Elcomsoft Forensic Disk Decryptor是一款专门用于分析和数据恢复的强大工具。该工具可以对各种加密的卷或硬盘进行解密,提供访问原始数据的能力,从而可以进行进一步的分析。
这款软件的优势在于它可以使用各种已知的方式来获取原始加密密钥,包括存储在磁盘中的密钥或者在内存转储中的密钥。一旦获取到密钥,它就可以解密整个加密卷。
Elcomsoft Forensic Disk Decryptor支持多种流行的加密技术,包括BitLocker,VeraCrypt,TrueCrypt,以及Apple FileVault等。无论是本地硬盘,还是网络驱动器,甚至是USB驱动器,Elcomsoft Forensic Disk Decryptor都可以应对。
该工具特别适合法医专家和数据恢复专家使用,它可以轻松解密和访问同加密数据,从而进行数据恢复和深度分析。总而言之,Elcomsoft Forensic Disk Decryptor是特别设计用于解密硬盘加密技术并提供访问加密数据的完美解决方案。
用于访问加密卷的完全集成解决方案
Elcomsoft Forensic Disk Decryptor 提供了一系列方法来访问存储在加密 BitLocker、FileVault 2、LUKS、LUKS2、PGP 磁盘、TrueCrypt 和 VeraCrypt 磁盘和卷以及 Jetico BestCrypt 9 容器中的信息。该工具包允许使用卷的纯文本密码、托管或恢复密钥,以及从计算机的内存映像或休眠文件中提取的二进制密钥。可以使用 Elcomsoft Phone Breaker 从 iCloud 提取 FileVault 2 恢复密钥,而 BitLocker 恢复密钥可在 Active Directory 或用户的 Microsoft 帐户中使用。
如果加密密钥和恢复密钥都无法提取,EFDD 可以从加密容器中提取元数据,让Elcomsoft 分布式密码恢复完成其工作。
提取加密元数据
如果您需要访问原始明文密码来访问数据,则需要从加密磁盘中提取加密元数据。Forensic Disk Decryptor 将立即从受 TrueCrypt、VeraCrypt、BitLocker、FileVault、PGP Disk、LUKS/LUKS2 和 Jetico BestCrypt 磁盘和容器保护的加密硬盘、加密容器和取证磁盘映像中提取加密元数据。生成的小文件包含使用 Elcomsoft 分布式密码恢复发起 GPU 加速的分布式攻击所需的所有内容。
完全解密,即时安装或攻击
通过全自动检测加密卷和加密设置,专家只需提供加密容器或磁盘映像的路径。Elcomsoft Forensic Disk Decryptor 将自动搜索、识别和显示加密卷及其相应加密设置的详细信息。
通过解密加密卷的全部内容或通过以解锁、未加密模式将卷安装为驱动器号来提供访问权限。这两种操作都可以通过作为附加磁盘(物理或逻辑)或原始映像的卷来完成;对于 FileVault 2、PGP 磁盘和 BitLocker,可以使用恢复密钥(如果有)执行解密和安装。
完全解密
Elcomsoft Forensic Disk Decryptor 可以自动解密加密容器的全部内容,使调查人员能够完全、不受限制地访问加密卷上存储的所有信息
实时访问加密信息
在实时模式下,Elcomsoft Forensic Disk Decryptor 将加密卷作为新驱动器号安装在调查人员的 PC 上。在这种模式下,取证专家可以快速、实时地访问受保护的信息。从已安装的磁盘和卷读取的信息会实时解密。
没有解密密钥和恢复密钥?
如果解密密钥和恢复密钥均不可用,Elcomsoft Forensic Disk Decryptor 将提取使用 Elcomsoft 分布式密码恢复暴力破解密码所需的元数据。
Elcomsoft 分布式密码恢复 可以通过一系列高级攻击来攻击保护加密容器的纯文本密码,这些高级攻击包括字典、掩码和排列攻击以及暴力破解。
加密密钥的来源
Elcomsoft Forensic Disk Decryptor 需要原始加密密钥才能访问存储在加密容器中的受保护信息。可以从安装加密卷时获取的休眠文件或内存转储文件中提取加密密钥。获取原始加密密钥有以下三种方式:
- 通过分析休眠文件(如果被分析的PC已关闭);
- 通过分析内存转储文件。可以使用内置内存映像工具获取正在运行的 PC 的内存转储。
- 通过执行火线攻击(被分析的 PC 必须在安装加密卷的情况下运行)。需要在调查员的 PC 上启动免费工具来执行 FireWire 攻击(例如 Inception)。
- 通过使用内置 RAM 映像工具捕获内存转储
可以使用托管密钥(恢复密钥)解密或安装 FileVault 2、PGP 磁盘和 BitLocker 卷。
指定 TrueCrypt/VeraCrypt 的加密和哈希算法
TrueCrypt 和 VeraCrypt 允许用户更改加密算法以及用于从密码生成加密密钥的哈希函数。此信息绝不会存储在加密容器中的任何位置。如果专家指定了错误的算法,即使尝试了正确的密码,恢复密码的尝试也会失败。在此版本中,我们添加了在从 TrueCrypt/VeraCrypt 卷捕获加密元数据时指定暴力破解密码算法的功能。
LUKS2加密
我们添加了对 LUKS2 加密的支持。该工具可以从加密的磁盘和容器中提取 LUKS2 元数据。
评论(0)