Elcomsoft Forensic Disk Decryptor

Sofortiger Zugang zu Daten in verschlüsselten BitLocker-, FileVault 2-, PGP Disk-, TrueCrypt- und VeraCrypt-Festplatten und -Container. Das Tool extrahiert kryptografische Schlüssel aus RAM-Abbildern sowie Ruhezustands- und Auslagerungsdateien und verwendet Klartext-Passwörter oder Escrow Schlüssel, um alle Dateien und Ordner zu entschlüsseln, die in Krypto-Archiven gespeichert sind. Verschlüsselte Datenträger werden für den sofortigen Echtzeitzugriff unter einem neuen Laufwerksbuchstaben gemountet.

  • Entschlüsselt BitLocker-, BitLocker To Go-, FileVault 2-, PGP Disk-, TrueCrypt-, und VeraCrypt-Festplatten und -Container
  • Extrahiert Escrow und Recovery Keys sowie kryptografische Schlüssel aus RAM-Abbildern sowie Ruhezustands- und Auslagerungsdateien
  • Verschlüsselte Archive werden sofort unter einem Laufwerksbuchstaben gemountet
  • Erfasst Daten aus dem flüchtigen Speicher des Computers mithilfe von dem Kernel-Level Tool
  • Extrahiert Verschlüsselungs-Metadaten von TrueCrypt-, VeraCrypt-, BitLocker-, FileVault-, PGP Disk- und LUKS/LUKS2-verschlüsselten Festplatten und Jetico BestCrypt Festplatten und Container

Unterstützt: verschlüsselte Archive von BitLocker (einschließlich TPM-Konfigurationen), FileVault 2 (einschließlich APFS-Volumes), LUKS, PGP Disk, TrueCrypt und VeraCrypt und vollständige Festplattenverschlüsselung, BitLocker To Go, XTS-AES BitLocker-Verschlüsselung, Jetico BestCrypt, RAM-Dumps sowie Ruhezustands- und Auslagerungsdateien.

Common license $ 699
Jetzt kaufen

Neue Funktionen

Festlegen von Verschlüsselungs- und Hashing-Algorithmen für TrueCrypt / VeraCrypt

Mit TrueCrypt und VeraCrypt können Benutzer den Verschlüsselungs-Algorithmus sowie die Hash-Funktion ändern, mit der der Verschlüsselungs-Schlüssel aus dem Passwort generiert wird. Diese Informationen werden nirgendwo im verschlüsselten Container gespeichert. In dieser Version haben wir die Möglichkeit hinzugefügt, Verschlüsselungs-Algorithmen anzugeben, wenn Verschlüsselungs-Metadaten von TrueCrypt- und VeraCrypt-Volumes erfasst werden.

LUKS2-Verschlüsselung

Wir haben Unterstützung für die LUKS2-Verschlüsselung hinzugefügt. Das Tool kann LUKS2-Metadaten von verschlüsselten Festplatten und Containern extrahieren.

Voll integrierte Lösung für den Zugriff auf verschlüsselte Volumes

Elcomsoft Forensic Disk Decryptor bietet alle möglichen Methoden an, um einen Zugang zu Daten in verschlüsselten BitLocker-, FileVault 2-, LUKS, LUKS2, PGP Disk-, TrueCrypt- und VeraCrypt-Datenträger und Jetico BestCrypt 9-Container zu erhalten. Das Tool verwendet Klartext-Passwörter, Escrow- oder Wiederherstellungsschlüssel sowie die aus dem Speicherabbild des Computers extrahierten Binärschlüssel. FileVault 2-Wiederherstellungsschlüssel können mit Elcomsoft Phone Breaker aus der iCloud extrahiert werden, während BitLocker-Wiederherstellungsschlüssel im Active Directory oder im Microsoft-Konto des Benutzers verfügbar sind.

Wenn weder der Verschlüsselungsschlüssel noch der Wiederherstellungsschlüssel extrahiert werden kann, kann EFDD Metadaten aus dem verschlüsselten Container extrahieren, damit [Elcomsoft Distributed Password Recovery] (https://www.elcomsoft.com/edpr.html) seine Aufgabe erfüllen kann.

Extrahieren von Verschlüsselungs-Metadaten

Das Extrahieren von Verschlüsselungs-Metadaten von der verschlüsselten Festplatten ist erforderlich, wenn man einen Zugriff auf das ursprüngliche Klartext-Passwort benötigt, um auf die Daten zugreifen zu können. Forensic Disk Decryptor extrahiert die Verschlüsselungs-Metadaten sofort von verschlüsselten Festplatten, Kryptocontainern und forensischen Disk-Images, die mit TrueCrypt, VeraCrypt, BitLocker, FileVault, PGP Disk, LUKS/LUKS2 oder Jetico BestCrypt geschützt sind. Die erforderliche kleine Datei enthält alles, was zum Starten eines GPU-beschleunigten verteilten Angriffs mit Elcomsoft Distributed Password Recovery erforderlich ist.

