AF-3DFB-D4 · Disk
Gizli Oda
Gizli VeraCrypt birimi + USN journal wipe + diskte saklı RAM imajı (anahtarı içerir). Çapraz-artefakt.
Senaryo
Diskte gizli bir VeraCrypt birimi var; parola diskteki bir dosyada değil, saklı bir bellek dump'ında. Önce RAM imajını çıkar, anahtarı bellekten kurtar, birimi mount et, içeriği al. USN journal silinmiş. Bir metin dosyasında makul ama yanlış bir 'parola' var.
Anti-forensics teknikleri
- Gizli VeraCrypt birimi (deniability)
- USN Journal ($J) wipe
- İmaj-içinde-RAM (diskte bellek dump'ı)
- Bellekten anahtar kurtarma
Sağlanan artefaktlar
- Disk imajı (E01), içinde bir RAM dump dosyası
Örnek sorular
- Gizli birimin parolası bellekten nasıl kurtarıldı, nedir?
- Birim içindeki dosyaların listesi ve hash'leri?
- USN journal silinmiş; silmeyi başka hangi artefakt kanıtlar?
Soundness tuzağı
Metin dosyasındaki sahte parolayı 'çözüm' diye sunmak başarısızlıktır; birimi açmaz.
Puanlama
Çapraz-artefakt zincir + anahtar kurtarma + sahte-parola direnci.
Artefakt yakında. Bu vakanın indirilebilir artefaktı enstrümante-VM hattımızla üretiliyor ve F0 pilotuyla yayınlanıyor.