Einfache Möglichkeit zur Erkennung von Verschlüsselung

Gibt es eine einfache und schnelle Methode zur Erkennung verschlüsselter Dateien? Ich hörte enthropy Berechnung, aber wenn ich es berechnen für jede Datei auf einem Laufwerk, wird es Tage dauern, um zu erkennen Verschlüsselung.

Ist es möglich, sagen Sie, berechnen Sie einen Wert für die ersten 100 bytes oder 1024 bytes und dann entscheiden? Wer hat Quellen?

Können Sie uns mehr darüber erzählen, was du versuchst zu erreichen?
Gehen Sie durch das gesamte Laufwerk und finden Sie verdächtige Dateien, die Aussehen wie verschlüsselt. Erzählen Sie einem Benutzer Speicherort dieser Dateien. Dann kann der Benutzer entscheiden, was zu tun ist, z.B. verwenden einige Drittanbieter-software zu entschlüsseln.

InformationsquelleAutor Alex | 2012-02-25

  1. 3

    Ich mit einem cross-Entropie-Berechnung. Berechnen Sie die cross-entropy-Wert für X bytes bei bekannten verschlüsselten Daten (es sollte in der Nähe von 1, unabhängig von der Art der Verschlüsselung, etc) - möchten Sie vielleicht zu vermeiden-Datei Kopf-und Fußzeilen als diese enthalten kann, die nicht-verschlüsselten Datei meta-Daten.

    Berechnen Sie die Entropie für eine Datei; wenn es in der Nähe von 1 ist, dann ist es entweder verschlüsselt oder /dev/random. Wenn es ganz weit Weg von 1 ist, dann ist es wahrscheinlich nicht verschlüsselt. Ich bin mir sicher, dass Sie sich bewerben könnten, signifance tests, um eine Grundlinie.

    Sind es etwa 10 Zeilen Perl; ich kann mich nicht erinnern, welche Bibliothek verwendet wird (obwohl dies kann nützlich sein: http://dingo.sbs.arizona.edu/~hammond/ling696f-sp03/addonecross.txt)

    Dies ist ein Thema und die meisten richtige Antwort. Interessant wäre zu wissen, wie die cross-entropy Verhalten würde auf komprimierte Daten (zip, mp3, mkv) und wie würde es sich Verhalten, die nur auf den Header (wie OP vorgeschlagen sagen 1kB header) - meine Vermutung ist, dass die Entropie wird weit von 1 für solche überschriften, die wäre genug, zu erkennen, Verschlüsselung, ohne sich in die Datei-format-Erkennung.

    InformationsquelleAutor Craig

  2. 2

    Konnte man nur ein system erkennt, dass bestimmte Formen der gemeinsamen verschlüsselten Dateien (ex: erkennen, verschlüsselte zip, rar, vim, gpg, ssl, ecryptfs, truecrypt). Jeder Versuch, zu bestimmen, Verschlüsselung auf Basis der raw-Daten schnell in ein Steganographie Diskussion.

    Sie sind richtig über Steganographie. Aber deine vorgeschlagene Ansatz wird nicht kämpfen. Also, zu klären, erste Frage: wenn wir überspringen Steganographie Frage und nur kämpfen reguläre Verschlüsselung, was ist der beste Ansatz?
    "Kampf regelmäßige Verschlüsselung"? Ich dachte, Sie wollte nur das Vorhandensein von verschlüsselten Daten - das ist, was meine Antwort-Adressen.
    Es gibt keine solche Sache wie "normale" Verschlüsselung. Außerdem, in der die meisten Formate die Verschlüsselung ist eingebettet in eine Art container-format (CMS, XML-Verschlüsselung oder proprietäre).
    Von 'Kampf' ich meine erkennen. Sorry für mein schlechtes Englisch.
    Hier utica.edu/academic/institutes/ecii/publications/articles/..., sehe ich einige statistische Methode zur Erkennung von Verschlüsselung, aber es basiert auf die ganze Datei Berechnung

    InformationsquelleAutor Thomas M. DuBuisson

  3. 1

    Einer der Vorteile der eine gute Verschlüsselung ist, dass Sie entwerfen können, so dass es nicht erkannt werden kann - siehe den Wikipedia-Artikel über leugnenden Verschlüsselung zum Beispiel.

    Jeder statistischen Ansatz zur Erkennung der Verschlüsselung wird Ihnen die verschiedenen "falschen Alarmen", wie
    die komprimierten Daten oder random suchen von Daten im Allgemeinen.

    Vorstellen, ich würde ein Programm schreiben, das gibt zwei Dateien: file1 mit 1024 bit von π und file2 ist eine verschlüsselte version des file1. Wenn Sie nicht wissen, etwas über den Inhalt file1 oder file2 gibt es keine Möglichkeit, Sie zu unterscheiden. In der Tat, es ist ziemlich wahrscheinlich, dass π enthält den Inhalt file2 irgendwo!

    EDIT:

    Durch die Art und Weise, es ist nicht einmal arbeiten Umgekehrt (erkennen von unverschlüsselten Dateien). Man könnte ein Programm schreiben, das wandelt die verschlüsselten Daten in lesbaren englischen text durch Zuordnung von Worten oder ganzen Sätzen zu bits/bytes.

    Natürlich, es gibt keine silberne Kugel. Aber wie viel von Fehlalarmen, die Sie erwarten, im Vergleich zu true positives", als ein Ansatz aus dem Artikel, erwähnt in dem Kommentar auf die erste Antwort?
    Auch der Artikel, den Sie verlinkt Staaten "kann eine verschlüsselte oder komprimierte Daten-Datei" (Seite 7). Es gibt keine Möglichkeit zu unterscheiden, komprimiert und verschlüsselt, andere Daten als Analyse bekannt Header/format wie Thomas vorgeschlagen. Ich würde erwarten, dass so viel Fehlalarme, dass eine "Verschlüsselung Erkennung" macht keinen Sinn überhaupt.
    Danke, @schnaader

    InformationsquelleAutor schnaader

Schreibe einen Kommentar