Elcomsoft System Recovery

Zurücksetzen oder Wiederherstellen von Passwörtern für lokale Windows- und Microsoft-Konten in allen Windows-Versionen. Verleihen Sie jedem beliebigen Benutzerkonto Administratorrechte, setzen Sie abgelaufene Passwörter zurück oder exportieren Sie gehashte Passwörter für die Offline-Wiederherstellung. Erstellen Sie forensische Disk-Images. Wird mit bootfähigem Windows PE geliefert.

  • Führt forensisch einwandfreie Extraktionen durch
  • Setzt Passwörter von Windows-Konten zurück
  • Extrahiert Verschlüsselungs-Metadaten von TrueCrypt-, VeraCrypt-, Bitlocker-, FileVault- (HFS + / APFS), PGP Disk-, LUKS- und LUKS2-verschlüsselten Festplatten
  • Erstellt forensische Disk-Images
  • Stellt Passwörter für lokale Konten, Microsoft-Konten und WLAN-Netzwerke wieder her
  • Benutzerdefiniertes Windows PE mit umfassender Hardware-Kompatibilität und nativem FAT- und NTFS-Support

Unterstützt: Windows 7, 8, 8.1, Windows 10; Windows 11; Windows Vista, Windows XP, Windows 2000, Windows NT; alle gängigen Windows Server-Versionen; 32-Bit- und 64-Bit-Systeme; Windows PE mit 32-Bit- und 64-Bit-UEFI- und -BIOS-Konfigurationen; bekannte Windows-Oberfläche; SAM/SYSTEM und Active Directory.

Professional Edition $ 499
Jetzt kaufen

Neue Funktionen

Die Unterstützung für die Datenbank des Windows-Ressourcen-Monitors (System Resource Usage Monitor SRUM)

Der Abschnitt „Forensische Tools“ enthält jetzt die volle Unterstützung für die Datenbank des Windows-Ressourcen-Monitors (System Resource Usage Monitor SRUM). Ermittler können so auf detaillierte Aufzeichnungen der Netzwerkaktivität, Zeitpunkte von Programmstarts, die Nutzung von System-Ressourcen zugreifen. Der Zugriff erfolgt direkt auf die Rohdaten, die dann in lesbarer Form aufbereitet, angezeigt und exportiert werden können.

Erweiterte Angriffsoptionen

Mehrere Angriffstypen sind jetzt verfügbar für die Passwort-Wiederherstellung, darunter klassische Brute-Force-Angriffe, Wörterbuch-, Masken- und Wort-Angriffe, kombinierte und regelbasierte Wörterbuch-Angriffe und Gruppen-Angriffe. Ein neu hinzugefügter „Gruppen-Angriff“ optimiert die Passwort-Wiederherstellung, indem automatisch eine Reihe von Mini-Angriffen auf die gängigsten Passwort-Typen ausgeführt werden, einschließlich derjenigen, die bereits aus dem System wiederhergestellt wurden.

Verbesserte Geschwindigkeit beim Erstellen von Disk-Images

Die Geschwindigkeit beim Erstellen von Disk-Images wurde erhöht. Je nach Medientyp wird die Zuverlässigkeit und Geschwindigkeit dabei erheblich gesteigert.

Forensisch belastbare Extraktionen, überprüfbares Disk Imaging

Wenn Experten während einer Untersuchung vor Ort auf ein gesperrtes System zugreifen, ist Geschwindigkeit oft ein wichtiger Faktor. Das Sicherstellen, dass digitaler Daten bei der Extraktion nicht verändert wurden, ist entscheidend bei der Erstellung gerichtlich zulässiger Beweismittel. Elcomsoft System Recovery enthält Funktionen, die sicherstellen, dass digitale Daten während der gesamten Untersuchung unverändert bleiben.

Um digitale Beweise zu bewahren, beginnt der Schutz der Unveränderlichkeit digitaler Daten bereits bei der Datenerhebung. Elcomsoft System Recovery verwendet einen forensisch fundierten Workflow, um sicherzustellen, dass digitale Beweise, die während der Untersuchung gesammelt wurden, vor Gericht zulässig bleiben. Der Workflow implementiert einen schreibgeschützten Zugriff auf dem Zielcomputer und speichert gesammelte Beweise in Form von digital signierten, überprüfbaren Disk-Images. All dies macht Elcomsoft System Recovery zu einer praktikablen Alternative zu hardwarebasierten Disk-Imaging-Geräten mit Schreibschutz und bietet gleichzeitig Echtzeitzugriff auf wichtige Beweise.

