Haciendo contenedores indeterminables dentro del sistema de archivos existente

2

Supongamos que tengo 1 partición de disco (anteriormente llena de datos aleatorios) y creo un sistema de archivos en ella (NTFS, FAT, EXT2, etc.). Voy a guardar algunos archivos aquí (es decir, archivos visibles).

Luego creo unos cuantos dispositivos de loobpack con diferentes desplazamientos y hago algunos sistemas de archivos en ellos.

La pregunta es: ¿puede un observador determinar que estos contenedores ocultos existen por la presencia de los metarchivos / información del sistema del sistema de archivos original?

He leído:

  • FAT mantiene los datos del sistema al principio y al final de la partición,
  • NTFS mantiene los datos del sistema al principio y MFT se refleja en el centro de la partición.
  • EXT2 mantiene los superbloques en cada grupo de bloques, y hay muchos de ellos en el disco.

Cuando lleno los dispositivos de bucle invertido ocultos con algunos datos, se pueden borrar los metadatos del sistema de archivos externo, ¿no? Como en el caso de NTFS MFT espejo en el medio de la partición puede ser borrado. En el caso de los superbloques EXT2 pueden ser eliminados. Y esto parecerá sospechoso.

¿Cómo podemos evitarlo?

    
pregunta onetuser 13.05.2013 - 13:08
fuente

1 respuesta

4

Los datos en el disco duro tienen estructura . Eso es un problema para ti:

  • Si sus contenedores ocultos no usan encriptación, al inspeccionar directamente el contenido de la partición se mostrarán sus archivos ocultos. Dicha inspección es habitual en el análisis forense, aunque solo sea para recuperar partes de archivos antiguos que se han eliminado.

  • Si sus contenedores ocultos utilizan cifrado, entonces los sectores correspondientes parecerán aleatorios, y esto será sospechoso, porque los sistemas de archivos "normales" no almacenan datos aleatorios en sectores no utilizados. La inspección de contenido de la partición espera encontrar algunas partes antiguas del archivo con una estructura detectable, y su contenedor se mostrará como una anomalía estadística.

Los "volúmenes ocultos" de TrueCrypt resuelven ese problema aplicándose a un volumen que utiliza TrueCrypt explícitamente, que aplica el cifrado en Toda la partición. Esto permite que el volumen oculto desaparezca en el fondo aleatorio.

En cuanto a su pregunta específica, este es un problema de asignación. Si nunca modifica el sistema de archivos externo, entonces podría hacer lo siguiente:

  1. Crea una secuencia de 512 bytes aleatorios.

  2. Rellene la partición de destino con copias de esa secuencia.

  3. Crea el sistema de archivos "visible" y coloca tus pocos archivos ficticios.

  4. Desmonte el sistema de archivos visible y vuelva a escanear la partición: cada sector de 512 bytes que aún contiene su secuencia aleatoria está "intacto". Puedes usar estos sectores para tu contenedor oculto. Todo lo que necesita hacer es encontrar las secuencias contiguas más largas de sectores intactos y montarlos como loopback.

Por supuesto, como el sistema de archivos externo desconoce por completo el uso incorrecto de bucle de retorno, cualquier modificación de ese sistema de archivos externo puede usar algunos de sus sectores: desde su punto de vista, estos sectores son para su contenedor oculto, pero desde el punto de vista. en vista del sistema de archivos externo, son gratuitos, y eso es por diseño . Sus contenedores ocultos están "ocultos" solo porque nada en el sistema de archivos externo los conoce.

(Pero esto todavía no resuelve los problemas con el análisis estadístico, como se explicó anteriormente)

    
respondido por el Tom Leek 13.05.2013 - 19:45
fuente

Lea otras preguntas en las etiquetas