Elcomsoft System Recovery：如何在取证现场快速重置及恢复本地 Windows 账户及密码

2024-05-15 11:17:44

天津鸿萌科贸发展有限公司是 ElcomSoft 系列软件的授权代理商。

Elcomsoft System Recovery 软件用于在所有版本的 Windows 中重置或恢复本地 Windows 帐户和 Microsoft 帐户的密码。为任何用户帐户分配管理权限，重置过期密码或导出密码哈希以进行离线恢复。创建取证磁盘镜像。提供可启动的 Windows PE 环境。

符合取证要求地进行数据提取
重置 Windows 帐户的密码
从 TrueCrypt、VeraCrypt、Bitlocker、FileVault (HFS+/APFS)、PGP Disk、LUKS 和 LUKS2 加密磁盘中提取加密元数据
创建取证磁盘镜像
恢复本地帐户、Microsoft 帐户和 Wi-Fi 网络的密码
定制的 Windows PE 环境，具有广泛的硬件兼容性和真正的本机 FAT 和 NTFS 支持

支持: Windows 7, 8, 8.1, Windows 10, Windows 11; Windows Vista, Windows XP, Windows 2000, Windows NT; 所有 Windows Server 版本; 32-bit 及 64-bit 系统; 具有 32-bit 及 64-bit UEFI 及旧版本 BIOS 配置的Windows PE; 相似的 Windows 图形界面; SAM/SYSTEM 及 Active Directory

符合取证要求的提取、可验证的磁盘镜像

在现场调查期间访问锁定的系统时，速度通常是最重要的因素。然而，在提供法庭有效的证据时，维护数字监管链至关重要。Elcomsoft System Recovery 包含有助于在整个调查过程中建立和维护数字监管链的功能。

为了保存数字证据，监管链从数据收集的第一个节点开始。Elcomsoft System Recovery 采用取证合规良好的工作流程，确保调查过程中收集的数字证据可供法庭采信。该工作流程实现对目标计算机的只读、写阻止访问，并以数字签名、可验证的磁盘镜像的形式保存收集到的证据，使 Elcomsoft System Recovery 成为基于硬件的写阻止磁盘镜像设备的可行替代方案，同时可实时访问关键证据。

写阻止磁盘访问

Elcomsoft System Recovery 通过写阻止模式和只读磁盘镜像帮助生成法庭可接受的证据。在运行 Elcomsoft System Recovery 的第一步中，默认情况下会启用写阻止模式，以确保目标计算机上没有数据被修改。写入阻止磁盘访问是该工具的默认行为。专家必须明确取消选中“只读”框才能访问系统管理功能，例如重置 Windows 用户和管理密码。

可验证的磁盘镜像

可以为磁盘制作可验证的.E01 镜像。结合只读访问功能，使用哈希有助于建立数字监管链，同时采用行业标准的 .E01 格式使镜像与第三方取证工具兼容，以进行全面分析。无论制作磁盘镜像为 RAW/DD 还是新支持的 .E01 格式，Elcomsoft System Recovery 都会计算哈希文件并将其与镜像放在一起。收集过程中计算出的哈希值可用于稍后验证证据。

改进的全盘加密工作流程

Elcomsoft System Recovery 可以更轻松地访问存储在加密磁盘和容器中的数据。通过自动检测加密卷，ESR 将自动提取对加密卷密码发起攻击所需的哈希值，并将它们保存到闪存驱动器，以便与传统工作流程相比更快地访问加密证据。此外，ESR 可以提取并保存可能包含加密密钥的休眠文件，以访问加密卷中存储的信息。这些密钥可用于立即安装加密卷或解密其内容以进行离线分析。

加密虚拟机

在高科技犯罪领域，加密虚拟机成为最广泛使用的掩盖工具之一。手动定位此类虚拟机可能是一个复杂且耗时的过程。我们通过自动查找多种类型的加密虚拟机使您的工作更加轻松。更有利的是，ESR 将自动捕获您在 Elcomsoft Distributed Password Recovery 中对虚拟机加密密码发起攻击所需的加密元数据。