Der schreibgeschützte Festplattenzugriff

Elcomsoft System Recovery hilft bei der Erstellung gerichtstauglicher Beweise mit Schreibschutz-Modus und schreibgeschütztem Disk-Imaging. Der schreibgeschützte Modus wird standardmäßig zu Beginn der Ausführung von Elcomsoft System Recovery aktiviert, um sicherzustellen, dass keine Daten auf dem Zielcomputer geändert werden. Der schreibgeschützte Festplattenzugriff ist der Standardmodus des Tools. Experten müssen das Kontrollkästchen „Nur lesen“ explizit deaktivieren, um auf Systemverwaltungs-Funktionen zuzugreifen, wie z. B. das Zurücksetzen von Windows-Benutzer- und Administrator-Passwörtern.

Überprüfbares Disk-Imaging

Die Datenträger können in verifizierbare .E01-Images abgebildet werden. Zusammen mit dem Read-Only-Zugriff trägt die Verwendung von Hashing dazu bei, die Unveränderlichkeit digitaler Daten nachzuvollziehen. Durch die Verwendung des branchenüblichen .E01-Formats sind Disk-Images mit forensischen Tools von Drittanbietern für eine umfassende Analyse kompatibel. Unabhängig davon, ob die Festplatte in ein RAW/DD- oder das neu unterstützte .E01-Format gesichert wird, berechnet Elcomsoft System Recovery eine Hash-Datei und speichert sie zusammen mit dem Image ab. Die während der Extraktion berechneten Hash-Werte können verwendet werden, um Beweise zu einem späteren Zeitpunkt zu authentifizieren.

Verbesserter Workflow für die Festplatten-Verschlüsselung

Elcomsoft System Recovery vereinfacht den Zugriff auf Daten, die auf verschlüsselten Festplatten und Containern gespeichert sind. Bei der automatischen Erkennung verschlüsselter Laufwerke extrahiert ESR automatisch die Hashes, die zum Starten eines Angriffs[1] auf das Passwort des verschlüsselten Laufwerks erforderlich sind, und speichert sie auf dem Flash-Laufwerk, um einen schnelleren Zugriff auf verschlüsselte Beweise zu ermöglichen. Darüber hinaus kann ESR das Speicherabbild des Ruhezustands extrahieren und sichern, das die Schlüssel enthält, um auf Informationen zuzugreifen, die in verschlüsselten Volumes gespeichert sind. Mit diesen Schlüsseln können Sie verschlüsselte Volumes sofort bereitstellen oder deren Inhalt für die Offline-Analyse entschlüsseln.

Verschlüsselte virtuelle Maschinen

In der Welt der IT-Kriminalität sind verschlüsselte virtuelle Maschinen ein oft verwendetes Verschleierungstool. Die Identifizierung solcher virtueller Maschinen kann ein mühsamer manueller Prozess sein. Elcomsoft System Recovery vereinfacht diesen Vorgang, indem verschlüsselte virtuelle Maschinen gängiger Formaten automatisch erkannt werden. Sobald eine passwortgeschützte virtuelle Maschine gefunden wird, extrahiert das Tool die erforderlichen Verschlüsselungs-Metadaten, um nachfolgende Angriffe auf das Passwort mit Elcomsoft Distributed Password Recovery zu ermöglichen.

Passwörter für Windows-Konten wiederherstellen oder zurücksetzen

Vergessene Passwörter und gesperrte Konten machen bis zu 40% der Anfragen bei technischen Hotlines aus. Mit Elcomsoft System Recovery können Windows-Passwörter zurückgesetzt werden, um sofort wieder Zugriff auf die benötigten Benutzerkonten zu erlangen. Unterstützt werden neben Windows-Konten auch cloudbasierte Microsoft-Konten und Netzwerk-Domänen. Dies macht Elcomsoft System Recovery zu einem Must-Have für Administratoren, ITler und Security-Spezialisten.

SYSKEY-Passwörter zurücksetzen oder wiederherstellen

SYSKEY-Passwörter waren eine zweifelhafte und kontroverse Möglichkeit, um die Windows-Anmeldung um eine zusätzliche Sicherheitsebene zu erweitern. In älteren Windows-Versionen wurden SYSKEY-Passwörter ab Windows 10 und Windows Server 2016 Version 1709 entfernt. Ein unbekanntes SYSKEY-Kennwort blockiert den Windows-Start und verhindert, dass das Kennwort des Benutzers wiederhergestellt oder zurückgesetzt werden kann.

Elcomsoft System Recovery kann SYSKEY-Passwörter zurücksetzen, um den normalen Startvorgang des Systems wiederherzustellen. Vor dem Zurücksetzen eines SYSKEY-Passworts überprüft ESR, ob diese Operation für das System sicher ist.

