Elcomsoft 取证系列: Elcomsoft Forensic Disk Decryptor 磁盘解密工具

Elcomsoft 取证系列: Elcomsoft Forensic Disk Decryptor 磁盘解密工具

2024-03-02 11:04:03
天津鸿萌科贸发展有限公司是 ElcomSoft 系列软件的授权代理商。
Elcomsoft Forensic Disk Decryptor 软件支持即时访问存储在加密的 BitLocker、FileVault 2、PGP Disk、TrueCrypt 和 VeraCrypt 磁盘和容器中的数据。该工具从 RAM 镜像、休眠和页面文件中提取加密密钥,或使用纯文本密码或托管密钥来解密存储在加密容器中的文件和文件夹,或将加密卷挂载为新的驱动器号,以便即时、实时访问。
  • 解密 BitLocker、BitLocker To Go、FileVault 2、PGP 磁盘、TrueCrypt 和 VeraCrypt 卷和容器
  • 从 RAM 镜像、休眠和页面文件、托管和恢复密钥中提取加密密钥
  • 快速、无痕迹的操作
  • 即时将加密容器挂载为驱动器号
  • 使用内核级工具捕获计算机易失性内存的内容
  • 从 TrueCrypt、VeraCrypt、BitLocker、FileVault、PGP 磁盘和 LUKS/LUKS2 加密磁盘、Jetico BestCrypt 磁盘和容器中提取加密元数据
支持:BitLocker(包括 TPM 配置)、FileVault 2(包括 APFS 卷)、LUKS、PGP 磁盘、TrueCrypt 和 VeraCrypt 加密容器和全磁盘加密、BitLocker To Go、XTS-AES BitLocker 加密、Jetico BestCrypt、RAM 转储、休眠文件、页面文件
新功能
指定 TrueCrypt/VeraCrypt 的加密和哈希算法
TrueCrypt 和 VeraCrypt 允许用户更改加密算法以及用于从密码生成加密密钥的哈希函数。此信息永远不会存储在加密容器中的任何位置。如果专家指定了错误的算法,即使尝试了正确的密码,恢复密码的尝试也会失败。此版本添加了在从 TrueCrypt/VeraCrypt 卷捕获加密元数据时指定暴力破解密码算法的功能。
LUKS2 加密
我们添加了对 LUKS2 加密的支持。该工具可以从加密的磁盘和容器中提取 LUKS2 元数据。
用于访问加密卷的完全集成解决方案
Elcomsoft Forensic Disk Decryptor 提供了一系列方法来访问存储在加密的 BitLocker、FileVault 2、LUKS、LUKS2、PGP Disk、TrueCrypt 和 VeraCrypt 磁盘和卷以及 Jetico BestCrypt 9 容器中的信息。该工具包允许使用卷的纯文本密码、托管或恢复密钥,以及从计算机的内存镜像或休眠文件中提取的二进制密钥。FileVault 2恢复密钥可以使用 Elcomsoft Phone Breaker 从 iCloud 中提取,而 BitLocker 恢复密钥可在 Active Directory 或用户的 Microsoft 帐户中使用。
如果加密密钥和恢复密钥都无法提取,本软件可以从加密容器中提取元数据,让 Elcomsoft Distributed Password Recovery 完成其工作。
提取加密元数据
如果需要访问原始明文密码才能访问数据,则需要从加密磁盘中提取加密元数据。Forensic Disk Decryptor 将立即从受 TrueCrypt、VeraCrypt、BitLocker、FileVault、PGP Disk、LUKS/LUKS2 和 Jetico BestCrypt 磁盘和容器保护的加密硬盘驱动器、加密容器和取证磁盘镜像中提取加密元数据。生成的小文件包含使用 Elcomsoft Distributed Password Recovery 发起 GPU 加速分布式攻击所需的一切。
完全解密,即时挂载或攻击
通过对加密卷和加密设置的全自动检测,专家只需提供加密容器或磁盘镜像的路径。Elcomsoft Forensic Disk Decryptor 将自动搜索、识别和显示加密卷及其相应加密设置的详细信息。
通过解密加密卷的全部内容或在未锁定的未加密模式下将卷装载为驱动器号来提供访问。这两种操作都可以将卷作为附加磁盘(物理或逻辑)或原始镜像来完成;对于 FileVault 2、PGP 磁盘和 BitLocker,可以使用恢复密钥(如果可用)执行解密和装载。
完全解密
Elcomsoft Forensic Disk Decryptor 可以自动解密加密容器的全部内容,使调查人员能够完全、不受限制地访问存储在加密卷上的所有信息
实时访问加密信息
在实时模式下,Elcomsoft Forensic Disk Decryptor 将加密卷作为新的驱动器号挂载到调查人员的 PC 上。在这种模式下,取证专家可以快速、实时地访问受保护的信息。从挂载的磁盘和卷中读取的信息将实时解密。
没有解密密钥,也没有恢复密钥?
如果解密密钥和恢复密钥都不可用,Elcomsoft Forensic Disk Decryptor 将提取必要的元数据,以便使用 Elcomsoft Distributed Password Recovery 暴力破解密码。
Elcomsoft Distributed Password Recovery 可以通过一系列高级攻击来攻击保护加密容器的纯文本密码,包括字典、掩码和排列攻击以及暴力攻击。
加密密钥的来源
Elcomsoft Forensic Disk Decryptor 需要原始加密密钥才能访问存储在加密容器中的受保护信息。可以从挂载加密卷时获取的休眠文件或内存转储文件中提取加密密钥。有三种方法可以获取原始加密密钥:
  • 通过分析休眠文件(如果正在分析的 PC 已关闭);
  • 通过分析内存转储文件。可以使用内置的内存镜像工具获取正在运行的 PC 的内存转储。
  • 通过执行 FireWire 攻击(被分析的 PC 必须运行并装载了加密卷)。需要在调查员的 PC 上启动的免费工具才能执行 FireWire 攻击(例如 Inception)。
  • 通过使用内置 RAM 镜像工具捕获内存转储
FileVault 2、PGP 磁盘和 BitLocker 卷可以使用托管密钥(恢复密钥)进行解密或装载。

点击输入图片描述(最多30字) 选择加密磁盘或分区(APFS、VeraCrypt、PGP、Bitlocker...

点击输入图片描述(最多30字) 提取数据以进一步恢复密码

点击输入图片描述(最多30字) Elcomsoft Forensic Disk Decryptor 密钥提取过程