情况很复杂。VeraCrypt 卷本身似乎是随机数据 - 它们是加密例程的输出，应该与随机数据无法区分，除非算法或算法实现中存在一些缺陷 - 并且适用于文件中的卷和系统加密.

VeraCrypt 接受密码，然后针对卷的前 512 个字节尝试所有支持的密钥派生函数、所有支持的加密算法和所有支持的密钥长度。如果其中一个导致解密数据的前 4 个字节是字符串“VERA”，则假定使用的方法是正确的，并且头部的其余部分用于解密卷的其余部分。这意味着它不需要存储有关使用的密码或预期密钥大小的信息（有关完整详细信息，请参见https://www.veracrypt.fr/en/Encryption%20Scheme.html）。

但是，如果您设置了系统加密，则执行此解密的例程存储在引导驱动器的第一个轨道上 - 这是未加密的，否则在解密之前无法运行。您实际上不需要安装它 - 例如，您可以使用救援磁盘引导系统足够远以解密卷 - 在这种情况下，驱动器上只剩下加密的数据。

在这种情况下，使用 VeraCrypt（或类似软件）的唯一证据是大量随机数据。缺乏解密方法可能会被认为是可疑的，尤其是在边境检查等情况下，携带带有被随机数据覆盖的驱动器的笔记本电脑是不常见的。另一方面，对于许多商业用户来说，拥有一个加密的驱动器和适当的解密方法是标准程序（尽管这通常可能是 BitLocker 而不是 VeraCrypt）。

对于基于文件的卷，显然只包含随机数据的文件的存在可能被认为是可疑的——大多数合法文件都有某种可检测的标题——即使 VeraCrypt 本身没有安装在设备上。但是，它们没有任何迹象表明它们是 VeraCrypt 卷 - 例如，我有一堆文件，它们只是随机值的转储/dev/random在我的工作系统上，我用它来测试声称允许特定文件类型的上传系统（通过将它们重命名为预期的类型，它测试系统是否正在检查标题或依赖文件扩展名，而不会有意外使用接受的标题的风险类型）。没有什么可以将它们与 VeraCrypt 卷区分开来，除了没有（已知的）密码可以解密它们以在开始时产生“VERA”。

所以：

• 对于系统加密，有一个预启动解密例程允许在没有救援磁盘的情况下启动
• 对于其他类型的卷，VeraCrypt 没有直接添加任何东西，但是 VeraCrypt 本身的存在和缺乏明显的卷可能表明某些东西被隐藏了
• 为了合理的否认，VeraCrypt 本身的存在并不是为了保密，而是 VeraCrypt 卷中的特定随机数据束是否是另一个 VeraCrypt 卷
• 虽然很难找到直接的证据，但可以查看缺乏数据并得出隐藏某些内容的结论 - 请参阅https://www.veracrypt.fr/en/Security%20Requirements%20for%20Hidden%20Volumes。 html