¿La edición de un archivo de Word desde un volumen de Truecrypt montado dejará algún rastro en la computadora host?

7

He escuchado que incluso si tiene un documento de Word cifrado (solo con las herramientas de cifrado de Word integradas) y lo está editando, aún puede dejar restos de un archivo en la computadora local, ya sea en archivos ocultos o caché en alguna parte. No estoy seguro de si eso es cierto o no, solo algo que creí haber escuchado en alguna parte.

Entonces, mi pregunta es, cuando edito documentos, como un archivo de Word, de un volumen de Truecrypt montado, ¿deja algún caché o "residuo" en esa computadora dando información sobre el documento?

    
pregunta hwp08 06.01.2012 - 15:25
fuente

4 respuestas

7

Como puede ver aquí , la respuesta correcta es "a veces", pero dado que cuenta que su documento es privado, no debería No asumas que el comportamiento de Word es seguro.

Si realmente desea proteger sus documentos encriptados, debe usar el cifrado completo del disco porque hay demasiados casos en los que su sistema operativo / aplicaciones almacenará datos en el disco (intercambio, archivos temporales, nombre de archivo en El registro como documentos recientes, hibernación ...).

    
respondido por el Shadok 06.01.2012 - 15:56
fuente
2

Este es un tema muy antiguo, pero pensé que iba a lanzar mis dos centavos, dos centavos basados en la experimentación directa.

Word como una aplicación (solo una de muchas) puede y puede dejar rastros de documentos editados en los que trabaja desde un volumen de TrueTrypt o Veracrypt. Después de trabajar en un documento de Word durante muchas semanas directamente desde un contenedor de archivos seguro en Veracrypt, usé una herramienta llamada "Recuva" para buscar archivos eliminados en mi disco C: y buscar cadenas de texto que sabía que eran exclusivas del documento I habia estado trabajando en

Recuva encontró un fragmento de archivo en "mal estado" que fue "sobrescrito" por un archivo de registro en Windows / Sistema: el nombre exacto y los detalles no son importantes.

Hice una recuperación de archivos e inspeccioné el contenido. Estaba lleno de fragmentos de otros archivos, pero dentro del archivo restaurado contenía grandes fragmentos del documento en el que había estado trabajando.

Ahora, hay muchas razones posibles para esto. Lo más importante es que, según mi conocimiento, nunca quité el archivo del volumen cifrado, nunca lo guardé localmente. Mi mejor conjetura es que fue una recuperación automática que se eliminó de la unidad C: después de guardar y cerrar con éxito. Pero las razones exactas no son tan importantes como el mero hecho de que trabajar en documentos de cualquier tipo desde un volumen montado de truecrypt / veracrypt puede dejar rastros de sí mismos a través del mecanismo que el software particular utilice para almacenar en caché, guardar copias o recuperarse fuera del entorno. volumen montado Como decía el póster anterior, su MEJOR apuesta es el cifrado total del disco.

    
respondido por el Jodi Mableton 29.08.2017 - 00:49
fuente
1

Sí, MS Word crea varias copias temporales y enlaces a archivos. Nunca asuma que cualquier aplicación no va a filtrar al menos algo de información a través de cosas tan accidentales. Pero cuando se trata de ventanas, también ha utilizado recientemente listas de documentos y similares.

    
respondido por el ewanm89 06.01.2012 - 16:03
fuente
1

Es fácil probar su sistema para ver si algo se quedó atrás, podría abrir el archivo de Word desde el disco cifrado, y creo que es mucho mejor que tomar la palabra de alguien.

Modifique el archivo en la unidad encriptada y luego haga una búsqueda en los archivos para cualquier texto dentro del archivo. Lo ideal sería utilizar grep para realizar la búsqueda en archivos, que es seguro para archivos binarios.

El BTK Killer fue capturado por inspeccionando los metadatos de un archivo de palabras . Aunque eso es lo contrario de lo que pediste.

    
respondido por el rook 06.01.2012 - 18:56
fuente

Lea otras preguntas en las etiquetas