Außerdem können Sie mit Elcomsoft System Recovery zwischengespeicherte SYSKEY-Kennwörter in verschiedenen Systemdatenbanken und Cache-Dateien suchen, bevor Sie sie zurücksetzen.

Sofortiger Reset und konfigurierbare Angriffe

Mit Elcomsoft System Recovery kann das ursprüngliche Passwort mit einem Klick zurückgesetzt werden. Alternativ können auch vordefinierte Brute-Force-Attacken gegen Hashes gefahren werden, um das ursprüngliche Passwort wiederherzustellen. Darüber hinaus können Benutzer ihre eigenen benutzerdefinierten Wörterbücher für leistungsstarke Wörterbuchangriffe mit bis zu 4 Mutationsstufen hochladen.

Elcomsoft System Recovery entsperrt auf Knopfdruck alle Benutzerkonten von 32- oder 64-Bit-Versionen von Windows 7, 8, 8.1 und 10. Auch ältere Versionen wie Vista, XP, 2000, NT und die entsprechenden Versionen von Windows Server (bis einschließlich Windows Server 2019) werden unterstützt.

Integrierter Viewer für Windows-Ereignisprotokolle

Elcomsoft System Recovery verfügt über einen integrierten Protokoll-Viewer, der einen schnellen Zugriff auf Windows-Ereignisprotokolle (EVTX-Dateien) ermöglicht. Für Computerforensiker und Strafverfolgungsspezialisten ist die Analyse von Windows-Ereignisprotokollen von entscheidender Bedeutung, da diese Protokolle Informationen zur Systemaktivität liefern, einschließlich Anmeldeversuchen, angeschlossenen Geräten und Softwareinstallationen. Mithilfe dieser Protokolle können unbefugte Zugriffe verfolgt, böswillige Aktivitäten aufgedeckt und Zeitpläne rekonstruiert werden, die für Ermittlungen von entscheidender Bedeutung sind.

Bootfähig und sofort einsatzbereit

Im Lieferumfang von Elcomsoft System Recovery befindet sich alles, was es braucht, um schnell eine bootfähige DVD oder einen Bootstick zu erstellen. Das hierfür verwendete Image besteht aus einem vorkonfigurierten Windows PE mit zahlreichen zusätzlichen Treibern, um sowohl klassische als auch moderne Hardware gleichermaßen zu unterstützen.

Hilfe sofort

Erstellen Sie einen Bootstick in ein paar einfachen Schritten und erhalten Sie sofort Unterstützung auf Ihrem System.

Einfach einzusetzen

Durch Verwendung eines echten Windows PE arbeiten Sie mit der gewohnten grafischen Benutzeroberfläche von Windows. Keine Eingabeaufforderung oder schlecht designte Windows-Kopie, sondern das echte Windows Preinstallation Environment.

Erstellen Sie eine bootfähige DVD oder einen Bootstick mit Hilfe des Assistenten, booten Sie damit Elcomsoft System Recovery und beheben Sie die Passwortprobleme auf Ihrem System.

Elcomsoft System Recovery in der Praxis

Als All-in-One-Tool für Windows-Konten bietet Elcomsoft System Recovery eine Vielzahl an Lösungen für verschiedene Problemstellungen:

  • Durchführen einer forensisch fundierten Datenerhebung
  • Durchführen von Einsätzen vor Ort und Disk-Imaging
  • Gerichtszulässige Beweise während der Ermittlungen vor Ort sammeln
  • Vergeben von Administratorrechte an beliebige Nutzer
  • Entsperren von Benutzerkonten
  • Erstellen von forensischen Disk-Images für eine nachfolgende Analyse im Labor
  • Passwörter können zurückgesetzt und neu festgelegt werden
  • Alle Benutzerkonten mit und ohne Administratorrechten werden aufgelistet
  • Benutzerrechte können eingesehen werden
  • Benutzerkonten ohne Passwort werden angezeigt
  • Für bestimmte Benutzerkonten, die vom System angelegt wurden, wie IUSR und andere, lassen sich Passwörter sofort wiederherstellen
  • SAM-/System-Dateien lassen sich downloaden oder wiederherstellen
  • Wahlweise lassen sich die Original-SAM-/System-Dateien nach einem erfolgreichen Login wiederherstellen

Weitere Funktionen hinzufügen

Elcomsoft Encrypted Disk Hunter

Elcomsoft Encrypted Disk Hunter ist ein kostenloses Befehlszeilentool, mit dem Experten bei der Durchführung von Live-Systemanalysen schnell feststellen können, ob verschlüsselte Volumes vorhanden sind.

