittografia Word incorporati) e lo stai modificando, può comunque lasciare tracce di un file sul computer locale in file nascosti o in un cache da qualche parte. Non sono sicuro che sia anche vero o no, solo qualcosa che pensavo di aver sentito da qualche parte.

Quindi la mia domanda è, quando si modificano documenti, come un file Word, da un volume TrueCrypt montato, lascia dietro di sé qualsiasi cache o "residuo" che fornisce informazioni sul documento?

    
posta hwp08 06.01.2012 - 15:25
fonte

4 risposte

7

Come puoi vedere qui la risposta corretta è "a volte", ma se ritieni che il tuo documento sia privato non dovresti Supponiamo che il comportamento di Word sia sicuro.

Se vuoi veramente proteggere i tuoi documenti criptati, devi utilizzare la crittografia completa del disco perché ci sono troppi casi in cui il tuo sistema operativo / app memorizzerà i dati nel disco (file di swap, temp, nome file in il registro come documenti recenti, ibernazione ...).

    
risposta data 06.01.2012 - 15:56
fonte
2

Questo è un thread molto vecchio, ma ho pensato di inserire i miei due centesimi, due centesimi in base alla sperimentazione diretta.

Word come applicazione (solo una delle tante) può e potrebbe lasciare tracce di documenti modificati che lavori da un volume TrueCrypt o Veracrypt. Dopo aver lavorato su un documento Word per molte settimane direttamente da un contenitore di file sicuro in Veracrypt, ho usato uno strumento chiamato "Recuva" per cercare file cancellati sul mio C: drive e scansionato per stringhe di testo che sapevo essere uniche per il documento I Ho lavorato su.

Recuva ha trovato un frammento di file in condizioni "scadenti" che era stato "sovrascritto" da un file di registro in Windows / System - il nome esatto ei dettagli non importanti.

Ho eseguito il ripristino di un file e controllato il contenuto. Era pieno di frammenti di altri file, ma all'interno del file ripristinato contenevano grandi frammenti del documento su cui stavo lavorando.

Ora, ci sono molte possibili ragioni per questo. L'importante è che, per quanto ne so, non ho mai spostato il file dal volume crittografato, non l'ho mai salvato localmente. La mia ipotesi migliore è che è stato un autorecover che è stato cancellato dal drive C: dopo un salvataggio e una chiusura riusciti. Ma le ragioni esatte non sono così importanti come il semplice fatto che lavorare su documenti di qualsiasi tipo da un volume montato TrueCrypt / Veracrypt può lasciare tracce di se stessi attraverso qualsiasi meccanismo utilizzato dal particolare software per memorizzare nella cache, salvare copie o recuperarsi al di fuori del volume montato. Come detto sopra, la tua scommessa migliore è la crittografia totale del disco.

    
risposta data 29.08.2017 - 00:49
fonte
1

Sì, MS Word crea diverse copie temporanee e collegamenti a file. Non dare per scontato che nessuna applicazione possa filtrare almeno alcune informazioni attraverso tali cose accidentali. Ma quando si tratta di finestre hai anche usato di recente liste di documenti e simili.

    
risposta data 06.01.2012 - 16:03
fonte
1

È facile testare il sistema per vedere se qualcosa è stato lasciato alle spalle, potresti aprire il file word dall'unità crittografata, e penso che sia molto meglio che prendere la parola di qualcuno.

Modificare il file sull'unità crittografata, quindi eseguire una ricerca nei file per qualsiasi testo all'interno del file. Idealmente useresti grep per eseguire il find nei file, che è binario sicuro.

Il BTK Killer è stato catturato da ispezionando i metadati di un file word . Anche se è l'opposto di quello che hai chiesto.

    
risposta data 06.01.2012 - 18:56
fonte

Leggi altre domande sui tag