Einfache Möglichkeit zur Erkennung von Verschlüsselung
Gibt es eine einfache und schnelle Methode zur Erkennung verschlüsselter Dateien? Ich hörte enthropy Berechnung, aber wenn ich es berechnen für jede Datei auf einem Laufwerk, wird es Tage dauern, um zu erkennen Verschlüsselung.
Ist es möglich, sagen Sie, berechnen Sie einen Wert für die ersten 100 bytes oder 1024 bytes und dann entscheiden? Wer hat Quellen?
Können Sie uns mehr darüber erzählen, was du versuchst zu erreichen?
Gehen Sie durch das gesamte Laufwerk und finden Sie verdächtige Dateien, die Aussehen wie verschlüsselt. Erzählen Sie einem Benutzer Speicherort dieser Dateien. Dann kann der Benutzer entscheiden, was zu tun ist, z.B. verwenden einige Drittanbieter-software zu entschlüsseln.
Gehen Sie durch das gesamte Laufwerk und finden Sie verdächtige Dateien, die Aussehen wie verschlüsselt. Erzählen Sie einem Benutzer Speicherort dieser Dateien. Dann kann der Benutzer entscheiden, was zu tun ist, z.B. verwenden einige Drittanbieter-software zu entschlüsseln.
InformationsquelleAutor Alex | 2012-02-25
Du musst angemeldet sein, um einen Kommentar abzugeben.
Ich mit einem cross-Entropie-Berechnung. Berechnen Sie die cross-entropy-Wert für X bytes bei bekannten verschlüsselten Daten (es sollte in der Nähe von 1, unabhängig von der Art der Verschlüsselung, etc) - möchten Sie vielleicht zu vermeiden-Datei Kopf-und Fußzeilen als diese enthalten kann, die nicht-verschlüsselten Datei meta-Daten.
Berechnen Sie die Entropie für eine Datei; wenn es in der Nähe von 1 ist, dann ist es entweder verschlüsselt oder
/dev/random
. Wenn es ganz weit Weg von 1 ist, dann ist es wahrscheinlich nicht verschlüsselt. Ich bin mir sicher, dass Sie sich bewerben könnten, signifance tests, um eine Grundlinie.Sind es etwa 10 Zeilen Perl; ich kann mich nicht erinnern, welche Bibliothek verwendet wird (obwohl dies kann nützlich sein: http://dingo.sbs.arizona.edu/~hammond/ling696f-sp03/addonecross.txt)
InformationsquelleAutor Craig
Konnte man nur ein system erkennt, dass bestimmte Formen der gemeinsamen verschlüsselten Dateien (ex: erkennen, verschlüsselte zip, rar, vim, gpg, ssl, ecryptfs, truecrypt). Jeder Versuch, zu bestimmen, Verschlüsselung auf Basis der raw-Daten schnell in ein Steganographie Diskussion.
"Kampf regelmäßige Verschlüsselung"? Ich dachte, Sie wollte nur das Vorhandensein von verschlüsselten Daten - das ist, was meine Antwort-Adressen.
Es gibt keine solche Sache wie "normale" Verschlüsselung. Außerdem, in der die meisten Formate die Verschlüsselung ist eingebettet in eine Art container-format (CMS, XML-Verschlüsselung oder proprietäre).
Von 'Kampf' ich meine erkennen. Sorry für mein schlechtes Englisch.
Hier
InformationsquelleAutor Thomas M. DuBuisson
Einer der Vorteile der eine gute Verschlüsselung ist, dass Sie entwerfen können, so dass es nicht erkannt werden kann - siehe den Wikipedia-Artikel über leugnenden Verschlüsselung zum Beispiel.
Jeder statistischen Ansatz zur Erkennung der Verschlüsselung wird Ihnen die verschiedenen "falschen Alarmen", wie
die komprimierten Daten oder random suchen von Daten im Allgemeinen.
Vorstellen, ich würde ein Programm schreiben, das gibt zwei Dateien:
file1
mit 1024 bit von π undfile2
ist eine verschlüsselte version desfile1
. Wenn Sie nicht wissen, etwas über den Inhaltfile1
oderfile2
gibt es keine Möglichkeit, Sie zu unterscheiden. In der Tat, es ist ziemlich wahrscheinlich, dass π enthält den Inhaltfile2
irgendwo!EDIT:
Durch die Art und Weise, es ist nicht einmal arbeiten Umgekehrt (erkennen von unverschlüsselten Dateien). Man könnte ein Programm schreiben, das wandelt die verschlüsselten Daten in lesbaren englischen text durch Zuordnung von Worten oder ganzen Sätzen zu bits/bytes.
Auch der Artikel, den Sie verlinkt Staaten "kann eine verschlüsselte oder komprimierte Daten-Datei" (Seite 7). Es gibt keine Möglichkeit zu unterscheiden, komprimiert und verschlüsselt, andere Daten als Analyse bekannt Header/format wie Thomas vorgeschlagen. Ich würde erwarten, dass so viel Fehlalarme, dass eine "Verschlüsselung Erkennung" macht keinen Sinn überhaupt.
Danke, @schnaader
InformationsquelleAutor schnaader