Elcomsoft Forensic Disk Decryptor

Sofortiger Zugang zu Daten in verschlüsselten BitLocker-, FileVault 2-, PGP-, TrueCrypt- und VeraCrypt-Datenträger. Das Tool extrahiert kryptografische Schlüssel aus RAM-Abbildern sowie Ruhezustands- und Auslagerungsdateien und verwendet Klartext-Passwörter oder Escrow Schlüssel, um alle Dateien und Ordner zu entschlüsseln, die in Krypto-Archiven gespeichert sind. Verschlüsselte Datenträger werden für den sofortigen Echtzeitzugriff unter einem neuen Laufwerksbuchstaben gemountet.

  • Entschlüsselt BitLocker-, BitLocker To Go-, FileVault 2-, PGP-, TrueCrypt-, und VeraCrypt-Datenträger
  • Extrahiert Escrow und Recovery Keys sowie kryptografische Schlüssel aus RAM-Abbildern sowie Ruhezustands- und Auslagerungsdateien
  • Extrahiert und speichert alle verfügbaren Verschlüsselungsschlüssel
  • Verschlüsselte Archive werden sofort unter einem Laufwerksbuchstaben gemountet
  • Erfasst Daten aus dem flüchtigen Speicher des Computers mithilfe von dem Kernel-Level Tool
  • Schneller Zero-Footprint-Betrieb

Unterstützt: verschlüsselte Archive von BitLocker (einschließlich TPM-Konfigurationen), FileVault 2, PGP, TrueCrypt und VeraCrypt und vollständige Festplattenverschlüsselung, BitLocker To Go, XTS-AES BitLocker-Verschlüsselung, RAM-Dumps sowie Ruhezustands- und Auslagerungsdateien.

Common license $ 599
Jetzt kaufen

Neue Funktionen

Eingebautes Memory-Imaging-Tool

Elcomsoft Forensic Disk Decryptor wird mit einem Forensic-Speicher-Imaging-Tool ausgeliefert. Das Tool benutzt den Kernel-Level-Zugang zum flüchtigen Speicher des Computers, um ein möglichst vollständiges Speicherabbild aus dem Arbeitsspeicher zu erhalten. Der RAM-Imaging-Treiber arbeitet im Kernel-Modus und trägt eine digitale Signatur von Microsoft, wodurch der Treiber vollständig kompatibel zu allen 32-Bit- und 64-Bit-Versionen von Windows 7 bis zum neuesten Windows 10 Fall Creators-Update ist.

EnCase .E01 Support und portable Version

Elcomsoft Forensic Disk Decryptor 2.0 unterstützt ab sofort EnCase-Images im branchenüblichen ".EO1"-Format sowie verschlüsselte DMG-Images. Darüber hinaus kann Elcomsoft Forensic Disk Decryptor dazu verwendet werden, um eine portable Installation auf einem USB-Flash-Laufwerk zu erstellen. Mithilfe der portablen Version kann der Speicher des zu untersuchenden Computers abgebildet oder verschlüsselte Volumes entschlüsselt werden.

Voll integrierte Lösung für den Zugriff auf verschlüsselte Volumes

Elcomsoft Forensic Disk Decryptor bietet alle möglichen Methoden an, um einen Zugang zu Daten in verschlüsselten BitLocker-, FileVault 2-, PGP-, TrueCrypt- und VeraCrypt-Datenträger zu erhalten. Das Tool verwendet Klartext-Passwörter, Escrow- oder Wiederherstellungsschlüssel sowie die aus dem Speicherabbild des Computers extrahierten Binärschlüssel. FileVault 2-Wiederherstellungsschlüssel können mit Elcomsoft Phone Breaker aus der iCloud extrahiert werden, während BitLocker-Wiederherstellungsschlüssel im Active Directory oder im Microsoft-Konto des Benutzers verfügbar sind.

Wenn weder der Verschlüsselungsschlüssel noch der Wiederherstellungsschlüssel extrahiert werden kann, kann EFDD Metadaten aus dem verschlüsselten Container extrahieren, damit [Elcomsoft Distributed Password Recovery] (https://www.elcomsoft.com/edpr.html) seine Aufgabe erfüllen kann.

Vollständige Entschlüsselung, Instant Mount oder Attack

Dank einer vollautomatischen Erkennung von verschlüsselten Container und Verschlüsselungsalgorithmen müssen Experten nur den Pfad zum verschlüsselten Container oder Disk-Image angeben. Elcomsoft Forensic Disk Decryptor wird automatisch verschlüsselte Volumes und Details ihrer Verschlüsselungsalgorithmen erkennen und anzeigen.

