Elcomsoft System Recovery

Zurücksetzen oder Wiederherstellen von Passwörtern für lokale Windows- und Microsoft-Konten in allen Windows-Versionen. Verleihen Sie jedem beliebigen Benutzerkonto Administratorrechte, setzen Sie abgelaufene Passwörter zurück oder exportieren Sie gehashte Passwörter für die Offline-Wiederherstellung. Erstellen Sie forensische Disk-Images. Wird mit bootfähigem Windows PE geliefert.

  • Führt forensisch einwandfreie Extraktionen durch
  • Setzt Passwörter von Windows-Konten zurück
  • Extrahiert Verschlüsselungs-Metadaten von TrueCrypt-, VeraCrypt-, Bitlocker-, FileVault- (HFS + / APFS), PGP Disk- und LUKS-verschlüsselten Festplatten
  • Erstellt forensische Disk-Images
  • Stellen Sie Passwörter für lokale Konten, Microsoft-Konten und WLAN-Netzwerke wieder her
  • Benutzerdefiniertes Windows PE mit umfassender Hardware-Kompatibilität und nativem FAT- und NTFS-Support

Unterstützt: Windows 7, 8, 8.1, Windows 10; Windows 11; Windows Vista, Windows XP, Windows 2000, Windows NT; alle relevanten Windows Server-Versionen; 32-Bit- und 64-Bit-Systeme; Windows PE mit 32-Bit- und 64-Bit-UEFI- und -BIOS-Konfigurationen; geläufige Windows GUI; SAM/SYSTEM und Active Directory.

Professional Edition $ 299
Jetzt kaufen

Neue Funktionen

Bootfähige forensische Tools

In der neuesten Version wurden Funktionen eingeführt, die die Analyse von Computersystemen im Feld erleichtern. Die neu hinzugefügten forensischen Tools ermöglichen es, die Liste der installierten Apps zu überprüfen, die Tmeline der Benutzer zu analysieren und auf die Liste der zuletzt aufgerufenen Dateien und Ordner zuzugreifen. Diese Tools können sofort vom bootfähigen Laufwerk gestartet werden und wurden entwickelt, um Untersuchungen zu beschleunigen, indem sie den langwierigen Disk-Imaging- und Analyseprozess verkürzen.

Forensisch fundierte Extraktionen und überprüfbare Disk-Images

Elcomsoft System Recovery erhält Funktionen, die Untersuchungen vor Ort effizienter und einfacher machen sollen. ESR kann forensisch fundierte Feldanalysen durch schreibblockierende Disk-Imaging, schreibgeschützten Zugriff auf Daten und Unterstützung für verifizierbare .E01-Images ermöglichen. Diese Funktionen helfen, gerichtlich zulässige Beweise zu erstellen, und ermöglichen eine anschließende Analyse mit forensischen Tools von Drittanbietern.

Forensisch fundierte Extraktionen, überprüfbares Disk Imaging

Wenn Experten während einer Untersuchung vor Ort auf ein gesperrtes System zugreifen, ist Geschwindigkeit oft der wichtigste Faktor. Die Wahrung der Unveränderlichkeit digitaler Daten ist jedoch bei der Erstellung gerichtlich zulässiger Beweismittel von entscheidender Bedeutung. Elcomsoft System Recovery enthält Funktionen, die dabei helfen, die Unveränderlichkeit digitaler Daten während der gesamten Untersuchung aufrechtzuerhalten.

Um digitale Beweise zu bewahren, beginnt die Sicherung der Unveränderlichkeit digitaler Daten bereits bei der Datenerhebung. Elcomsoft System Recovery verwendet einen forensisch fundierten Workflow, um sicherzustellen, dass digitale Beweise, die während der Untersuchung gesammelt wurden, vor Gericht zulässig bleiben. Der Workflow implementiert einen schreibgeschützten Zugriff auf den Zielcomputer und speichert gesammelte Beweise in Form von digital signierten, überprüfbaren Disk-Images. All dies macht Elcomsoft System Recovery zu einer praktikablen Alternative zu hardwarebasierten Disk-Imaging-Geräten mit Schreibblockierung und bietet gleichzeitig Echtzeitzugriff auf wichtige Beweise.