Vollständige Entschlüsselung, Instant Mount oder Attack

Dank einer vollautomatischen Erkennung von verschlüsselten Container und Verschlüsselungsalgorithmen müssen Experten nur den Pfad zum verschlüsselten Container oder Disk-Image angeben. Elcomsoft Forensic Disk Decryptor wird automatisch verschlüsselte Volumes und Details ihrer Verschlüsselungsalgorithmen erkennen und anzeigen.

Der Zugang ist entweder durch das Entschlüsseln des gesamten Inhalts eines verschlüsselten Datenträgers gewährleistet oder durch das Mounten des Datenträgers unter einem Laufwerksbuchstaben im unverschlüsselten Modus. Beide Operationen können mithilfe von Volumes als angeschlossene Festplatten (physische oder logische) oder RAW-Images ausgeführt werden; für FileVault 2, PGP und BitLocker können die Entschlüsselung und das Mounten mithilfe des Recovery Key (falls vorhanden) durchgeführt werden.

Vollständige Entschlüsselung

Während einer vollständigen Entschlüsselung wird Elcomsoft Forensic Disk Decryptor automatisch den gesamten Inhalt eines verschlüsselten Containers entschlüsseln, indem das Tool dem Ermittler einen vollen, uneingeschränkten Zugriff auf absolut alle Informationen des verschlüsselten Datenträgers gewährt.

Echtzeit-Zugang zu verschlüsselten Informationen

Im Echtzeit-Modus kann Elcomsoft Forensic Disk Decryptor den verschlüsselten Datenträger als neues Laufwerk mounten. In diesem Modus genießen Forensiker einen bequemen Zugriff auf die geschützten Informationen. Die Daten werden hierbei in Echtzeit entschlüsselt.

Kein Entschlüsselungsschlüssel und kein Wiederherstellungsschlüssel?

Wenn weder der Entschlüsselungsschlüssel noch der Wiederherstellungsschlüssel verfügbar sind, extrahiert Elcomsoft Forensic Disk Decryptor Metadaten, die erforderlich sind, um das Passwort mit Elcomsoft Distributed Password Recovery zu gewinnen.

Ein anderes Programm, Elcomsoft Distributed Password Recovery ermöglicht einen Angriff auf die Klartext-Passwörter, die Krypto-Archive schützen - mithilfe fortschrittlicher Angriffe über Wörterlisten, einschließlich Masken, Permutationen und Brute-Force.

Quellen der Verschlüsselungsschlüssel

Elcomsoft Forensic Disk Decryptor benötigt die Original-Schlüssel, um auf geschützte Daten in Krypto-Archiven zuzugreifen. Diese Schlüssel können aus Hibernation-Dateien oder Speicherabbildern ausgelesen werden, die erstellt wurden, während der verschlüsselte Datenträger gemountet war. Es gibt drei Möglichkeiten, diese Schlüssel zu bekommen:

  • Durch die Analyse der Hibernation-Datei (wenn der analysierte PC ausgeschaltet ist);
  • Durch die Analyse eines Speicherabbilds. Ein Speicherauszug eines laufenden PCs kann mit dem integrierten Speicherabbildungstool erfasst werden.
  • Durch einen FireWire-Angriff (der verschlüsselte Datenträger muss bei laufendem PC gemountet sein). Auf dem PC des Ermittlers muss ein kostenloses Tool (z. B. Inception) laufen, damit der FireWire-Angriff durchgeführt werden kann.
  • Durch die Erstellung des Speicherabbilds mithilfe vom eingebauten RAM-Imaging-Tool.

FileVault 2-, PGP- oder BitLocker-Volumes können mithilfe von Escrow-Schlüsseln (Recovery Schlüsseln) gemountet und entschlüsselt werden.

Weitere Funktionen hinzufügen

Elcomsoft Encrypted Disk Hunter

Elcomsoft Encrypted Disk Hunter ist ein kostenloses Befehlszeilentool, mit dem Experten bei der Durchführung von Live-Systemanalysen schnell feststellen können, ob verschlüsselte Volumes vorhanden sind.

Es werden mehrere Windows-, Linux- und macOS-Festplattenverschlüsselungs-Tools unterstützt, darunter TrueCrypt/VeraCrypt, alle Versionen von Microsoft BitLocker, PGP WDE, FileVault2, BestCrypt und LUKS. Das Tool muss mit Administratorrechten auf dem zu analysierenden Live-System gestartet werden. Wenn ein verschlüsseltes Volume erkannt wird, ist möglicherweise eine weitere Untersuchung eines Live-Systems erforderlich, um Beweise zu erhalten, die beim Ausschalten des Computers verloren gehen könnten.

» Mehr über Elcomsoft Encrypted Disk Hunter in unserem Blog lesen

Alle Funktionen und Vorteile

Zugang zu Daten in den populärsten Krypto-Archiven

ElcomSoft bietet Forensikern eine schnelle, einfache Möglichkeit, auf verschlüsselte Daten zuzugreifen, die auf einer Vielzahl von verschlüsselten Datenträgern gespeichert sind.