Der Zugang ist entweder durch das Entschlüsseln des gesamten Inhalts eines verschlüsselten Datenträgers gewährleistet oder durch das Mounten des Datenträgers unter einem Laufwerksbuchstaben im unverschlüsselten Modus. Beide Operationen können mithilfe von Volumes als angeschlossene Festplatten (physische oder logische) oder RAW-Images ausgeführt werden; für FileVault 2, PGP und BitLocker können die Entschlüsselung und das Mounten mithilfe des Recovery Key (falls vorhanden) durchgeführt werden.

Vollständige Entschlüsselung

Während einer vollständigen Entschlüsselung wird Elcomsoft Forensic Disk Decryptor automatisch den gesamten Inhalt eines verschlüsselten Containers entschlüsseln, indem das Tool dem Ermittler einen vollen, uneingeschränkten Zugriff auf absolut alle Informationen des verschlüsselten Datenträgers gewährt.

Echtzeit-Zugang zu verschlüsselten Informationen

Im Echtzeit-Modus kann Elcomsoft Forensic Disk Decryptor den verschlüsselten Datenträger als neues Laufwerk mounten. In diesem Modus genießen Forensiker einen bequemen Zugriff auf die geschützten Informationen. Die Daten werden hierbei in Echtzeit entschlüsselt.

Kein Entschlüsselungsschlüssel und kein Wiederherstellungsschlüssel?

Wenn weder der Entschlüsselungsschlüssel noch der Wiederherstellungsschlüssel verfügbar sind, extrahiert Elcomsoft Forensic Disk Decryptor Metadaten, die erforderlich sind, um das Passwort mit Elcomsoft Distributed Password Recovery zu gewinnen.

Ein anderes Programm, Elcomsoft Distributed Password Recovery ermöglicht einen Angriff auf die Klartext-Passwörter, die Krypto-Archive schützen - mithilfe fortschrittlicher Angriffe über Wörterlisten, einschließlich Masken, Permutationen und Brute-Force. (Hinweis: VeraCrypt wird derzeit nicht unterstützt.)

Quellen der Verschlüsselungsschlüssel

Elcomsoft Forensic Disk Decryptor benötigt die Original-Schlüssel, um auf geschützte Daten in Krypto-Archiven zuzugreifen. Diese Schlüssel können aus Hibernation-Dateien oder Speicherabbildern ausgelesen werden, die erstellt wurden, während der verschlüsselte Datenträger gemountet war. Es gibt drei Möglichkeiten, diese Schlüssel zu bekommen:

  • Durch die Analyse der Hibernation-Datei (wenn der analysierte PC ausgeschaltet ist);
  • Durch die Analyse eines Speicherabbilds. Ein Speicherauszug eines laufenden PCs kann mit dem integrierten Speicherabbildungstool erfasst werden.
  • Durch einen FireWire-Angriff (der verschlüsselte Datenträger muss bei laufendem PC gemountet sein). Auf dem PC des Ermittlers muss ein kostenloses Tool (z. B. Inception) laufen, damit der FireWire-Angriff durchgeführt werden kann.
  • Durch die Erstellung des Speicherabbilds mithilfe vom eingebauten RAM-Imaging-Tool.

FileVault 2-, PGP- oder BitLocker-Volumes können mithilfe von Escrow-Schlüsseln (Recovery Schlüsseln) gemountet und entschlüsselt werden.

Alle Funktionen und Vorteile

Zugang zu Daten in den populärsten Krypto-Archiven

ElcomSoft bietet Forensikern eine schnelle, einfache Möglichkeit, auf verschlüsselte Daten in Krypto-Archiven von BitLocker, FileVault 2, PGP, TrueCrypt und VeraCrypt zuzugreifen.

Gewinnung der Schlüssel

Es gibt mindestens drei verschiedene Verfahren für die Gewinnung von Dechiffrierschlüsseln. Die Wahl für eine der drei Methoden ist abhängig vom Betriebszustand des analysierten Computers. Auch ist von Bedeutung, ob die Installation eines Forensik-Tools auf einem zu untersuchenden PC möglich ist.

Wenn der analysierte PC ausgeschaltet ist, sollten die Schlüssel aus der Hibernation-Datei extrahiert werden. Der verschlüsselte Datenträger muss gemountet sein, bevor der Computer in Ruhezustand versetzt wurde. Wenn der Datenträger bereits vor dem Ruhezustand entfernt wurde, können die Schlüssel nicht aus der Hibernation-Datei geborgen werden.

Wenn der PC eingeschaltet ist, kann ein Speicherabbild mit einem eingebauten Speicher-Imaging-Tool erfasst werden, wenn die Installation eines solchen Tools möglich ist (z. B. wenn der PC entsperrt ist und das im Moment eingeloggte Benutzerkonto Administratorrechte hat). Der verschlüsselte Datenträger muss zum Zeitpunkt des Zugriffs gemountet sein.