Der schreibblockierende Festplattenzugriff

Elcomsoft System Recovery hilft bei der Erstellung gerichtstauglicher Beweise mit Schreibblockierungs-Modus und schreibgeschütztem Disk-Imaging. Der Schreibblockierungs-Modus wird standardmäßig während der ersten Schritte der Ausführung von Elcomsoft System Recovery aktiviert, um sicherzustellen, dass keine Daten auf dem Zielcomputer geändert werden. Der schreibblockierende Festplattenzugriff ist der Standardmodus des Tools. Experten müssen das Kontrollkästchen „Nur lesen“ deaktivieren, um auf Systemverwaltungs-Funktionen zuzugreifen, wie z. B. das Zurücksetzen von Windows-Benutzer- und Administrator-Passwörtern.

Überprüfbares Disk-Imaging

Die Datenträger können in überprüfbare .E01-Images abgebildet werden. Zusammen mit dem Nur-Lese-Zugriff trägt die Verwendung von Hashing dazu bei, die Unveränderlichkeit digitaler Daten zu erhalten. Durch die Verwendung des branchenüblichen .E01-Formats sind Disk-Images mit forensischen Tools von Drittanbietern für eine umfassende Analyse kompatibel. Unabhängig davon, ob die Festplatte in ein RAW/DD- oder das neu unterstützte .E01-Format geimaget wird, berechnet Elcomsoft System Recovery eine Hash-Datei und speichert sie zusammen mit dem Image. Die während der Sammlung berechneten Hash-Werte können verwendet werden, um Beweise zu einem späteren Zeitpunkt zu authentifizieren.

Verbesserter Workflow für die Festplatten-Verschlüsselung

Elcomsoft System Recovery vereinfacht den Zugriff auf Daten, die auf verschlüsselten Festplatten und Containern gespeichert sind. Bei der automatischen Erkennung verschlüsselter Laufwerke extrahiert ESR automatisch die Hashes, die zum Starten eines Angriffs[1] auf das Passwort des verschlüsselten Laufwerks erforderlich sind, und speichert sie auf dem Flash-Laufwerk, um einen schnelleren Zugriff auf verschlüsselte Beweise zu ermöglichen. Darüber hinaus kann ESR Ruhezustandsdateien extrahieren und speichern, die die Verschlüsselungsschlüssel enthalten, um auf Informationen zuzugreifen, die in verschlüsselten Volumes gespeichert sind. Mit diesen Schlüsseln können Sie verschlüsselte Volumes sofort bereitstellen oder deren Inhalt für die Offline-Analyse entschlüsseln.

Verschlüsselte virtuelle Maschinen

In der Welt der High-Tech-Kriminalität sind verschlüsselte virtuelle Maschinen ein oft verwendetes Verschleierungstool. Die manuelle Identifizierung solcher virtueller Maschinen kann ein aufwändiger manueller Prozess sein. Elcomsoft System Recovery vereinfacht diesen Vorgang, indem verschlüsselte virtuelle Maschinen in den meisten gängigen Formaten automatisch erkannt werden. Sobald eine passwortgeschützte virtuelle Maschine gefunden wird, extrahiert das Tool die erforderlichen Verschlüsselungs-Metadaten, um nachfolgende Angriffe auf das Passwort mit Elcomsoft Distributed Password Recovery zu ermöglichen.

Passwörter für Windows-Konten wiederherstellen oder zurücksetzen

Vergessene Passwörter und gesperrte Konten machen bis zu 40% der Anfragen bei technischen Hotlines aus. Mit Elcomsoft System Recovery können Windows-Passwörter zurückgesetzt werden, um sofort wieder Zugriff auf die benötigten Benutzerkonten zu erlangen. Unterstützt werden neben Windows-Konten auch cloudbasierte Microsoft-Konten und Netzwerk-Domänen. Dies macht Elcomsoft System Recovery zu einem Must-Have für Administratoren, ITler und Security Spezialisten.

