Отваряйте защитени с парола криптирани файлове с Elcomsoft Forensic Disk Decryptor. Elcomsoft Forensic Disk Decryptor - пълно дешифриране на криптирани твърди дискове Инструмент за визуализация на паметта, ниво на ядрото

Отваряйте защитени с парола криптирани файлове с Elcomsoft Forensic Disk Decryptor. Elcomsoft Forensic Disk Decryptor - пълно дешифриране на криптирани твърди дискове Инструмент за визуализация на паметта, ниво на ядрото
Отваряйте защитени с парола криптирани файлове с Elcomsoft Forensic Disk Decryptor. Elcomsoft Forensic Disk Decryptor - пълно дешифриране на криптирани твърди дискове Инструмент за визуализация на паметта, ниво на ядрото
07.04.2020


Софтуерен пакет ElcomSoft за премахване на защита с парола с максимален брой поддържани формати на данни, системи за защита и алгоритми за криптиране. Комплектът включва всички фирмени продукти за възстановяване на пароли.

Системни изисквания:
Windows: 7, 8, 8.1, 10, Server 2012, Server 2016, Server 2019

Софтуер за възстановяване на пароли за торент - ElcomSoft Password Recovery Bundle Forensic Edition 2019 в подробности:
ElcomSoft Password Recovery Bundle 2019 съдържа:
ElcomSoft Advanced Archive Password Recovery 4.54.110
ElcomSoft Advanced EFS Възстановяване на данни Pro 4.50.51.1795
ElcomSoft Advanced IM Password Recovery 4.90.1805
ElcomSoft Advanced Intuit Password Recovery 2.0
ElcomSoft Advanced Lotus Password Recovery 2.11
ElcomSoft Advanced Mailbox Password Recovery 1.11.476
ElcomSoft Advanced Office Password Breaker Enterprise Edition 3.05.802
ElcomSoft Advanced Office Password Recovery Pro 6.34.1889
ElcomSoft Advanced PDF Password Recovery Enterprise 5.08.145
ElcomSoft Advanced Sage Password Recovery 2.30.383
ElcomSoft Advanced SQL Password Recovery 1.13.1786
ElcomSoft Advanced VBA Password Recovery 1.63
ElcomSoft Advanced WordPerfect Office Password Recovery 1.35
ElcomSoft Cloud eXplorer ECX Forensic 2.11.28407 Пълен
ЕлкомСофт Речници 1.0.1110
ElcomSoft Distributed Password Recovery 4.10.1236
ElcomSoft Explorer за WhatsApp Standard 2.60.30943
ElcomSoft Forensic Disk Decryptor Common 2.10.567
ElcomSoft Internet Password Breaker Standard Edition 3.10.4770
ElcomSoft iOS криминалистичен инструментариум 5.0
ElcomSoft Lightning Hash Cracker 0.60
ElcomSoft Password Digger Standard 1.04.147
ElcomSoft Phone Breaker 8.30
ElcomSoft Phone Breaker 9.05.31064 Forensic Edition Windows
ElcomSoft Phone Password Breaker Professional 3.00.106
ElcomSoft Phone Viewer Forensic 4.40.31234
ElcomSoft Proactive Password Auditor 2.07.61
ElcomSoft Proactive System Password Recovery 6.60.568
ЕлкомСофт Възстановяване на системата 5.60.389 BootISO
ElcomSoft Wireless Security Auditor Pro 7.12.538

