tcsandd TrueCrypt搜索和解密

TrueCrypt搜索和解密我为2013 DC3 Forensic Challenge开发了这个python脚本/工具。它将搜索文件夹或驱动器中的TC加密文件，然后尝试对其进行解密。我使用了以下资源中的一些源代码：上面的代码被重写以支持TrueCrypt版本7，添加了密钥文件支持。该工具在搜索TC卷方面非常快。搜索逻辑如下： a．可疑文件大小模512必须等于零。湾可疑文件大小至少为256kB（这是标头+备份标头的大小） c.可疑文件不得包含公共文件头。 d.可疑文件的熵大于7.6。搜索实际上是在寻找加密文件，因为在提供正确的密码之前无法判断文件是否为TC卷。因此，它可用于查找其他加密文件，如FreeOTFE。根据这些规则，搜索将找到任何可能的加密文件，而不仅仅是TC。不解密就不可能证明文件实际上是TC卷。