SYSKEY-Passwörter zurücksetzen oder wiederherstellen

SYSKEY-Passwörter waren eine zweifelhafte und kontroverse Möglichkeit, um die Windows-Anmeldung um eine zusätzliche Sicherheitsebene zu erweitern. In älteren Windows-Versionen wurden SYSKEY-Passwörter aus Windows 10 und Windows Server 2016 Version 1709 entfernt. Ein unbekanntes SYSKEY-Kennwort blockiert den Windows-Start und verhindert, dass das Kennwort des Benutzers wiederhergestellt oder zurückgesetzt werden kann.

Elcomsoft System Recovery kann SYSKEY-Passwörter zurücksetzen, um den normalen Startvorgang des Systems wiederherzustellen. Vor dem Zurücksetzen eines SYSKEY-Passworts überprüft ESR nun, ob diese Operation für das System sicher ist.

Außerdem können Sie mit Elcomsoft System Recovery zwischengespeicherte SYSKEY-Kennwörter in verschiedenen Systemdatenbanken und Cache-Dateien suchen, bevor Sie sie zurücksetzen.

Sofortiger Reset und konfigurierbare Angriffe

Mit Elcomsoft System Recovery kann das ursprüngliche Passwort mit einem Klick zurückgesetzt werden. Alternativ können auch vordefinierte Brute-Force-Attacken gegen Hashes gefahren werden, um das ursprüngliche Passwort wiederherzustellen. Darüber hinaus können Benutzer ihre eigenen benutzerdefinierten Wörterbücher für leistungsstarke Wörterbuchangriffe mit bis zu 4 Mutationsstufen hochladen.

Elcomsoft System Recovery entsperrt auf Knopfdruck alle Benutzerkonten von 32- oder 64-Bit-Versionen von Windows 7, 8, 8.1 und 10. Auch ältere Versionen wie Vista, XP, 2000, NT und die entsprechenden Versionen von Windows Server (bis einschließlich Windows Server 2019) werden unterstützt.

Bootfähig und sofort einsatzbereit

Im Lieferumfang von Elcomsoft System Recovery befindet sich alles, was es braucht, um schnell eine bootfähige DVD oder einen Bootstick zu erstellen. Das hierfür verwendete Image besteht aus einer vorkonfigurierten WinPE mit zahlreichen zusätzlichen Treibern, um sowohl klassische als auch moderne Hardware gleichermaßen zu unterstützen.

Hilfe sofort

Erstellen sie einen Bootstick in ein paar einfachen Schritten und erhalten Sie sofort Hilfe mit ihrem System.

Einfach einzusetzen

Durch Verwendung einer echten WinPE arbeiten Sie mit der gewohnten grafischen Benutzeroberfläche von Windows. Keine Eingabeaufforderung oder schlecht designte Kopie, sondern das echte Windows von einem Windows Preinstallation Environment.

Erstellen sie eine bootfähige DVD oder einen Bootstick mit Hilfe des Assistenten, booten Sie damit dann Elcomsoft System Recovery und beheben Sie die Passwortprobleme auf Ihrem System.

Elcomsoft System Recovery in der Praxis

Als All-in-One-Tool für Windows-Konten bietet Elcomsoft System Recovery eine Vielzahl an Lösungen für verschiedene Problemstellungen:

  • Durchführen einer forensisch fundierten Datenerhebung
  • Durchführung von Feldanalysen und Disk-Imaging
  • Gericht zulässige Beweise während der Ermittlungen vor Ort zu sammeln
  • Administratorrechte können an beliebige Nutzer vergeben werden
  • Benutzerkonten können entsperrt werden
  • Forensische Disk-Images können für eine nachfolgende Analyse im Labor erstellt werden
  • Passwörter können zurückgesetzt und neu festgelegt werden
  • Alle Benutzerkonten mit und ohne Administratorrechte werden aufgelistet
  • Benutzerrechte können eingesehen werden
  • Benutzerkonten ohne Passwort werden angezeigt
  • Für bestimmte Benutzerkonten, die vom System angelegt wurden, wie IUSR und andere, lassen sich Passwörter sofort wiederherstellen
  • SAM-/System-Dateien lassen sich downloaden oder wiederherstellen
  • Wahlweise lassen sich die Original-SAM-/System-Dateien nach einem erfolgreichen Login wiederherstellen

Weitere Funktionen hinzufügen

Elcomsoft Encrypted Disk Hunter

Elcomsoft Encrypted Disk Hunter ist ein kostenloses Befehlszeilentool, mit dem Experten bei der Durchführung von Live-Systemanalysen schnell feststellen können, ob verschlüsselte Volumes vorhanden sind.