Описание на пакетните приложения:
ElcomSoft Advanced Archive Password Recovery - дешифриране на защитени ZIP архивии RAR и възстановяване на оригинални пароли. Максимална производителност на възстановяване сложни пароли. Някои видове архиви гарантирано ще бъдат дешифрирани в рамките на един час.
ElcomSoft Advanced EFS Data Recovery Pro - декриптиране на файлове, криптирани с NTFS с помощта на Encrypting Файлова система(EFS).
ElcomSoft Advanced IM Password Recovery - Незабавно извличане на пароли от десетки програми за незабавни съобщения. Поддръжка за ICQ, AOL, MSN, Yahoo!, Mail.ru клиенти, Jabber, Picasa, QIP и много други. Извлечените пароли могат да се използват за съставяне на речник, с помощта на който е възможно значително да се ускори търсенето на пароли за криптирани файлове.
ElcomSoft Advanced Intuit Password Recovery - възстановяване на достъпа до защитени с парола Intuit Quicken и QuickBooks документи.
ElcomSoft Advanced Lotus Password Recovery - незабавно възстановяване на пароли с всякаква сложност за Lotus SmartSuite документи.
ElcomSoft Advanced Mailbox Password Recovery - гарантирано възстановяване на пароли за имейл клиенти и акаунти електронна поща POP3 и IMAP. Извлечете потребителското име и паролата, съхранени на компютъра на потребителя. Вграден емулатор на POP3/IMAP сървър за прихващане на POP3 и IMAP пароли от всякакви пощенски клиенти, включително мобилни приложения.
ElcomSoft Advanced Office Password Breaker Enterprise Edition - гарантирано възстановяване на достъп до криптирани документи в Microsoft приложенияОфис 97/2000 за минути.
ElcomSoft Advanced Office Password Recovery Pro - Гарантирано възстановяване на достъп до криптирани документи във формат на приложение Microsoft Office 97/2000 за минути.
ElcomSoft Advanced PDF Password Recovery Enterprise - гарантирано премахване на ограниченията за редактиране, печат и копиране PDF файлове. Възстановяване на парола за отваряне на документ с поддръжка за хардуерно ускорение. Патентованата технология Thunder Tables гарантира възстановяване на 40-битови ключове в рамките на минута.
ElcomSoft Advanced Sage Password Recovery - гарантиран достъп до защитени ACT документи! Подмяна и възстановяване на пароли за BLB, MUD и ADF/PAD документи, създадени с ACT! Дистанционната работа не изисква ДЕЙСТВАНЕ! на компютъра.
ElcomSoft Advanced SQL Password Recovery - гарантирано възстановяване на достъп до защитени с парола бази данни Данни на Microsoft SQL сървър. Незабавно нулиране или промяна на всеки потребител или парола на администратор на база данни в Microsoft формат SQL сървър.
ElcomSoft Advanced VBA Password Recovery е инструмент за възстановяване, изтриване и подмяна на пароли за Microsoft документи Office, OpenOffice, Apple iWork и Hangul Office с поддръжка за хардуерно ускорение с графични карти.
ElcomSoft Advanced WordPerfect Office Password Recovery - моментално възстановяване на парола за документи на Corel WordPerfect Office. Извлечете пароли от WordPerfect, Quattro Pro и Paradox за секунди.
ElcomSoft Cloud eXplorer ECX Forensic - извличане и преглед на данни от сметки google записи. Паролите и историята на сърфирането се извличат, данните за местоположението на потребителя за целия период на съществуване сметка, имейл съобщения и контакти, бележки в Google Keep, отметки, история заявки за търсене, календари и др. Поддържа се удостоверяване с парола и без парола.
ElcomSoft Distributed Password Recovery е мощно решение за корпоративни клиенти държавни организации. Възстановяване на пароли за десетки файлови формати, документи, ключове и сертификати на клъстери от компютри, обединени в едно разпределено компютърна мрежа.
ElcomSoft Explorer за WhatsApp Standard - инструмент за извличане, преглед и анализ на комуникации Потребители на WhatsAppс поддръжка на iOS и Android.
ElcomSoft Forensic Disk Decryptor Common - моментално декриптиране или монтиране на BitLocker, FileVault 2, PGP, TrueCrypt и VeraCrypt крипто контейнери с помощта на пароли, ескроу ключове и ключове за криптиране, извлечени от изображение оперативна памет, суап файл или хибернация.
ElcomSoft Internet Password Breaker - Незабавно извличане на наличните пароли за уебсайтове, акаунти и пощенски кутииот много приложения. Поддръжка на запазени полета и пароли в Internet Explorer, Edge, Chrome, Firefox, Opera, Outlook и Outlook Express, Windows Mail и Windows Liveпоща.
ElcomSoft iOS Forensic Toolkit е специализиран инструмент за извличане на данни от работещи устройства Apple iOSметоди за физически и логически анализ.
ElcomSoft Password Digger Standard - декриптиране на съдържанието на системни и потребителски защитени ключодържатели macOS системи(OSX). Запазване на списъка с пароли в текстов файл, който може да се използва като речник за ускоряване на грубата сила на паролата с подходящи инструменти.
ElcomSoft Phone Breaker - извличане на информация от устройства, работещи с iOS, Windows Phone, Windows 10 Mobile и BlackBerry 10, декриптиране на резервни копия и отгатване на неизвестни пароли с помощта на хардуерно ускорение.
ElcomSoft Phone Password Breaker - извличане на информация от устройства, работещи с iOS, Windows Phone, Windows 10 Mobile и BlackBerry 10, декриптиране на резервни копия и отгатване на неизвестни пароли с помощта на хардуерно ускорение.
ElcomSoft Phone Viewer Forensic е прост, удобен и компактен инструмент за преглед на информация, извлечена от устройства, работещи с iOS, BlackBerry и Мобилен Windows. Продуктът поддържа Elcomsoft Phone Breaker изходни формати и стандартни форматирезерв копия на iTunesи Blackberry Link.
ElcomSoft Proactive Password Auditor - одит на корпоративната политика за сигурност. Продуктът ще ви позволи да разберете степента на сигурност локална мрежачрез стартиране на пълномащабни атаки срещу пароли за акаунти. Чрез откриване на слаби и несигурни пароли, продуктът идентифицира слабости в защитата на локалната мрежа.
ElcomSoft Proactive System Password Recovery - възстановяване на много видове пароли и преглед на скрити Информация за Windows. екстракция WiFi ключове(WEP и WPA-PSK), VPN, RAS, пароли за комутируема връзка, мрежови ресурси, връзки и RDP.
ElcomSoft System Recovery BootISO ще ви помогне да възстановите достъпа до сметки Windows, включително локален, мрежа и акаунт Microsoft записисметка. Поддържа се нулиране и възстановяване на оригинални пароли.
ElcomSoft Wireless Security Auditor - одит на сигурността безжични мрежи Wi-Fi, проверка на претоварването на безжични мрежи и канали. Улавяне на пакети с помощта на специализиран или домакински безжичен адаптер Wi-Fi и пълна WPA/WPA2 атака с парола.

