@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

暗号化されたファイルを検出するには?

広島のセキュリティもじみの宴会でも似たようなことを話題にしていたかもしれませんが、暗号化されたデータを持つファイルを検出する良い方法ってあるもんでしょうかね?
例えば、電子メールに添付されているファイルのうち、暗号化されたデータ部分を持つファイルなどを探し出したいとかいう場合に手軽に使えるツールとかないかなぁと考えています。
とはいえ、最近の暗号化製品には実行ファイル形式(ひらたくいえば拡張子がEXE)でファイルを暗号化し、通信相手がアプリケーションを持っていなくても復号できる仕組みもあります。
実行形式ファイルの添付されたファイルを探しだすには、拡張性が変更されている可能性もあるので、とりあえずシグネチャ分析などを実施することである程度絞り込めるかもしれませんが、発見されたファイルのうち暗号化したデータを持っていると推測されるファイルを探しだすには、やっぱひとつずつ実行なんすかねぇ〜orz
ランダムなパターンがファイルの何パーセントくらいあるなどで推測するとか、そいう手法で可能なのかよくわかりませんが、なんかいい方法ないのかなぁと。
暗号化された通信を検出するとかって何か方法あるのかなぁ、それと同じ手法がファイルに対しても使えれば便利なんですけどねぇ...