TheBarmaley
Platinum Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
исходя из их фака:
Цитата: Q. TCHunt found all of my encrypted volumes. How does it work?
A. TCHunt searches for four (4) file attributes. This is all TCHunt does:
1. The suspect file size modulo 512 must equal zero.
2. The suspect file size is at least 19 KB in size (although in practice this is set to 15 MB).
3. The suspect file contents pass a chi-square distribution test.
4. The suspect file must not contain a common file header. |
из п.1 вырисовывается задачка, упирающаяся в размер тома, связанный с размером кластера тома (кратен 512 байт)..
решение которой, в принципе, можно увидеть на скрине:
здесь:
Too_Small: TC-test.txt <- некий мелкий файл, "довесок", размером х (я взял х=1 байт)
modulo_true: TC-test.vol 20971520 <- том, созданный в самом ТС (исходный) *
......
Suspect_File: TC-test.vol <- ..который и был "предположительно" определён.. :)
modulo_false: TC-test.voltxt 20971521 <- а это он же, но с "прилепленным" к нему "довеском", по методу от WildGoblin'а (№2 в шапке: copy /b 1+2 3), который хантер теперь уже пропускает.. т.е. том остался никуда не запрятанным, но доступным для монтирования и оперативной работы (проверено).. :)
modulo_false: UpdatePackLive-13.1.15.exe 82343768 <- а это просто некий большой файл, но тоже не детектируемый по причине некратности размеру кластера..
* отмечу, шо маленькие файлы хантер также не видит в упор (игнорирует).. есть заявленный минимум 19кб (в хантере установлено 15Мб, но, видимо, могут быть тулзы и с другим мин.размером), у меня "охотник" не увидел том 1Мб.. сталыть, есть вариант для параноиков - хранить ключ в мелком контейнере.. можно - ещё и в скрытом.. ещё и на флэхе/дроп-боксе.. :D
не скажу, шо это "супер-пупер-защита".. возможно, и на этот способ есть свой "детектор"..
но! - чем больше известно о методах поиска, тем больше вариантов из "объезда" можно применить.. ;)
вопчем, старик Энгельс был прав нащёт "единства и борьбы противоположностей".. Х) |