Gewinnung der Schlüssel

Es gibt mindestens drei verschiedene Verfahren für die Gewinnung von Dechiffrierschlüsseln. Die Wahl für eine der drei Methoden ist abhängig vom Betriebszustand des analysierten Computers. Auch ist von Bedeutung, ob die Installation eines Forensik-Tools auf einem zu untersuchenden PC möglich ist.

Wenn der analysierte PC ausgeschaltet ist, sollten die Schlüssel aus der Hibernation-Datei extrahiert werden. Der verschlüsselte Datenträger muss gemountet sein, bevor der Computer in Ruhezustand versetzt wurde. Wenn der Datenträger bereits vor dem Ruhezustand entfernt wurde, können die Schlüssel nicht aus der Hibernation-Datei geborgen werden.

Wenn der PC eingeschaltet ist, kann ein Speicherabbild mit einem eingebauten Speicher-Imaging-Tool erfasst werden, wenn die Installation eines solchen Tools möglich ist (z. B. wenn der PC entsperrt ist und das im Moment eingeloggte Benutzerkonto Administratorrechte hat). Der verschlüsselte Datenträger muss zum Zeitpunkt des Zugriffs gemountet sein.

Schließlich, wenn der untersuchte PC eingeschaltet, aber die Installation eines forensischen Tools unmöglich ist (z. B. wenn der PC gesperrt ist oder das Administratorenrecht fehlt), kann ein DMA-Angriff über einen FireWire-Anschluss durchgeführt werden, um ein Speicherabbild zu erhalten. Dieser Angriff erfordert die Verwendung eines kostenlosen Drittanbieter-Tools (wie z. B. Inception: http://www.breaknenter.org/projects/inception/) und bietet einen beinahe sicheren Erfolg durch die Verwendung des FireWire-Protokolls, das den direkten Speicherzugriff (Direct Memory Access) ermöglicht. Sowohl der Ziel-PC als auch der Computer, der für die Speicherabbild-Erfassung verwendet wird, müssen hierzu FireWire (IEEE 1394)-Ports haben.

Nachdem die ursprünglichen Schlüssel erworben wurden, speichert Elcomsoft Forensic Disk Decryptor alle diese Schlüssel für den künftigen Zugang und bietet eine Möglichkeit, entweder den gesamten Inhalt der verschlüsselten Archive zu entschlüsseln oder den geschützten Datenträger unter einem anderen Laufwerksbuchstaben für einen Echtzeit-Zugang anzumelden.

Unterstützte Verschlüsselungstools

Elcomsoft Forensic Disk Decryptor unterstützt FileVault 2-, BitLocker-, LUKS/LUKS2-, PGP-Festplattenverschlüsselung, VeraCrypt und TrueCrypt, einschließlich Wechseldatenträgern und Flash-Speichermedien, die mit BitLocker To Go verschlüsselt sind. EFDD unterstützt PGP Disk-verschlüsselte Archive und Full Disk-Verschlüsselung, VeraCrypt- und TrueCrypt-Systemlaufwerke und versteckte Container, Jetico BestCrypt 9-Container.

Tutorial

Systemanforderungen

Windows

  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008-2022
  • Administratorenrechte (um Speicherabbild zu erhalten)
  • Speicher-Dump oder die Ruhezustandsdatei mit Verschlüsselungsschlüsseln (die erstellt wurden, während Krypto-Container gemounted wurde), oder Escrow-/Wiederherstellungsschlüssel (FileVault 2, BitLocker oder PGP Disk), oder ein Passwort

Einschränkungen in der Testversion

In der kostenlose Testversion von EFDD ist es nicht möglich, den Verschlüsselungsschlüssel zu speichern. Im Entschlüsselungs-/Mount-Modus wird nur die Gültigkeit der Schlüssel überprüft, die Laufwerke werden jedoch nicht entschlüsselt oder bereitgestellt.

Versionshinweise

Elcomsoft Forensic Disk Decryptor v.2.20.1011

  • added support for LUKS2 encryption
  • minor bug fixes and performance improvements

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Systemanforderungen

Windows

  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008-2022
  • Administratorenrechte (um Speicherabbild zu erhalten)
  • Speicher-Dump oder die Ruhezustandsdatei mit Verschlüsselungsschlüsseln (die erstellt wurden, während Krypto-Container gemounted wurde), oder Escrow-/Wiederherstellungsschlüssel (FileVault 2, BitLocker oder PGP Disk), oder ein Passwort

Einschränkungen in der Testversion

In der kostenlose Testversion von EFDD ist es nicht möglich, den Verschlüsselungsschlüssel zu speichern. Im Entschlüsselungs-/Mount-Modus wird nur die Gültigkeit der Schlüssel überprüft, die Laufwerke werden jedoch nicht entschlüsselt oder bereitgestellt.

Versionshinweise

Elcomsoft Forensic Disk Decryptor v.2.20.1011

  • added support for LUKS2 encryption
  • minor bug fixes and performance improvements

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Elcomsoft Forensic Disk Decryptor kaufen

Common license
$ 699
Jetzt kaufen