Preveč ste paranoični
Nekateri tukaj si predstavljajo forenzike kot nekakšne bogove
Res je kot je omenil Matthai, da glavo na disku rado malo zanaša sem in tja in zato pušča več zapisov enega zraven drugega po disku.
Najmanj 3 zapise je res brez problema prebrati, več je pa že precej težje.
Mislim, da so trenutno zmožni prebrati približno do 9 zapisov, venda tam od petega naprej dobijo smo še sem in tja kakšen majhen uporaben košček. V vsakem primeru pa potrebuješ zelo zelo drage naprave za prebiranje teh stranskih sledi in tega se bo država lotila, samo v primeru, če ti predstavljaš veliko grožnjo za celotno državo ali pa če si povzročil kakšno več milijonsko škodo.
Druga stvar je, da tudi če bodo prebrali večino diska bodo podatki precej neuporabni, če jim ne bo uspelo rešiti MFT tabele. Ena sama datoteka, sploh če je malo daljša je ponavadi razdeljena na precej delov in razmetana po celem disku. Čim bolj je disk fragmentiran bolj je vse skupaj kaotično in brez smisla. Brez MFT tabele tudi najboljši forenzik ne bo kaj dosti uporabnega potegnil iz diska.
Potem je važen format. Vsak format čisto po svoje organizira snemanje podatkov na diske, nekateri formati sploh ne potrebujejo defragmentacije, nekatere pa je treba defragmentirati vsak dan, drugače hitrost takoj opazno pade.
Da sploh ne omenjam, da ima lahko vsak disk drugačno razporeditev in velikost clustrov in sektorjev.
Če pri kakšnem od FAT formatov nekaj mesecev ne narediš defragmentacije še sam sistem komajda najde prave podatke kljub narančni MFT tabeli, kako bi potem forenzik kaj uspel dobiti iz takega diska, če se slučajno MFT tabela nepopravljivo pokvari.
MrStein pa očitno ni prebral, da sem priporočil, da se iz diska ODSTRANI PARTICIJA, kar pomeni, da na takem disku ni več formata podatkov.
Na takem disku ne moreš več govoriti, da so na njem naključni podatki. Dejansko so na njem samo ničle ali pa enke, enako kot takrat ko pride iz tovarne. Ker na disku ni particije in formata dejansko sploh ne moreš videti kaj je na disku, ne moreš videti tudi tistih naključnih podatkov.
Na takem disku obstaja dejansko samo en sektor (zagonski), do katerega se lahko dostopa in ta vsebuje navidez popolnoma naključna števila. Ves ostali disk je popolnoma nedostopen in neuporabne, ker sploh nima particije in formata.
Za tak disk tudi najboljši forenzik na svetu ne more dokazati, da je sploh kaj na njemu.
Tako se da šifrirati samo nesistemski disk.
Tak disk postane uporaben šele, ko ti iz sistema zaženeš TrueCrypt, ki preko vtipkanega passworda poskuša dešifrirati zagonski sektor drugega diska.
Zanimivo je, da niti TrueCrypt sam ne more vedeti ali je na disku kaj šifriranega ali ne. Če pasword ni pravi se ne zgodi nič in neben forenzik z TrueCryptom ali pa z katerimkoli drugim orodjem ne more vedeti ali je šlo samo za napačen password ali pa na disku dejansko ni ničesar.
Treba je vedeti, da tudi TrueCrypt nikoli ne ve ali je password pravi ali ne. On vedno proba dešifrirati karkoli mu ponudimo z tistim passwordom, ki ga utipkamo. Zato se pri TrueCryptu lahko sicer predvideva, da gre za šifrirane diske ali kontejnerje nikoli pa se ne da nič dokazati.
Tudi kontejnerji ne vsebujejo nobenega headerja. Tako, da se celo za kontejnerje ne more nikakor dokazati, da gre za karkoli šifriranega. Se pa seveda precej lahko ugiba, da so datoteke brez headerja kriptirani kontejnerji, ker kaj drugega skoraj ne morejo biti
Edino kjer se vidi, da gre resnično za šifriran disk je šifriran sistemski disk, ker ta pač sam vpraša za password ob zagonu, ker se TrueCrypr naloži v zagonski sektor diska. Ampak tudi tam lahko uporabiš en poassword za vabo, drugi pa za pravi sistem.
In še nekaj za MrSteina, ko odpreš sistem za vabo se odpre celoten disk in ne samo en del, ki bi dal slutiti, da se nekje še kaj skriva. Sistem za vabo ima precej praznega prostora po katerem lahko normalmo pišeš brez omejitev. Nobenih naključnih podatkov ni nikjer. Je popolnoma prazen prostor na voljo da počneš karkoli se ti zljubi. Seveda če boš pisal po tem praznem prostoru boš prepisal prostor namenjen skritemu sistemu, ki bo tako uničen. Enako je pri skritih kontejnerjih znotraj kontejnerja. Tako daleč so šli zato, da se skritega sistema nikakor in na noben način ne da dokazati, ker takrat dejansko ne obstaja. Ga pa zato lahko mimogrede uničiš, zato tisti del za vabo nikakor ni namenjen uporabi ampak samo za vabo v kritičnih trenutkih preiskave računalnika.
Če pa se vrnem k prej omenjenem neformatiranem disku brez particije pa se šele če na njegoven navidez nesmiselnem zagonskem sektorju uporabiš pravi password naredi v RAMU zagonski sektor diska, ki šele takrat pove, kakšna particija je na disku in kako je disk sploh formatiran. Šele takrat se sploh da dostopati do takega diska vendar samo iz tistega sistema, ki v RAMu vsebuje osnovne podatke o disku.
Če do diska poskusiš dostopati izven sistema ali preko mreže, je disk še vedno popolnoma prazen in brez formata.
Vse se dogaja v RAMU, sam disk pa dejansko za vedno ostane brez particije in formata.
