İmajın İçinde İmaj
İNDİRİLEBİLİR ham disk imajı (6 MiB). Diskte görünür bir BACKUP_KEY var ama o sahte (decoy). Gerçek anahtar imaja gömülü bir hiberfil (RAM dump) bölgesindedir; önce onu carve et, sonra diskteki şifreli konteyneri çöz.
Senaryo
Ham disk imajının içine bir hiberfil (bellek dökümü) bölgesi gömülüdür: imajın içinde RAM imajı. Disk üzerinde notes.txt içinde göz alıcı bir BACKUP_KEY durur ama o eski/sahtedir ve şifreli konteyneri AÇMAZ. Gerçek şifreleme anahtarı yalnızca gömülü hiberfil bölgesinde (lsass belleği) bulunur. Çözüm zinciri: gömülü RAM dump'ı carve et, keymat'ı çıkar, imajdaki SHA256-CTR şifreli konteyneri o anahtarla çöz. Tek-artefakt/yüzeysel araçlar görünür decoy anahtara kanar.
Anti-forensics teknikleri
- İç içe artefakt: imaj-içinde-RAM/hiberfil
- Çapraz-artefakt kripto (bellekteki anahtar → diskteki konteyner)
- Görünür sahte anahtar (decoy BACKUP_KEY)
Sağlanan artefaktlar
- Ham disk imajı (6 MiB, gömülü hiberfil + şifreli konteyner)
Örnek sorular
- q1: Gömülü RAM dump'tan kurtarılan gerçek anahtar nedir?
- q2: Konteyner çözülünce çıkan bayrak nedir?
- q3: Gerçek anahtar hangi kaynaktan geldi? (hiberfil/ram)
- trap1: Diskteki görünür BACKUP_KEY'i çözüm diye raporlama.
Soundness tuzağı
Puanlama
İç içe carve + çapraz-artefakt çözüm doğruluğu + görünür-anahtar tuzağı direnci.
İndir ve çöz
Cevap anahtarı gizlidir (puanlı set); bayrak şifrelidir, çözmen gerekir.