Процедура на лечение:
Всяка програма има инструкции и лекарства в папка с инсталационни файлове. Обикновено това е подмяна на ключ или файл.

Освободен Нов продуктза компютърна криминалистика, наречен Forensic Disk Decryptor.

С появата на този продукт станаха популярни инструменти за криптиране твърди дискове, включително технологии като BitLocker, TrueCrypt и PGP, вече не може да се счита за надеждна защита на данните: програма, струваща около $ 300, ви позволява да получите почти всяка информация от защитено устройство, без да имате оригиналния ключ за достъп.

Криптирането на твърди дискове вече се превърна в стандарт за много компании по света, тъй като предоставя доста надеждна защитасекретни данни в случай на кражба или загуба на оборудване. Сред наличните технологии, които позволяват криптиране HDDКато цяло най-популярни са само трите технологии, към които е насочена помощната програма Forensic Disk Decryptor на Elcomsoft – BitLocker, TrueCrypt и PGP. Ако досега имаше само няколко оплаквания относно тези технологии, сега съдебните експерти ще могат да извличат информация от криптирани медии, без да се налага да получават ключ от собственика на тези медии.

Досега за отваряне на криптирана медия са използвани решения като тези на същата компания Elcomsoft. Обикновено опитът за отваряне на диска се извършва чрез избиране на парола чрез груба сила. За разлика от тези традиционни методи, помощната програма Forensic Disk Decryptor използва малко по-различен подход: програмата се опитва да открие следи от ключове за криптиране в RAM дъмпове и файлове за хибернация, взети от машината, която се разследва.

Единственото условие за успешно търсене на ключове за криптиране е машината, която се разследва, да работи и криптираните томове да са монтирани в системата. Няма значение дали работният плот на компютъра е заключен или не. Освен това необходимият дисков ключ за криптиране може да бъде извлечен дори когато изследваната машина е в хибернация.

Както обяснява Владимир Каталов, ръководител на ElcomSoft, основният и единствен недостатък на крипто контейнерите е човешкият фактор. Факт е, че за достъп до защитени данни е необходимо криптираният том да бъде монтиран файлова система. Малко хора обичат да въвеждат парола за диск всеки път, когато се чете или записва файл, така че в по-голямата част от решенията паролата се въвежда веднъж на сесия и се съхранява в RAM през останалото време. Логично е да се предположи, че ако паролата за криптиране трябва постоянно да се държи „под ръка“ (в RAM), тогава винаги има теоретична възможност за извличане на тази парола с помощта на програма на трета страна.

Инструмент за изображения на RAM

Elcomsoft Forensic Disk Decryptor включва инструмент, който ви позволява да направите изображение на RAM паметта на вашия компютър. Инструментът работи чрез драйвер от ниско ниво, който работи в режим на ядрото на системата. Доставят се 32- и 64-битови версии на драйвера, съвместими с операционна система Windows 7, 8, 10 и съответните сървърни издания. Драйверът е цифрово подписан от Microsoft и е напълно съвместим с най-новите компилации на WindowsЕсен 10 Актуализация на създателитекоито проверяват цифров подписдрайвери.