重置或恢复 Windows 帐户密码

在技术支持服务中，高达 40% 的电话求助与忘记密码和锁定登录有关。Elcomsoft System Recovery 可帮助立即重置 Windows 系统密码，使系统管理员能够重新获得对锁定的 Windows 帐户的访问权限。Elcomsoft System Recovery 支持本地 Windows 帐户、网络域和 Microsoft 帐户，是网络管理员、IT 专业人员和安全专家的必备工具。

重置或恢复 SYSKEY 密码

SYSKEY 密码是一种为 Windows 登录添加额外安全层的可疑且有争议的方法。在旧版 Windows 中使用的 SYSKEY 密码已从 Windows 10 和 Windows Server 2016 版本 1709 中删除。未知的 SYSKEY 密码会阻止 Windows 启动并阻止恢复或重置用户帐户密码的能力。

Elcomsoft System Recovery可以重置SYSKEY密码以恢复系统的正常启动操作。在重置 SYSKEY 密码之前，ESR 现在将检查此操作对系统是否安全。

此外，Elcomsoft System Recovery 允许在重置之前在各种系统数据库和缓存文件中查找缓存的 SYSKEY 密码。

即时重置和可配置的攻击

Elcomsoft System Recovery 可以立即重置帐户密码，同时支持预先配置的攻击来恢复原始密码。此外，用户还可以上传自己的自定义字典，以进行最多 4 级突变的高性能字典攻击。

Elcomsoft System Recovery 可解锁 Windows 7、8、8.1、Windows 10 以及许多旧版 Windows（包括 Windows Vista、Windows XP、Windows 2000、Windows NT 以及相应的服务器版本）中锁定和禁用的用户和管理帐户到并包括 Windows Server 2019。同时支持 32 位和 64 位系统。

准备启动、立即帮助、易于操作

Elcomsoft System Recovery 附带快速创建可启动 DVD 或 USB 闪存驱动器的一切功能。该映像基于定制的 Windows PE 环境，并预先配置了许多驱动程序，以便在大多数传统和尖端硬件配置上提供无缝体验。

只需几个简单的步骤即可创建可启动 USB 驱动器或 DVD 光盘，以获得即时帮助。Elcomsoft System Recovery 附带 32 位和 64 位 UEFI 以及旧版 BIOS 配置，允许您为所有类型的系统创建可启动媒体。

所有功能和优点

广泛的兼容性

Elcomsoft System Recovery 附带定制的 Windows PE 环境。可启动环境支持最广泛的硬件组件，包括最新的存储控制器和芯片组。与各种仿真环境不同，Elcomsoft System Recovery 真正兼容 Microsoft 文件系统的最新版本，包括最新版本的 FAT 和 NTFS。

快速取证工具

快速取证工具可以通过从外部 USB 驱动器启动来更轻松地分析现场计算机系统。这些工具允许检查系统中安装的应用程序列表，分析用户的时间线并访问最近访问的文件和文件夹的列表，以及执行更多操作，使取证专家能够从他们正在检查的计算机中收集和提取重要的工件从指定的 USB 设备启动。专家可以提取、保存和分析数字信息，例如用户的 Windows 注册表副本、重要的 DPAPI 和加密密钥、系统凭据、各种系统和事件日志，以及可扫描 BitLocker 使用的加密密钥的页面和休眠文件和第三方磁盘加密工具。

macOS 加密

借助 Elcomsoft System Recovery，专家现在可以创建闪存驱动器来启动 macOS 计算机。可启动闪存驱动器允许专家从 TrueCrypt、VeraCrypt、Bitlocker、FileVault (HFS+/APFS)、PGP Disk、LUKS 和 LUKS2 加密磁盘中提取哈希值，以快速启动对加密卷的密码攻击，而无需对整个驱动器进行镜像。

即时解锁

如果您的 Windows 帐户上没有 EFS 加密的文件，则即时解锁选项是获取用户和管理帐户访问权限的最快、最简单的方法。Elcomsoft System Recovery 使用您提供的新密码重置忘记的密码，从而无需执行耗时的密码恢复操作即可立即登录。

