Reprise du message précédent :
De toute façon pour ne vraiment laisser aucune trace, il faut tout chiffer (OS compris, qui peut être windows dans le cas de TC).

 
Que si !!!
Suffit de double cliquer dessus comme pour modifier la valeur binaire, il est écrit " Truecrypt/[ Lettre de lecteur ] "
Après dans " données " j'aimerais bien savoir à quoi correspondent les très longs nombres en hexa
 
Je peux pas crypter l'OS personellement
 
 
 

En effet, j'ai trouvé deux références dans le contenu des clefs.
les deux clefs ont pour nom:
#{38be6982-dbd3-11df-a61c-00190e00a4fe}
et
\??\Volume{7faf3f8a-2f62-11df-8712-00190e00a4fe}
 
Et à chaque fois le contenu est:
TrueCryptVolumeV
Et je n'ai pas monté de conteneur à la lettre V:
 
Quand à la lettre de lecteur que j'utilise pour TC sont contenu est en rapport avec un lecteur SCSI et rien sur TC.
 
Donc en effet une trace que TC est ou a été utilisé sur le PC mais j'ai rien d'autre (je suis sous W7).

Windows log le montage de volume mais ne peut pas savoir de quel fichier ça vient.
En claire un attaquant peut savoir qu'un volume TC a été monté mais rien ne prouve que ce volume est présent sur le poste.
 
On avait déjà eu ce débat si mes souvenirs sont bon.
 
@limdul De retour de la maternité avec un petit conteneur chiffré qu'on m'a livré sans les clés de déchiffrement je vois qu'on a pas chaumé. Belle explication pour soa, j'aurais pas fait mieux

Cacher un container TC dans une vidéo, c'est détéctable avec TCHunt?

 
Faut tester, mais ça va pas tarder vu que TCHUNT vient de passer en licence libre ! https://github.com/16s/TCHunt

La réponse est non pour TCHUNT pour l'instant...

Plutôt pas mal
"Dommage" qu'il passe libre Enfin on verra ce que ça donnera mais je trouvais ça plutôt pas mal comme méthode

 
Si quqlun a les pages alors merci
 
ps ; l'attaquant peut savoir quoi du volume en question ? taille ? etc...

En effet, de mémoire je ne sais plus si nous avions parlé des traces dans le registre mais notre cher Artiflo avais fait un article pour montrer que l'on peut détecter que des fichiers sont des conteneur TC (car un fichier conteneur à une taille qui est un multiple d'un nombre précis (la longueur de la clef si je me trompe pas)).
 
Mais pour ce qui est des autres traces je ne sais plus.

Pour le moment non c'est de la stéganographie, et ce serai très difficile de le détecter.
Car d'un point de vue "extérieur" qu'est-ce qui peut différencier des octets "pseudo-aléatoires" d'une vidéo de ceux d'un conteneur TC ?
Alors certes ce n'est pas une "vraie" stéganographie faite par modification des bit de poids faible, le conteneur est ajouté dans le fichier qui grossi d'autant.
Mais pour le détecter en dehors de calculer le bitrate pour voir s'il correspond à la réalité il faudrait faire passer "de force" l'ensemble du fichier dans un ou plusieurs codec pour que quand le flux arrive au conteneur TC la vidéo "disparaisse"

 
Ben rien a part que TC a fait monter un volume avec une lettre.
 

 
Tout à fait Windows n'apportera pas beaucoup d'information. Car tout ce que Windows indique c'est qu'un disque X à été monté un jour par TC et c'est tout. C'est TC qui fait le lien entre le disque monter sous Windows et le fichier/partition conteneur. Et bien évidement cette information n'est pas logger.
La partie montage fonctionne un peut comme Daemon tools sauf que ce n'est pas un lecteur mais un disque qui est monté.

En fait si, TC laisse en effet pas mal de traces dans le registre de windows.
Avec RegScanner je trouve 75 éléments sur une recherche de "truecrypt"
 
Par contre pas de lien apparent entre une lettre de lecteur et un éventuel fichier (dsl je ne parle pas l'hexadécimal couramment ^^)
Juste quelques "références" à truecrypt, mais je ne trouve rien tant sur les lettres de lecteurs utilisées par TC que sur les fichiers.

"L'espace est tjs dispo. Si tu l'utilise, tu écrases le volume caché.
Donc, oui/"
 
Y a pas une façon moins "bidouille" pour supprimer un volume caché dans un autre volume?
car impossible de supprimer le fichier .tc sans supprimer les 2 volumes en mm tps, non?

Non, pas a ma connaissance.
Tu peut éventuellement changer le MDP du volume caché par un MDP aléatoire que tu oubliera aussi-tôt si tu ne veut pas accéder aux données, ou utiliser un éditeur héxa pour modifier les octets de l'entête du volume caché pour le corrompre (Artiflo pourra probablement nous en dire plus), ou encore remplir totalement le volume normal pour écraser le volume caché.
 