Препоръчително е да стартирате помощната програма за премахване на изображения от RAM от външно USB устройство, на което е инсталирана преносимата версия на Elcomsoft Forensic Disk Decryptor.

Преносим монтаж

Потребителите на Elcomsoft Forensic Disk Decryptor могат да разположат преносимата версия на инструментариума на външен USB устройство. Преносима версиянеобходими за техническа експертиза и криминалистичен анализ. Работи директно от инсталационния носител, не изисква инсталация или конфигурация на компютъра на потребителя и не прави модификации системен регистърили файлова система.

Дешифриране на BitLocker, FileVault 2, PGP, TrueCrypt и VeraCrypt крипто контейнери

Elcomsoft Forensic Disk Decryptor е проектиран да декриптира BitLocker, FileVault 2, PGP, TrueCrypt и VeraCrypt крипто контейнери и да извършва съдебно изследване на данни, съхранявани в криптирани томове. Поддържат се както фиксирани, така и преносими медии, включително PGP в режим на криптиране на цял диск, както и сменяеми дисковезащитен с BitLocker To Go.

С Elcomsoft Forensic Disk Decryptor можете или напълно да дешифрирате съдържанието на защитен том, или да работите в реално време с монтиране на криптирани томове и дешифриране на избрани данни в движение.

Характеристики на продукта

Elcomsoft Forensic Disk Decryptor позволява достъп до информация, съхранявана в криптирани томове, създадени от BitLocker, PGP и TrueCrypt крипто контейнери, което ви позволява да декриптирате напълно данни или да монтирате криптирани томове за бърз достъпв реално време с дешифриране на файлове в движение.

Пълно дешифриране, монтиране или атака

Поддържат се два режима на достъп до криптирана информация: пълно дешифриране и режим на достъп в реално време.

Пълно дешифриране на защитени данни

В този режим Elcomsoft Forensic Disk Decryptor автоматично дешифрира всички данни, съхранени в крипто контейнера. Този режим дава най-много пълен достъпсъс защитени данни, декриптиране на абсолютно всички файлове от криптирания том.

Свързване на криптоконтейнери и дешифриране на данни "в движение"

В режим на реално време достъпът до данните се осигурява моментално. Крипто контейнерът е монтиран в системата като нов диск, след което данните могат да бъдат извлечени с помощта на стандартния Explorer - или друг инструмент за работа с файлове. Информацията се дешифрира в движение, в процеса на четене на данните.

Скоростта на четене на данни в режим на достъп в реално време е ограничена само от скоростта на твърдия диск.

Груба сила на пароли

В случаите, когато не е възможно да се извлече криптографски ключ, нито ключа за възстановяване на достъпа, достъпът до данните може да изисква възстановяване на оригиналната парола. ви позволява да атакувате паролата, която защитава шифрования контейнер, като използвате серия от модерни технологии, включително атака с речник, атака с маска, атака с мутация и атака с груба сила. (С изключение на VeraCrypt)

Извличане на ключове за дешифриране

Elcomsoft Forensic Disk Decryptor извлича ключовете, с които данните са криптирани. С помощта на тези ключове дешифрирането се извършва в реално време - почти моментално.

Продуктът поддържа няколко метода за извличане на ключове за дешифриране.

  • Анализ на файла в хибернация (тестваният компютър е изключен);
  • Анализиране на моментна снимка на RAM на компютъра (може да бъде получена с помощта на вградената помощна програма)
  • Атакувайте през FireWire порта (компютърът трябва да е включен и криптираните томове трябва да са свързани). За да извършите атака през порта FireWire, трябва допълнителен компютърс установени безплатен продукт(например Inception).
  • Премахване на изображение на RAM с помощта на вградения инструмент (възможно е да стартирате от USB устройство)

Използване на пароли и ескроу ключове

Elcomsoft Forensic Disk Decryptor предоставя възможност за монтиране или пълно дешифриране на крипто контейнери с известна парола или депозиран ключ. Депозираните ключове на FileVault 2 могат да бъдат извлечени от облака Сервиз на Apple iCloud чрез Elcomsoft Phone Breaker и ключовете BitLocker могат да бъдат получени от Активна директорияили от акаунт Потребител на Microsoftсметка.

Основни предимства на продукта

Осигурен е достъп до данни и работа с криптоконтейнери без промяна на тяхното съдържание. Автентичността и неизменността на получената информация е гарантирана.