Es werden mehrere Windows-, Linux- und macOS-Festplattenverschlüsselungs-Tools unterstützt, darunter TrueCrypt/VeraCrypt, alle Versionen von Microsoft BitLocker, PGP WDE, FileVault2, BestCrypt und LUKS. Das Tool muss mit Administratorrechten auf dem zu analysierenden Live-System gestartet werden. Wenn ein verschlüsseltes Volume erkannt wird, ist möglicherweise eine weitere Untersuchung eines Live-Systems erforderlich, um Beweise zu erhalten, die beim Ausschalten des Computers verloren gehen könnten.

» Mehr über Elcomsoft Encrypted Disk Hunter in unserem Blog lesen


  1. Elcomsoft Distributed Password Recovery ist erforderlich, um Passwörter zu verschlüsselten Containern wiederherzustellen. 

Alle Funktionen und Vorteile

Breite Hardware-Unterstützung

Die WinPE von Elcomsoft System Recovery wurde in vielerlei Hinsicht angepasst und erweitert. Unterstützt wird eine sehr große Bandbreite an Hardware. Verschiedenste Massenspeicher, Controller und Chipsets sind in der Treiberdatenbank erfasst. Ein weiterer Vorteil ist die Unterstützung von aktuellen Microsoft Dateisystemen, die standardmäßig von WinPE nicht gewährleistet ist.

Schnelle forensische Tools

Schnelle forensische Tools erleichtern die Analyse von Computersystemen vor Ort, indem sie von einem externen USB-Laufwerk booten. Die neu hinzugefügten Tools ermöglichen es, die Liste der im System installierten Anwendungen zu überprüfen, die Timeline der Benutzer zu analysieren und auf die Liste der zuletzt aufgerufenen Dateien und Ordner zuzugreifen. Diese Tools können sofort vom bootfähigen Laufwerk gestartet werden und wurden entwickelt, um Untersuchungen zu beschleunigen, indem sie den langwierigen Disk-Imaging- und Analyseprozess verkürzen. Die Passwörter der Benutzer sind nicht erforderlich.

macOS Verschlüsselung

Mit Elcomsoft System Recovery können Experten jetzt ein Flash-Laufwerk erstellen, um MacOS-Computer zu starten. Mit dem bootfähigen Flash-Laufwerk können Experten Hashes von TrueCrypt-, VeraCrypt-, Bitlocker-, FileVault- (HFS + / APFS), PGP Disk- und LUKS-verschlüsselten Festplatten extrahieren, um schnell Passwortangriffe auf verschlüsselte Volumes durchzuführen, ohne das gesamte Laufwerk abzubilden.

Sofortiges Entsperren

Falls das Windows-Konto keine EFS-verschlüsselten Dateien enthält, kann das Konto innerhalb von Sekunden zurückgesetzt werden und ein neues Passwort wird vergeben. Mit diesem neuen Passwort kann sich der Nutzer im Anschluss sofort bei seinem alten Konto einloggen. Zeit- und rechenintensive Recovery-Prozesse müssen nicht ausgeführt werden.

Windows- und WLAN-Passwörter wiederherstellen

Um an das Original-Passwort zu gelangen, bietet Elcomsoft System Recovery integrierte Tools, die mit intelligenten Brute-Force-Attacken das ursprüngliche Passwort oftmals binnen Minuten wiederherstellen können. Standard-Kombinationen und Wörterbuch-Angriffe sind oftmals schnelle und erfolgversprechende Ansätze.

Darüber hinaus kennt die Software eine Anzahl an Speicherorten, an denen Windows oftmals die Passwörter zwischenspeichert. Sollte die Software dabei Erfolg haben, kann das ursprüngliche Passwort sogar binnen Sekunden wiederhergestellt werden.