Et non, impossible de supprimer le conteneur sans supprimer son contenu, qu'il soi fait d'un seul conteneur ou qu'il ait en plus un caché.

D'ac. Merci!
 
Du coup, j'ai carrément effacer le fichier .tc (ex==et donc le volume externe et caché) et ai repris la manoeuvre du début!

pour écraser le volume caché c'est simple, avec ccleaner
 
- monter le volume normal sans la protection empéchant d'écraser le volume caché
- lancer ccleaner -> outils -> effaceur de disque -> seulement l'espace libre -> 1 passe (ou plus pour les paranos)
- sélectionner le lecteur correspondant au volume normal monté, lancer la procédure qui va remplir l'espace libre d'infos et donc écraser le volume caché et voilà c'est fait.
 
le volume caché sera toujours là mais rempli d'infos incohérentes donc c'est comme si il n'était plus là.

Il fait peur ton canard

donc pour résumer
on peut aisément savoir qu'il a été utilisé, mais pas de quelle façon ; taille du volume, date etc...
 

le canard dangereux sur hfr est dans ma signature.

 
Je pense que c'est inévitable à partir du moment où TC fait un montage. Ou alors il faudrait qu'il bidouille la base de registre à chaque démontage.

Bah OSEF
 
Pas besoin d'etre sorti de Supelec pour débrancher le hdd et démarrer avec un LiveCD
 
Merci quand meme

Mon nouveau PC a un CPU qui gère l'AES en matériel
 

 
C'est cool

1 GB par seconde ? faut vraiment avoir une grosse collection de pédo-pornographie pour avoir besoin d'une telle vitesse

C'est pour ma clé USB, j'ai plein d'appli portables dont un firefox qui contient tous mes favoris et autres users et passwords
COmme je la trimballe sur pleins de postes en clientele, j'ai envie que ça reste confidentiel...
 
Vous pensez qu'écrire dans un gros fichier sera plus rapide qu'écrire dans plein de petits ?

un gros fichier de 1 giga sera plus rapide à écrire que 1000 fichiers de 1 mega j'en suis sûr

1Mo c'est déjà relativement gros, les clés USB luttent surtout sur les très petits fichiers (ce qui est normal si on connaît le fonctionnement de la NAND). D'ailleurs ce n'est pas qu'une question de vitesse mais aussi d'usure, mieux vaut de grosses écritures.

TC sera limité par les performances de ta clef usb.
Donc autant prendre un gros conteneur plutôt que plein de petit.
Cela est aussi plus "ergonomique/facile d'usage"

ma config portableapps semble se charger bien plus vite dans mon conteneur de 3Go
ma clé rame quand il faut lire tout plein de petits fichier

Drap

est-ce qu'il y a un moyen de changer la taille d'un container tc ? où il faut le recréer ?

 
Pas à ma connaissance. Go recréer.

Super le commentaire... PEBKAC parce qu'il utilisais Windows alors? Le fait qu'il n'est pas fait de sauvegarde n'explique pas la disparation du fichier.

On peut pas accusé tel ou tel appli mais on peut se foutre de la gueule du pov gars qui à perdu son archive sans savoir pourquoi. Hem.

Bonne solution mais dans le cas ou tu as déplacé des fichiers, il va les (re) copier dans le nouvel emplacement sans les effacer du précédent... Logique mais bon, chiant!

Question (désolé si déjà posé!) : Le MBR de TrueCrypt prend toute la place dispo pour MBR? J'explique : Sur portable, mon MBR est coupé en deux : D'abord j'ai installé Windows 7 (son MBR prend toute la place) et ensuite "NetbookInstaller" (servant à booter OSX sur PC) qui ne prend qu'une partie de l'espace dispo pour MBR, donc il n'éfface pas celui de Windows 7. Désolé si c'est pas clair mais c'est difficile à expliquer...

a chaque montage, mon container truecrypt sur ma clé USB est détecté comme un volume contenant des erreurs car mal fermé ou un truc du genre... du coup scandisk (chkdsk) etc...
faut faire quoi pour pas avoir de soucis ?

Nope. Robocopy en mode miroir fait un miroir de la destination par rapport à la source. Il synchronise si tu préfères. Mais il sait faire bien d'autres choses. Mais dans ce cas précis, clairement, il copie les fichiers dans le nouvel emplacement et supprime les anciens.
 
C'est pour ça que j'ai adopté ce logiciel, même et surtout en dehors de truecrypt.

Enfin ça je suis pas sûr que d'autres logiciels de backup fassent différemment, question intéressante d'ailleurs. Perso j'utilise syncbackpro et j'ai le même soucis, du coup quand je fais du classement sur de gros fichiers, je branche le backup et je le fais sur les 2 en même temps.

J'utilise BCompare, vraiment pas mal...

pour les fichiers texte c'est pas mal également

Clairement avec Robocopy c'est inutile.