Schließlich, wenn der untersuchte PC eingeschaltet, aber die Installation eines forensischen Tools unmöglich ist (z. B. wenn der PC gesperrt ist oder das Administratorenrecht fehlt), kann ein DMA-Angriff über einen FireWire-Anschluss durchgeführt werden, um ein Speicherabbild zu erhalten. Dieser Angriff erfordert die Verwendung eines kostenlosen Drittanbieter-Tools (wie z. B. Inception: http://www.breaknenter.org/projects/inception/) und bietet einen beinahe sicheren Erfolg durch die Verwendung des FireWire-Protokolls, das den direkten Speicherzugriff (Direct Memory Access) ermöglicht. Sowohl der Ziel-PC als auch der Computer, der für die Speicherabbild-Erfassung verwendet wird, müssen hierzu FireWire (IEEE 1394)-Ports haben.

Nachdem die ursprünglichen Schlüssel erworben wurden, speichert Elcomsoft Forensic Disk Decryptor alle diese Schlüssel für den künftigen Zugang und bietet eine Möglichkeit, entweder den gesamten Inhalt der verschlüsselten Archive zu entschlüsseln oder den geschützten Datenträger unter einem anderen Laufwerksbuchstaben für einen Echtzeit-Zugang anzumelden.

Unterstützte Verschlüsselungstools

Elcomsoft Forensic Disk Decryptor unterstützt FileVault 2, BitLocker, PGP-Festplattenverschlüsselung und TrueCrypt, einschließlich Wechseldatenträgern und Flash-Speichermedien, die mit BitLocker To Go verschlüsselt sind. Er unterstützt PGP-verschlüsselte Archive und Full Disk-Verschlüsselung, TrueCrypt-Systemlaufwerke und versteckte Container.

Tutorial

Systemanforderungen

Windows

  • Windows Server 2008
  • Windows 7 (32 bit)
  • Windows 7 (64 bit)
  • Windows 8
  • Windows 8.1
  • Windows 10
  • Windows Server 2012
  • Windows 2016
  • Speicherabbild- oder Ruhezustandsdatei, die Datenträgerverschlüsselungs-Schlüssel enthält (erstellt, wenn der verschlüsselte Datenträger bereitgestellt wurde)

Systemanforderungen

  • Windows 7, Windows 8/8.1, Windows 10, Windows Server 2003/2008/2012/2016
  • Ungefähr 8MB von freier Speicherplatz auf der Festplatte
  • Administratorenrechte (um Speicherabbild zu erhalten)
  • Speicher-Dump oder die Ruhezustandsdatei mit Verschlüsselungsschlüsseln (die erstellt wurden, während Krypto-Container gemounted wurde), oder Escrow-/Wiederherstellungsschlüssel (FileVault 2, BitLocker oder PGP), oder ein Passwort

Einschränkungen in der Testversion

In der kostenlose Testversion von EFDD ist es nicht möglich, den Verschlüsselungsschlüssel zu speichern. Im Entschlüsselungs-/Mount-Modus wird nur die Gültigkeit der Schlüssel überprüft, die Laufwerke werden jedoch nicht entschlüsselt oder bereitgestellt.

Versionshinweise

Elcomsoft Forensic Disk Decryptor v.2.10.567

16 August, 2018

  • added support for VeraCrypt
  • added support for BitLocker encryption with TPM

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Systemanforderungen

Windows

  • Windows Server 2008
  • Windows 7 (32 bit)
  • Windows 7 (64 bit)
  • Windows 8
  • Windows 8.1
  • Windows 10
  • Windows Server 2012
  • Windows 2016
  • Speicherabbild- oder Ruhezustandsdatei, die Datenträgerverschlüsselungs-Schlüssel enthält (erstellt, wenn der verschlüsselte Datenträger bereitgestellt wurde)

Systemanforderungen

  • Windows 7, Windows 8/8.1, Windows 10, Windows Server 2003/2008/2012/2016
  • Ungefähr 8MB von freier Speicherplatz auf der Festplatte
  • Administratorenrechte (um Speicherabbild zu erhalten)
  • Speicher-Dump oder die Ruhezustandsdatei mit Verschlüsselungsschlüsseln (die erstellt wurden, während Krypto-Container gemounted wurde), oder Escrow-/Wiederherstellungsschlüssel (FileVault 2, BitLocker oder PGP), oder ein Passwort

Einschränkungen in der Testversion

In der kostenlose Testversion von EFDD ist es nicht möglich, den Verschlüsselungsschlüssel zu speichern. Im Entschlüsselungs-/Mount-Modus wird nur die Gültigkeit der Schlüssel überprüft, die Laufwerke werden jedoch nicht entschlüsselt oder bereitgestellt.

Versionshinweise

Elcomsoft Forensic Disk Decryptor v.2.10.567

16 August, 2018

  • added support for VeraCrypt
  • added support for BitLocker encryption with TPM

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Elcomsoft Forensic Disk Decryptor kaufen

Common license
$ 599
Jetzt kaufen