Dateiformatspezifische und statistische Verschlüsselungstests
Teil der Erweiterung des Datei-Überblicks.
Eine forensische Lizenz erlaubt es, optional dateiformatspezifische und statistische Verschlüsselungstests durchzuführen. Mit einem Entropietest werden alle existierenden Dateien, die mind. 256 Byte groß sind, darauf geprüft, ob sie möglicherweise vollverschlüsselt sind. Wenn der Test positiv ist (die Entropie einen bestimmten Schwellwert überschreitet), wird die betreffende Datei mit dem Hinweis "e?" in der Attributsspalte versehen, um anzuzeigen, daß sie möglicherweise besondere Aufmerksamkeit verdient. Typisches Beispiel: Verschlüsselte Container-Dateien, die von Verschlüsselungsprogrammen wie TrueCrypt, PGP Desktop, BestCrypt oder DriveCrypt als Laufwerksbuchstabe geladen werden können. Der Entropietest wird nicht angewandt auf Dateien vom Typ ZIP, RAR, TAR, GZ, BZ, 7Z, ARJ, CAB, JPG, PNG, GIF, TIF, MPG oder SWF, von denen bekannt ist, daß sie intern komprimiert sind und damit eine ähnlich hohe Entropie aufweisen wie Zufallsdaten und verschlüsselte Daten. Dieser Test wird nicht benötigt, um festzustellen, daß Dateien auf NTFS-Dateisystemebene oder innerhalb von Archiven verschlüsselt sind. Der zweite Test prüft Dateien mit den Endungen/Typen .doc (MS Word 4...2003), .xls (MS Excel 2...2003), .ppt, .pps (MS PowerPoint 97-2003), .mpp (MS Project 98-2003), .pst (MS Outlook), .docx (MS Word 2007...2010), .xlsx (MS Excel 2007...2010), .pptx, .ppsx (MS PowerPointer 2007-2010), .odt (OpenOffice2 Writer), .ods (OpenOffice2 Calc) und .pdf (Adobe Acrobat) auf dateiformatspezifische Verschlüsselung, MS-Office-Dokumente auch auf Schutz durch angewandtes digitales Rechtemanagement (DRM). Wenn der Befund positiv ist, werden diese Dateien mit dem Hinweis "e!" in der Attributspalte versehen. Dieser Test erfordert, daß die separate Viewer-Komponente aktiv ist.
Zusätzlich detektiert der Verschlüsselungstest mit eCryptfs (dem Enterprise Cryptographic File System für Linux in den Implementationen für Ubuntu 8.10, 9.04, 9.10 und 10.04). Solche Dateien werden in der Attributspalte mit "E" gekennzeichnet, genau wie EFS-verschlüsselte Dateien in NTFS.