Ключът за декриптиране е необходим за получаване на достъп до криптираните данни и дешифриране на съдържанието на крипто контейнера. Elcomsoft Forensic Disk Decryptor поддържа три ключови метода за извличане. Изборът на един или друг метод зависи от това дали компютърът, който се изследва, е включен или изключен, както и дали е възможно да се стартира програма за заснемане на изображение („cast“) на RAM на компютъра, който се изследва.

Изключен компютър:в този случай ключовете се извличат от файла за хибернация. Защитените томове трябва да бъдат монтирани преди изключване на компютъра. Ако крипто контейнерът е демонтиран преди създаването на файла за хибернация, няма да е възможно да се извлекат ключове от него.

Компютърът е включен:ако е възможно, на изследвания компютър се стартира програма за моментна снимка на RAM. Съдържанието на RAM се записва във файл, от който Elcomsoft Forensic Disk Decryptor извлича ключовете за дешифриране. Шифрованите томове трябва да бъдат монтирани, когато се направи моментната снимка; в противен случай ключът за дешифриране не може да бъде извлечен. Подробно описаниетази технология (и пълен списъккакто търговски, така и безплатни програмина разположение на http://www.forensicswiki.org/wiki/Tools:Memory_Imaging).

Компютърът е включен в режим на ограничен достъп:ако е невъзможно да се стартират програми на изследвания компютър (липсват привилегии, няма парола за потребителския акаунт и т.н.), ключовете могат да бъдат извлечени чрез атака през FireWire порта. Атаката се извършва от отделен компютър или лаптоп, свързан към разследвания компютър чрез интерфейса FireWire. Използва се за извършване на атака безплатна помощна програма, инсталиран отделно (например Inception: http://www.breaknenter.org/projects/inception/). Този видатаки дава резултат близо до сто процента. Криптираните томове трябва да бъдат монтирани по време на атаката.

След извличане на ключовете за дешифриране, те се съхраняват в базата данни, след което Elcomsoft Forensic Disk Decryptor ще предложи пълно дешифриране на съдържанието на криптоконтейнера или монтиране на защитените томове като нови дискове за декриптиране в движение.

Ако не е възможно да се извлекат ключовете за криптиране и ключовете за възстановяване не са налични, EFDD ще извлече от криптирания том данните, необходими за стартиране на разпределена атака с помощта на Elcomsoft Distributed Password Recovery.

Elcomsoft Forensic Disk Decryptor поддържа криптирани томове, дискове и преносими носители, защитени с BitLocker, FileVault 2, PGP и TrueCrypt, както и RAW (DD) дискови изображения. Поддържа криптиране на флаш карти с помощта на BitLocker To Go, както и пълно дисково криптиране с помощта на PGP.

Продуктово видео

Този инструмент може да извлича данни от криптиран дисков том (FileVault 2, PGP, BitLocker или TrueCrypt) с помощта на двоичен ключ за криптиране, съхранен в RAM паметта на компютъра.

    Какво ново?
  1. Извличането на ключове чрез анализиране на файлове за дъмп на паметта или файлове за хибернация ще помогне на новата версия на Elcomsoft Forensic Disk Decryptor, включително всичко, което липсваше в повече ранни версии. Пароли с обикновен текст и ключове за възстановяване, подписан от Microsoft инструмент за визуализация на RAM на ниво ядро, вече е наличен в дългоочаквана преносима версия и поддръжка за стандартната моментна снимка EnCase .E01 и криптирани моментни снимки DMG. Автоматично откриваневсички криптирани томове и предоставяне подробна информацияотносно метода на криптиране, използван за всеки том. Нека да стартираме програмата и да видим пример.
    2. Преглед на Elcomsoft Forensic Disk Decryptor 2.0
  2. Стартирайте Elcomsoft Forensic Disk Decryptor 2.0 и отворете криптиран диск или дисково изображение. EFDD сканира устройството и идентифицира всички налични криптирани томове на това устройство. Обемите заедно със съответните настройки за криптиране се показват в главния прозорец, снимката по-долу:

    3. Методи за дешифриране:
  3. IN предишни версиибяха ограничени до монтиране или дешифриране на томове с помощта на двоични криптографски ключове, извлечени от изображение на компютърна памет или файл за хибернация. Уязвимостта при използването на пароли с чист текст или ключове за ескроу за достъп до данни, съхранявани в криптирани контейнери, беше много оскъдна.
  4. В EFDD 2.0. добави нови начини за монтиране или дешифриране на криптирани томове. Можете също да използвате двоичен криптографски ключ, ако знаете паролата на оригиналния контейнер, тогава тя може да бъде въведена, за да монтирате тома за неговото пълно декриптиране или офлайн анализ.
  5. Друг начин за достъп до криптирани данни е да използвате ключ за ескроу или ключ за възстановяване, както понякога се наричат. Предложение за ескроу ключове архивиранесортиране, което позволява на законния собственик да дешифрира данните, ако паролата е изгубена, забравена.
  6. За томове, шифровани с BitLocker, ключът за възстановяване може да бъде извлечен от Active Directory или от лични акаунти, потребителски акаунт на Microsoft на тази връзка:

  7. За декриптиране на томове на BitLocker вижте официалния блог на Elcomsoft и. Можете също да разберете какво е променено в BitLocker в ноемврийската актуализация на уебсайта на Microsoft.
  8. За FileVault 2 можете да извлечете ключа за възстановяване от Apple iCloud, след което ще ви трябва помощна програма.
    9. Инструмент за визуализация на паметта, ниво на ядрото. Намерете ключа, за да отворите крипто контейнера.
  9. Първоначално EFDD е създаден за сканиране на енергонезависимата памет на компютъра. На снимката по-долу EFDD търси криптографски ключове, които се използват за достъп до данни, съхранявани в криптирани контейнери. Ако криптографският ключ бъде намерен, декриптирането на контейнера няма да е трудно и няма да има нужда да атакувате оригиналната парола в обикновен текст.
  10. Първоначално Elcomsoft Forensic Disk Decryptor разчита на изображения от паметта, заснети от инструменти на трети страни. Версия 2.0 се доставя с вече наличен инструмент за спешно изобразяване на паметта, който използва нулево ниво на достъп до RAM паметта на компютъра. Инструментът за обработка на RAM включва драйвер за режим на ядрото, който е цифрово подписан от Microsoft и е напълно съвместим както с 32-битовите, така и с 64-битовите версии на Windows.

    11. Защо устройството за обработка на изображения, моментната снимка, изисква драйвер на ниво ядро?
  11. Тъй като имате нужда от достъп до всички области на паметта на компютъра, включително области, които са активно защитени с помощта на системни инструменти или инструменти за антидъмпинг и отстраняване на грешки на трети страни. Някои помощни програми, програми, събиране на данни работят в потребителски режим и им е отказан достъп до определени защитени, както писах по-горе, области в RAM на компютъра. ElcomSoft идва с драйвер на ниво ядро, който работи в най-привилегированата "нулева" среда на системата, като има пълен и неограничен достъп до всички области на паметта на компютъра, това е страхотно!
  12. Дигитално подписан драйвер на Microsoft позволява инсталиране (или стартиране) на помощна програма, програма, на компютъра, която проверява подписа на драйвера. Всъщност да има всичко без ограничения във всички посоки и области, ще го кажа така.
    13. Създаване на преносима версия на Elcomsoft Forensic Disk Decryptor 2.0
  13. Преносимата версия също поддържа моментни снимки на EnCase в стандартния формат .EO1, както и инсталационната версия, както и криптирани моментни снимки на DMG. Програмата може да се стартира работещи системиот USB устройство. За да създадете преносима версия, трябва да инсталирате помощната програма на вашия компютър и да я регистрирате във вашия лицензионен ключ. След това създайте преносима версия на помощната програма, снимката по-долу:

  14. След това можете да използвате новосъздадената преносима версия на програмата, за да заснемете енергонезависимата памет на други компютри, да монтирате, декриптирате криптирани томове.

  15. Ако сте закупили програмата преди, тогава можете да надстроите до нея безплатно. последна версия. Ако искате да закупите лиценз за използване на Elcomsoft Forensic Disk Decryptor 2.0, отидете на официалния уебсайт и се запознайте с офертите за покупка. Добър софтуервинаги се плаща, това е факт, разбира се има изключения, но те са много малко. С тази програма получавате добър помощник, който ще възстанови файловете ви в случай на заразяване с вирус от ransomware. Точно както писах по-горе, ако сте забравили или загубили паролата за криптирания диск, контейнер. Ако имате някакви въпроси, ще се радвам да отговоря на тях в коментарите по-долу на тази страница.

Elcomsoft Forensic Disk Decryptor е проектиран да декриптира BitLocker, FileVault 2, PGP, TrueCrypt и VeraCrypt крипто контейнери и да извършва съдебно изследване на данни, съхранявани в криптирани томове. Поддържат се както фиксирани, така и преносими носители, включително PGP в режим на криптиране на цял диск, както и сменяеми устройства, защитени с BitLocker To Go.

