Creazione di contenitori indeterminabili all'interno del file system esistente

2

Supponiamo di avere 1 partizione del disco (precedentemente riempita con dati casuali) e di creare un file system su di essa (NTFS, FAT, EXT2, ecc.). Ho intenzione di conservare alcuni file qui (cioè file visibili).

Quindi creo alcuni dispositivi loobpack con offset diversi e creo alcuni file system su di essi.

La domanda è: può un osservatore determinare che questi contenitori nascosti esistono per la presenza dei metafile / informazioni di sistema del file system originale?

Ho letto:

  • FAT mantiene i dati di sistema all'inizio e alla fine della partizione,
  • NTFS conserva i dati di sistema nel mirror iniziale e MFT nel mezzo della partizione.
  • EXT2 mantiene superblocchi in ogni gruppo di blocchi, e ce ne sono molti in the disco.

Quando riempio i dispositivi di loopback nascosti con alcuni dati, i metadati del file system esterno potrebbero essere cancellati, giusto? Come nel caso del mirror NTFS MFT nel mezzo della partizione potrebbe essere cancellato. Nel caso dei superblocchi EXT2 può essere modificato. E questo sembrerà sospetto.

Come possiamo evitarlo?

    
posta onetuser 13.05.2013 - 13:08
fonte

1 risposta

4

I dati sul disco rigido hanno struttura . Questo è un problema per te:

  • Se i tuoi contenitori nascosti non usano la crittografia, allora ispezionando direttamente il contenuto della partizione mostrerà i tuoi file nascosti. Tale ispezione è consuetudinaria nelle analisi forensi, se non altro per recuperare parti di vecchi file che sono stati cancellati.

  • Se i contenitori nascosti utilizzano la crittografia, i settori corrispondenti appariranno casuali e questo sarà sospetto, perché i file system "normali" non memorizzano dati casuali in settori non utilizzati. L'ispezione del contenuto della partizione prevede di trovare alcune vecchie parti di file con una struttura rilevabile e il tuo contenitore apparirà come un'anomalia statistica.

I "volumi nascosti" di TrueCrypt risolvono il problema applicandolo su un volume che utilizza esplicitamente TrueCrypt, che applica la crittografia su l'intera partizione. Ciò consente al volume nascosto di scomparire nello sfondo casuale.

Per quanto riguarda la tua domanda specifica, questo è un problema di allocazione. Se mai modifica il file system esterno, puoi eseguire le seguenti operazioni:

  1. Crea una sequenza di 512 byte casuali.

  2. Riempi la partizione di destinazione con copie di quella sequenza.

  3. Crea il filesystem "visibile" su di esso e metti i tuoi pochi file fittizi.

  4. Smonta il file system visibile ed esegui nuovamente la scansione della partizione: ogni settore di 512 byte che contiene ancora la tua sequenza casuale è "non trattato". Puoi usare questi settori per il tuo contenitore nascosto. Tutto quello che devi fare è trovare le sequenze più lunghe e contigue dei settori non modificati e montarli come loopback.

Naturalmente, dal momento che il filesystem esterno è completamente inconsapevole del tuo subdolo uso di loopback, qualsiasi modifica a quel filesystem esterno potrebbe utilizzare alcuni dei tuoi settori: dal tuo punto di vista, questi settori sono per il tuo contenitore nascosto, ma dal punto di vista del filesystem esterno, sono gratuiti - e questo è di design . I tuoi contenitori nascosti sono "nascosti" solo perché nulla nel filesystem esterno ne è a conoscenza.

(Ma questo ancora non risolve i problemi con l'analisi statistica, come spiegato sopra.)

    
risposta data 13.05.2013 - 19:45
fonte

Leggi altre domande sui tag