恢复 Windows 帐户和 Wi-Fi 密码

如果您必须知道 Windows 帐户的原始密码，Elcomsoft System Recovery 完全配备了恢复密码所需的一切。直接尝试常见密码和字典攻击，只需几分钟，很有可能检索到密码。

Elcomsoft System Recovery 知道系统密码的缓存位置，通常允许即时密码恢复。

通过从 SAM/SYSTEM 文件或 Active Directory 数据库转储散列密码以进行进一步的离线分析，可以轻松实现离线密码恢复。ElcomSoft 建议使用Elcomsoft 分布式密码恢复来实现高度可扩展、GPU 加速的系统密码恢复。

除了 Windows 帐户密码外，ESR 还可以提取存储的 Wi-Fi 密码。与其他类型的密码一起，Wi-Fi 密码可以添加到高度针对性的自定义字典中，该字典可用于破解强加密并攻击保护加密文档、磁盘和帐户的密码。

提取密码提示、问题和答案

Elcomsoft System Recovery 可以提取密码提示以及安全问题和答案，旨在帮助用户回忆起忘记的密码。审查人员可以使用密码提示和 QA 来重新创建用户的原始密码，并为密码攻击制作有针对性的字典。

支持 Microsoft 帐户密码和 Windows Hello PIN

在 Windows 8 中，Microsoft 添加了通过 Microsoft Account 验证 Windows 帐户的功能。Microsoft 帐户是一种在线身份验证机制，在包括 Windows 10 在内的新版本 Windows 中积极使用。Microsoft 帐户凭据在 Microsoft 服务器上在线进行身份验证；但是，Elcomsoft System Recovery 可以立即重置用户 Microsoft 帐户密码的本地缓存副本，并将身份验证模式切换回离线状态。此外，该工具还可以在没有受信任平台模块 (TPM) 的计算机上快速暴力破解 4 位数到 6 位数的 Windows Hello PIN。

除了立即重置密码之外，Elcomsoft System Recovery 还能够导出散列的 Microsoft 帐户密码，使专家能够使用 Elcomsoft 分布式密码恢复或兼容工具执行攻击以恢复原始纯文本密码。通过恢复原始密码，专家可以访问存储在 Microsoft 和通过 Microsoft 帐户验证的第三方服务中的大量信息。这些服务包括 Skype、Hotmail 和 OneDrive。此外，Microsoft 帐户还可以解锁对 Windows Phone 和 Windows 10 移动版备份、有关帐户所有者的详细信息、连接到该帐户的所有桌面和移动设备的完整列表（及其位置）的访问权限，在某些情况下甚至可以同步所有用户设备的浏览历史记录，收藏夹和表单数据，包括在线服务和社交网络的密码。最后，知道用户的 Microsoft 帐户密码后就可以访问 BitLocker 恢复密钥，从而允许专家访问使用 BitLocker 加密的卷。

安全操作

Elcomsoft System Recovery 采取的每个步骤都附有所有更改的完整备份，可以轻松地将系统回滚到其原始状态。

实例探究

Elcomsoft System Recovery 是一款适用于 Windows 帐户的一体化安全工具。该工具有助于检测和解决与用户和管理帐户密码相关的各种问题。

执行符合取证要求的数据收集
进行现场分析和磁盘镜像
在现场调查期间收集法庭有效的证据
将管理员权限分配给任何用户帐户
启用和解锁锁定和禁用的用户帐户
创建取证磁盘映像以供后续实验室分析
更改和重置任何本地帐户的密码
列出所有本地用户帐户并突出显示管理员帐户
查找帐户权限
检测密码为空的帐户
立即恢复特殊/系统帐户的某些密码（例如 IUSR_、HelpAssistant 等）
备份和恢复 SAM/SYSTEM 文件
使用新密码成功登录后可选择恢复原始 SAM/SYSTEM 文件

Elcomsoft System Recovery：如何在取证现场快速重置及恢复本地 Windows 账户及密码