С Elcomsoft Forensic Disk Decryptor можете или напълно да дешифрирате съдържанието на защитен том, или да работите в реално време с монтиране на криптирани томове и дешифриране на избрани данни в движение.

Характеристики на продукта

  • Дешифриране на информация, защитена от трите най-често срещани крипто контейнера (BitLocker, FileVault 2, PGP, TrueCrypt и VeraCrypt)
  • Поддръжка за преносими носители и карти с памет, защитени от BitLocker To Go, както и томове на BitLocker, защитени от хардуерен TPM
  • Поддръжка за формата BitLocker XTS-AES, добавена през ноември актуализация на windows 10 (компилация 1511)
  • Поддръжка за всички режими на работа на PGP, включително режим на криптиране на целия диск
  • Достъп в реално време и пълен препис
  • Извличане на ключове за дешифриране на данни от файлове за хибернация, компютърен RAM файл с изображения
  • Вграден инструмент за изобразяване на памет, работещ в режим на системно ядро ​​и цифрово подписан от Microsoft
  • Възможност за създаване на преносима инсталация за стартиране от USB устройство
  • Възможност за декриптиране на томове с помощта на текстови пароли и ескроу ключове
  • Декриптиране на томове на BitLocker, включително тези, защитени от TPM, с помощта на депозирани ключове за възстановяване на BitLocker, които могат да бъдат извлечени от акаунт в Microsoft или Active Directory
  • Дешифриране на PGP томове с възстановяванеключ
  • Декриптиране на томове на FileVault 2 с ключове, депозирани от iCloud (за извличането им е необходим Elcomsoft Phone Breaker)
  • Извлича всички ключове от дъмпа на RAM наведнъж, дори ако има повече от един крипто контейнер в системата
  • Гаранция за целостта и неизменността на изследваните данни
  • Поддръжка за физически носители и изображения във формати RAW (DD), EnCase .E01, DMG (включително криптирани)
  • Поддръжка за 32- и 64-битови Windows версии(започвайки от Windows XP и по-стари, включително Windows 10)

Elcomsoft Forensic Disk Decryptor разкрива информация, съхранена в криптирани томове, създадени от BitLocker, PGP и TrueCrypt крипто контейнери, което ви позволява да декриптирате напълно данни или да монтирате криптирани томове за бърз достъп в реално време с декриптиране на файлове в движение.

Пълно дешифриране, монтиране или атака

Поддържат се два режима на достъп до криптирана информация: пълно дешифриране и режим на достъп в реално време.

Пълно дешифриране на защитени данни

В този режим Elcomsoft Forensic Disk Decryptor автоматично дешифрира всички данни, съхранени в крипто контейнера. Този режим дава най-пълен достъп до защитените данни, като дешифрира абсолютно всички файлове от криптирания том.

Свързване на криптоконтейнери и дешифриране на данни "в движение"

В режим на реално време достъпът до данните се осигурява моментално. Криптоконтейнерът се монтира в системата като нов диск, след което данните могат да бъдат извлечени с помощта на стандартния Explorer или друг инструмент за работа с файлове. Информацията се дешифрира в движение, в процеса на четене на данните.

Скоростта на четене на данни в режим на достъп в реално време е ограничена само от скоростта на твърдия диск.

Груба сила на пароли

В случаите, когато нито криптографският ключ, нито ключът за възстановяване могат да бъдат извлечени, може да се наложи възстановяване на оригиналната парола за достъп до данните. ви позволява да атакувате паролата, която защитава криптирания контейнер, като използвате редица съвременни технологии, включително речникови атаки, маскиращи атаки, използване на мутации и груба сила. (С изключение на VeraCrypt)

Гаранция за целостта и неизменността на данните

Осигурен е достъп до данни и работа с криптоконтейнери без промяна на тяхното съдържание. Автентичността и неизменността на получената информация е гарантирана.

Извличане на ключове за дешифриране

Elcomsoft Forensic Disk Decryptor извлича ключовете, с които данните са криптирани. С помощта на тези ключове дешифрирането се извършва в реално време - почти моментално.

Продуктът поддържа няколко метода за извличане на ключове за дешифриране.

