Elcomsoft Forensic Disk Decryptor
對加密的BitLocker�,PGP和TrueCrypt磁盤和容器的取證訪問
對使用桌面和便攜版本的BitLocker�����,PGP和TrueCrypt保護(hù)的卷和加密磁盤和執(zhí)行完整的取證分析�����。 Elcomsoft Forensic Disk Decryptor通過使用計(jì)算機(jī)RAM���,內(nèi)存轉(zhuǎn)儲(chǔ)或休眠文件�����,來裝載或解密加密卷即可即時(shí)訪問加密數(shù)據(jù)��。
特點(diǎn)和優(yōu)點(diǎn)
解密存儲(chǔ)在三個(gè)最常用的加密容器中的信息
裝載加密的BitLocker��,PGP和TrueCrypt卷
支持使用BitLocker To Go加密的可移動(dòng)介質(zhì)
支持Windows 10中的XTS-AES BitLocker加密11月更新(構(gòu)建1511)
支持加密容器和全磁盤加密
適用于物理磁盤�����,邏輯分區(qū)和RAW / DD圖像
可以使用托管密鑰(恢復(fù)密鑰)解密和裝載PGP和BitLocker卷
從RAM轉(zhuǎn)儲(chǔ)����,休眠文件獲取解密密鑰
如果存在多個(gè)加密容器��,則立即從內(nèi)存轉(zhuǎn)儲(chǔ)中提取所有可用的密鑰
快速采集(僅受磁盤讀取速度的限制)
零占用操作不留下痕跡����,并且不需要修改加密的卷內(nèi)容
恢復(fù)和存儲(chǔ)原始加密密鑰
支持從XP到Windows 10的所有32位和64位版本的Windows
訪問存儲(chǔ)在流行的加密容器中的信息
ElcomSoft為調(diào)查員提供了一種快速,輕松的方式來訪問存儲(chǔ)在由BitLocker����,PGP和TrueCrypt創(chuàng)建的加密容器中的加密信息。
兩種訪問模式[1]
通過解密加密卷的整個(gè)內(nèi)容或通過在解鎖的未加密模式下將卷作為驅(qū)動(dòng)器盤來安裝來提供訪問��。這兩種操作都可以使用卷作為連接的磁盤(物理或邏輯)或原始圖像;對于PGP和BitLocker���,可以使用恢復(fù)密鑰(如果可用)執(zhí)行解密和安裝����。
完全解密
在完全解密模式下,Elcomsoft Forensic Disk Decryptor將自動(dòng)解密加密容器的整個(gè)內(nèi)容��,使調(diào)查人員能夠完全�����,不受限制地訪問存儲(chǔ)在加密卷上的絕對所有信息����。
實(shí)時(shí)訪問加密信息
在實(shí)時(shí)模式下,Elcomsoft Forensic Disk Decryptor將加密卷作為調(diào)查者PC上的新驅(qū)動(dòng)器盤符���。在這種模式下�����,法醫(yī)專家可以快速�����,實(shí)時(shí)地訪問受保護(hù)的信息����。從安裝的磁盤和卷讀取的信息實(shí)時(shí)解密。
零占位操作
ElcomSoft提供了一個(gè)合理的解決方案��。該工具提供真正的零占用操作�����,不留下痕跡�,不對加密卷的內(nèi)容進(jìn)行任何更改��。
獲取加密密鑰的三種方法
Elcomsoft Forensic Disk Decryptor需要原始加密密鑰才能訪問存儲(chǔ)在加密容器中的受保護(hù)信息�。加密密鑰可以從安裝加密卷時(shí)獲取的休眠文件或內(nèi)存轉(zhuǎn)儲(chǔ)文件中提取。有三種方法可用于獲取原始加密密鑰:
通過分析休眠文件(如果被分析的PC被關(guān)閉);
通過分析內(nèi)存轉(zhuǎn)儲(chǔ)文件[2]
通過執(zhí)行FireWire攻擊[3](正在分析的PC必須運(yùn)行加密卷已安裝)��。
可以使用托管密鑰(恢復(fù)密鑰)解密或裝載BitLocker卷�。
獲取加密密鑰
存在用于獲取解密密鑰的至少三種不同的方法。三種方法之一的選擇取決于要分析的PC的運(yùn)行狀態(tài)��。這還取決于是否可能在所調(diào)查的PC上安裝取證工具���。
如果被調(diào)查的PC被關(guān)閉��,則可以從休眠文件中檢索加密密鑰�����。加密的卷必須在計(jì)算機(jī)進(jìn)入睡眠之前掛載����。如果在休眠之前卸載卷,則加密密鑰可能不是從休眠文件派生的����。
如果PC被打開,則如果允許安裝這樣的工具(例如�,PC被解鎖并且當(dāng)前登錄的帳戶具有管理特權(quán)),則可以用任何取證工具捕獲存儲(chǔ)器轉(zhuǎn)儲(chǔ)��。加密卷必須在獲取時(shí)安裝�����。
最后���,如果被調(diào)查的PC被打開����,但是安裝取證工具是不可能的(例如,PC被鎖定或登錄帳戶沒有管理權(quán)限)���,則可以執(zhí)行經(jīng)由FireWire端口的DMA攻擊��,以便獲得存儲(chǔ)器轉(zhuǎn)儲(chǔ)����。這種攻擊需要使用免費(fèi)的第三方工具�,并且提供接近100%的結(jié)果,因?yàn)閷?shí)現(xiàn)了FireWire協(xié)議��,內(nèi)存訪問�����。目標(biāo)PC和用于采集的計(jì)算機(jī)都必須具有FireWire(IEEE 1394)端口���。
一旦獲取了原始加密密鑰,Elcomsoft Forensic Disk Decryptor就會(huì)存儲(chǔ)密鑰以供將來訪問��,并提供解密加密容器的整個(gè)內(nèi)容或?qū)⑹鼙Wo(hù)磁盤作為另一個(gè)驅(qū)動(dòng)器號用于實(shí)時(shí)訪問的選項(xiàng)���。
支持的磁盤加密工具
Elcomsoft Forensic Disk Decrypto可支持由BitLocker��,PGP和TrueCrypt的當(dāng)前版本創(chuàng)建的加密卷����,包括使用BitLocker To Go加密的可移動(dòng)和閃存存儲(chǔ)介質(zhì)。支持PGP加密容器和全磁盤加密�,TrueCrypt系統(tǒng)和隱藏磁盤。
