Veracrypt Container aufspüren mit VC Hunter

Ich habe nun schon länger nichts mehr von mir hören lassen. Dies liegt vor allem an meinem Fernstudium, welches den Großteil meiner verbleibenden Freizeit vereinnahmt. Hier möchte ich jedoch auf ein Projekt aufmerksam machen, für das ich als eine Art „Beta-Tester“ habe herhalten dürfen.

Um vertrauliche oder intime Daten vor den Augen neugieriger Dritter zu schützen, empfiehlt sich die Verwendung einer Verschlüsselungssoftware wie VeraCrypt. Die Software verschlüsselt wahlweise komplette Laufwerke oder erstellt Container in fast beliebiger Größe, welche sich bei Bedarf unter Eingabe des korrekten Passworts als virtuelles Laufwerk einbinden lassen.

Dass sich mit einem solchen Werkzeug auch illegale Inhalte verstecken lassen, liegt auf der Hand. Für Ermittler oder Forensiker gilt es daher nachzuweisen, ob überhaut verschlüsselte Container vorhanden sind.

Mein geschätzter Kollege Denny Mleinek stellte mir freundlicherweise eine frühe Version seines Tools „VC Hunter“ zur Verfügung. Damit ist es recht unkompliziert möglich, bestimmte Ordner oder auch ganze Laufwerke nach Veracrypt oder Truecrypt Containern zu durchsuchen.

Einen sehr ähnlichen Ansatz verfolgte bereits die Freeware „TCHunt“. Diese wird aber seit geraumer Zeit nicht mehr gepflegt und ist nur auf Windows XP lauffähig.

Um das Tool zu testen, erstellte ich erst einmal mit Veracrypt einen verschlüsselten Container. Diesen lagerte ich auf meinem Medien-NAS ein und gab ihm die Erweiterung .mkv (Für gewöhnlich haben die Container keine Dateiendung). Eine anschließende Suche mit dem Tool spuckte als einziges Ergebnis die umbenannte Datei aus.

Das Bild stammt noch aus einer früheren Version

Für einen weiteren Versuch, versteckte ich den Container als .dll-Datei getarnt im Windows Ordner. Das Umbenennen hat auf die Datei selbst natürlich keinen Einfluss, es geht eher darum, für etwas Verwirrung zu sorgen. Mit dem Tool untersuchte ich anschließend die gesamte C-Partition.

Hier sieht das Ergebnis schon etwas anders aus. Von 245604 untersuchten Dateien, tauchen 8 in der Liste des Programms auf. Die falsche DLL Datei befindet sich natürlich auch in dieser Liste. Bei den anderen Treffern handelt es sich um Dateien, welche eine ähnliche Art der Komprimierung (und damit einen ähnlichen Entropiewert) aufweisen. Hier muss die Liste noch im Ausschlussverfahren händisch gefiltert werden. Die System-eigenen Dateien weisen z.B. sehr ähnliche Header-Blöcke auf. Im Laufe meines Test-Zeitraums hat sich hier übrigens schon einiges getan. In einer früheren Version wurden bei dieser Suche noch 142 Dateien angezeigt.

Wird die Signatur-Prüfung aktiviert, taucht sogar nur noch ein „False-Positive“ Ergebnis auf.

Denny ist mit seiner aktuellen Version des Tools nun übrigens auch auf Github zu finden: https://github.com/der-den/vc_hunter … womit ich nun meinen Exklusivstatus als Beta-Tester verloren habe 😉

Das Programm wird nach der Fertigstellung auch auf auf d-forensik.de kostenfrei zu beziehen sein.

Die Möglichkeit, mit einem Klick gezielt nach Veracrypt und Truecrypt Containern zu suchen, dürfte eine willkommene Erleichterung bei der täglichen Arbeit mit sichergestellten Datenträgern darstellen. Gedacht ist das Tool dabei hauptsächlich für die Live-Untersuchung im ersten Angriff um festzustellen, ob überhaupt Veracrypt-Container vorhanden sind. Ist dies der Fall, kann versucht werden, volatile Daten wie zwischengespeicherte Passwörter aus dem Arbeitsspeicher zu lesen.

(Veracrypt-Logo im Titel: Copyright by IDRIX)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

1 + 9 =