  • Анализ на файла в хибернация (тестваният компютър е изключен);
  • Анализиране на моментна снимка на RAM на компютъра (може да бъде получена с помощта на вградената помощна програма)
  • Атакувайте през FireWire порта (компютърът трябва да е включен и криптираните томове трябва да са свързани). Атака през FireWire порта изисква допълнителен компютър с инсталиран безплатен продукт (например Inception).
  • Премахване на изображение на RAM с помощта на вградения инструмент (възможно е да стартирате от USB устройство)

Използване на пароли и ескроу ключове

Elcomsoft Forensic Disk Decryptor предоставя възможност за монтиране или пълно дешифриране на крипто контейнери с известна парола или депозиран ключ. Депозираните ключове на FileVault 2 могат да бъдат извлечени от облачната услуга на Apple iCloud с помощта на Elcomsoft Phone Breaker, а ключовете на BitLocker могат да бъдат извлечени от Active Directory или от Microsoft акаунт на потребител.

Извличане на ключове за дешифриране на данни

Ключът за декриптиране е необходим за получаване на достъп до криптираните данни и дешифриране на съдържанието на крипто контейнера. Elcomsoft Forensic Disk Decryptor поддържа три ключови метода за извличане. Изборът на един или друг метод зависи от това дали компютърът, който се изследва, е включен или изключен, както и дали е възможно да се стартира програма за заснемане на изображение („cast“) на RAM на компютъра, който се изследва.

Изключен компютър:в този случай ключовете се извличат от файла за хибернация. Защитените томове трябва да бъдат монтирани преди изключване на компютъра. Ако крипто контейнерът е демонтиран преди създаването на файла за хибернация, няма да е възможно да се извлекат ключове от него.

Компютърът е включен:ако е възможно, на изследвания компютър се стартира програма за моментна снимка на RAM. Съдържанието на RAM се записва във файл, от който Elcomsoft Forensic Disk Decryptor извлича ключовете за дешифриране. Шифрованите томове трябва да бъдат монтирани, когато се направи моментната снимка; в противен случай ключът за дешифриране не може да бъде извлечен. Подробно описание на тази технология (и пълен списък на търговски и безплатни програми е достъпен на http://www.forensicswiki.org/wiki/Tools:Memory_Imaging).

Компютърът е включен в режим на ограничен достъп:ако е невъзможно да се стартират програми на изследвания компютър (липсват привилегии, няма парола за потребителския акаунт и т.н.), ключовете могат да бъдат извлечени чрез атака през FireWire порта. Атаката се извършва от отделен компютър или лаптоп, свързан към разследвания компютър чрез интерфейса FireWire. За извършване на атаката се използва безплатна помощна програма, която се инсталира отделно (например Inception: http://www.breaknenter.org/projects/inception/). Този тип атака дава резултат, близък до сто процента. Криптираните томове трябва да бъдат монтирани по време на атаката.

След извличане на ключовете за дешифриране, те се съхраняват в базата данни, след което Elcomsoft Forensic Disk Decryptor ще предложи пълно дешифриране на съдържанието на криптоконтейнера или монтиране на защитените томове като нови дискове за декриптиране в движение.

Ако не е възможно да се извлекат ключовете за криптиране и ключовете за възстановяване не са налични, EFDD ще извлече от криптирания том данните, необходими за стартиране на разпределена атака с помощта на Elcomsoft Distributed Password Recovery.

Инструмент за изображения на RAM

Elcomsoft Forensic Disk Decryptor включва инструмент, който ви позволява да направите изображение на RAM паметта на вашия компютър. Инструментът работи чрез драйвер от ниско ниво, който работи в режим на ядрото на системата. Доставят се 32-битови и 64-битови версии на драйвера, съвместими с операционни системи. Windows системи 7, 8, 10 и съответните сървърни издания. Драйверът е цифрово подписан от Microsoft и е напълно съвместим с най-новите версии на Windows 10 Fall Creators Update, които проверяват цифровия подпис на драйвера.

Препоръчително е да стартирате помощната програма за премахване на изображения от RAM от външно USB устройство, на което е инсталирана преносимата версия на Elcomsoft Forensic Disk Decryptor.

Преносим монтаж

Потребителите на Elcomsoft Forensic Disk Decryptor могат да разположат преносимата версия на инструментариума за външен USBшофиране. Преносимата версия е от съществено значение при извършване на технически експертизи и съдебни анализи. Той работи директно от инсталационното устройство, не изисква инсталация или конфигурация на компютъра на потребителя и не променя системния регистър или файловата система.

Съвместимост

Elcomsoft Forensic Disk Decryptor поддържа криптирани томове, дискове и преносими носители, защитени с BitLocker, FileVault 2, PGP и TrueCrypt, както и RAW (DD) дискови изображения. Поддържа криптиране на флаш карти с помощта на BitLocker To Go, както и пълно дисково криптиране с помощта на PGP.