Scheitern beide Ansätze, bietet Elcomsoft System Recovery eine dritte Option. Denn möglich ist auch, den Hashwert des Passworts zu extrahieren und gegen den Hash offline Brute-Force-Angriffe zu fahren. Elcomsoft Distributed Password Recovery ist eine Software, die mit Grafikkarten-Power und als Clusterverbund hocheffiziente Brute-Force-Attacken gegen den Hash durchführen kann.

Zusätzlich zu den Passwörtern für Windows-Konten kann ESR gespeicherte WLAN-Passwörter extrahieren. Zusammen mit anderen Arten von Passwörtern können die WLAN-Passwörter zu einer hochgradig zielgerichteten benutzerdefinierten Wortliste hinzugefügt werden, die verwendet werden kann, um starke Verschlüsselungen zu knacken und Passwörter anzugreifen, die verschlüsselte Dokumente, Datenträger und Konten schützen.

Passwort-Hinweise, Fragen und Antworten extrahieren

Elcomsoft System Recovery kann Passwort-Hinweise, Fragen und Antworten extrahieren, die den Benutzern helfen sollen, sich an ihre vergessenen Passwörter zu erinnern. Prüfer können Passwort-Hinweise und QA verwenden, um die ursprünglichen Passwörter des Benutzers neu zu erstellen und gezielte Wortlisten für Passwort-Angriffe zu erstellen.

Passwörter von 'Microsoft-Konto' knacken

Seit Windows 8 bietet Windows die Möglichkeit, sich als Benutzer mit seinem Microsoft-Konto bei Windows einzuloggen. Microsoft-Konto ist Microsofts Online-Service, der ähnlich einem Google-Account alle Online-Dienste über einen Account zugänglich machen soll. Spätestens seit Windows 10 forciert Microsoft die Online-Authentifizierung und setzt auf Online-Logins auch für Windows-Benutzerkonten. Trotz Online-Login kann Elcomsoft System Recovery die lokal gespeicherte Kopie des Passworts zurücksetzen und auf das Windows-Konto im Offline-Modus zugreifen.

Auch beim Online-Login mit Microsoft-Konto kann Elcomsoft System Recovery den lokal gepufferten Hashwert des Passworts auslesen, um gegen den Hashwert offline Brute-Force-Attacken fahren zu können. Ein solcherart rekonstruiertes Originalpasswort für ein Microsoft-Konto dient Ermittlern dazu, neben dem Windows-Konto auch auf alle anderen Dienste zuzugreifen, die mit diesem Microsoft-Konto verknüpft waren. Diese Dienste umfassen beispielsweise Skype, Hotmail oder OneDrive. Auch der Zugriff auf Windows Phone und Windows 10 Mobile Backups, detaillierte Benutzerinformationen, eine Übersicht über alle mit dem Konto verknüpften Endgeräte (inklusive ihrer Standorte) ist möglich. Unter Umständen können auch Browser-Verläufe aller verknüpften Geräte, Lesezeichen und Formulardaten, wie Adressen und weitere Passwörter zu anderen Online-Diensten in Erfahrung gebracht werden. Selbst mit BitLocker verschlüsselte Volumes sind nicht mehr geschützt, wenn Dritte über das Passwort für ein Microsoft-Konto verfügen, denn auch der BitLocker Recovery Key ist dann für Außenstehende einsehbar.

Arbeiten ohne Risiko

Jeder Arbeitsschritt bei Elcomsoft System Recovery kann vollständig rückgängig gemacht werden. Wiederherstellungspunkte und einfache Undo-Funktionalität gewährleisten, dass nicht versehentlich irreparabler Schaden entsteht.

Tutorial

Funktionsliste

Unterstützung für Windows-Versionen

  • Unterstützt Windows XP / Vista / 7, Windows 8 / 8.1, Windows 10
  • Unterstützt Windows NT / 2000 / XP-Workstations
  • Unterstützt Windows NT / 2000/2003/2008/2012 Server
  • Erstellt bootfähige Medien für das 32-Bit-64-Bit-BIOS
  • Erstellt bootfähige Medien für 32-Bit-64-Bit-UEFI
  • Unterstützt Windows 8 / 8.1 / 10 Live! (Microsoft) Konten

Allgemeine Softwarefunktionen

  • Basiert auf Windows PE
  • Erstellt Bootfähige CD oder USB-Flash-Laufwerk
  • Sammelt wichtige Beweise und bewahrt die Unveränderlichkeit digitaler Daten
  • Erstellt überprüfbare forensische Disk-Images
  • Zurücksetzen des Passworts auf Benutzerkonten
  • Dumpen von Passwort-Hashes für lokale und Domänenkonten zur weiteren Wiederherstellung

Erweiterte Funktionen

  • Verschlüsselte virtuelle Maschinen in den gängigen Formaten werden erkennt und Verschlüsselungs-Metadaten extrahiert, um nachfolgende Passwort-Wiederherstellung zu ermöglichen
  • WLAN-Passwörter extrahieren
  • Zeigt Windows-Lizenzschlüssel an
  • Das Dateisystem durchsuchen, kopieren und anzeigen von Dateien mit dem Dateimanager mit zwei Bedienfeldern
  • Mehrsprachige Benutzeroberfläche
  • Unterstützt alle RAID / SCSI / SATA-Geräte
  • Automatikmodus (Liste der installierten Systeme)
  • Manueller Modus (ermöglicht die Suche nach Registrierungsdateien)
  • Zurücksetzen des lokalen Administratorpassworts
  • Ermöglicht das Sichern oder Wiederherstellen von SAM
  • Administratorkonto aktivieren / entsperren
  • Entsperren von BitLocker-Volumes (wenn einer der Festplatten-Schutzfunktionen bekannt oder verfügbar ist)
  • Erstellt bootfähige Medien für MacOS-Computer
  • Extrahieren von Hash-Dumps aus TrueCrypt-, VeraCrypt-, Bitlocker-, FileVault- (HFS + / APFS), PGP Disk- und LUKS-verschlüsselten Festplatten
  • Extrahiert Passworthinweise sowie die Kontrollfragen und -antworten
  • Zurücksetzen von Passwörtern auf zwischengespeicherte AD-Anmeldeinformationen
  • Markieren von Konten mit Administratorrechten
  • Kontoberechtigungen anzeigen
  • Deaktivieren/Entsperren deaktivierter/gesperrter Konten
  • Gewähren von Administratorrechten für jedes Benutzerkonto
  • Wiederherstellen von Passwörtern für einige Systemkonten
  • Zurücksetzen des Domänenadministratorkennworts
  • Dumpen von Passwort-Hashes für AD-Konten
  • Sichern / Wiederherstellen von NTDS.DIT
  • Anzeigen von LM / NTLM-Hashes
  • Anzeigen von Passwortverlaufs-Hashes
  • Testen von kurzen und einfachen Passwörtern
  • SAM Datenbankeditor
  • Zurücksetzen der SYSKEY-Sicherheit
  • Suche nach SYSKEY-Passwörtern

Lizenz, Wartung, Lieferung

  • Sofortiges Herunterladen
  • Ein Jahr kostenlose Updates
  • Lizenz für den geschäftlichen Gebrauch

Systemanforderungen

Windows

  • Windows 11/10/8.1/8/7/Vista/XP/2000 (32 bit and 64 bit; all editions)
  • Windows Server 2022/2019/2016/2008/2003

Versionshinweise

Elcomsoft System Recovery v.8.20.1061

23 March, 2022

  • added support for Windows 11 (local users and Domain Cached Credentials)
  • added support for Windows Server 2022 (Domain Controller users)
  • extract Windows timeline data
  • extract recent files and folders information
  • extract list of installed applications

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Systemanforderungen

Windows

  • Windows 11/10/8.1/8/7/Vista/XP/2000 (32 bit and 64 bit; all editions)
  • Windows Server 2022/2019/2016/2008/2003

Versionshinweise

Elcomsoft System Recovery v.8.20.1061

23 March, 2022

  • added support for Windows 11 (local users and Domain Cached Credentials)
  • added support for Windows Server 2022 (Domain Controller users)
  • extract Windows timeline data
  • extract recent files and folders information
  • extract list of installed applications

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Elcomsoft System Recovery kaufen

Professional Edition
$ 299
Jetzt kaufen