Es werden mehrere Windows-, Linux- und macOS-Festplattenverschlüsselungs-Tools unterstützt, darunter TrueCrypt/VeraCrypt, alle Versionen von Microsoft BitLocker, PGP WDE, FileVault2, BestCrypt und LUKS. Das Tool muss mit Administratorrechten auf dem zu analysierenden Live-System gestartet werden. Wenn ein verschlüsseltes Volume erkannt wird, ist möglicherweise eine weitere Untersuchung eines Live-Systems erforderlich, um Beweise zu erhalten, die beim Ausschalten des Computers verloren gehen könnten.

» Mehr über Elcomsoft Encrypted Disk Hunter in unserem Blog lesen

  1. Elcomsoft Distributed Password Recovery ist erforderlich, um Passwörter zu verschlüsselten Containern wiederherzustellen. 

Lesen Sie (die) Elcomsoft System Recovery Online-Dokumentation
Analyzing the Windows SRUM Database
What’s New in Elcomsoft System Recovery 8.34: More Data, Faster Imaging, BitLocker Key Extraction
Accelerating Computer Forensics: Elcomsoft System Recovery and the Low-Hanging Fruit Strategy
New in Elcomsoft System Recovery: Microsoft Azure Accounts, LUKS2 and Forensic Tool Filters
Windows Hello: No TPM No Security
Eine effektive Methode zur Wiederherstellung des Systemzugriffs unter Windows.
Elcomsoft Endbenutzer Lizenzvereinbarung

Alle Funktionen und Vorteile

Breite Hardware-Unterstützung

Die WinPE von Elcomsoft System Recovery wurde in vielerlei Hinsicht angepasst und erweitert. Unterstützt wird eine sehr große Bandbreite an Hardware. Verschiedenste Massenspeicher, Controller und Chipsets sind in der Treiberdatenbank enthalten. Ein weiterer Vorteil ist die Unterstützung von aktuellen Microsoft Dateisystemen, die standardmäßig von WinPE nicht gewährleistet ist.

macOS Verschlüsselung

Mit Elcomsoft System Recovery können Experten jetzt ein Flash-Laufwerk erstellen, um macOS-Computer zu starten. Mit dem bootfähigen Flash-Laufwerk können Experten Hashes von TrueCrypt-, VeraCrypt-, Bitlocker-, FileVault- (HFS + / APFS), PGP Disk-, LUKS- und LUKS2-verschlüsselten Festplatten extrahieren, um schnell Passwortangriffe auf verschlüsselte Volumes durchzuführen, ohne das gesamte Laufwerk zu kopieren.

Sofortiges Entsperren

Falls das Windows-Konto keine EFS-verschlüsselten Dateien enthält, kann das Konto innerhalb von Sekunden zurückgesetzt werden und ein neues Passwort wird vergeben. Mit diesem neuen Passwort kann sich der Nutzer im Anschluss sofort bei seinem alten Konto einloggen. Zeit- und rechenintensive Recovery-Prozesse müssen nicht ausgeführt werden.

Windows- und WLAN-Passwörter wiederherstellen

Um an das Original-Passwort zu gelangen, bietet Elcomsoft System Recovery integrierte Tools an, die mit intelligenten Brute-Force-Attacken das ursprüngliche Passwort oftmals binnen Minuten wiederherstellen können. Standard-Kombinationen und Wörterbuch-Angriffe sind oftmals schnelle und erfolgversprechende Ansätze.

Darüber hinaus kennt die Software eine Anzahl an Speicherorten, an denen Windows die Passwörter für gewöhnlich zwischenspeichert. Sollte die Software dabei Erfolg haben, kann das ursprüngliche Passwort sogar binnen Sekunden wiederhergestellt werden.

Scheitern beide Ansätze, bietet Elcomsoft System Recovery eine dritte Option. Denn möglich ist auch, den Hashwert des Passworts zu extrahieren und gegen den Hash offline Brute-Force-Angriffe zu fahren. Elcomsoft Distributed Password Recovery ist eine Software, die mit Grafikkarten-Power und als Cluster hocheffiziente Brute-Force-Attacken gegen den Hash durchführen kann.

Zusätzlich zu den Passwörtern für Windows-Konten kann ESR gespeicherte WLAN-Passwörter extrahieren. Zusammen mit anderen Arten von Passwörtern können die WLAN-Passwörter zu einer hochgradig zielgerichteten benutzerdefinierten Wortliste hinzugefügt werden, die verwendet werden kann, um starke Verschlüsselungen zu knacken und Passwörter wiederherzustellen, die verschlüsselte Dokumente, Datenträger und Konten schützen.

Passwort-Hinweise, Fragen und Antworten extrahieren

Elcomsoft System Recovery kann Passwort-Hinweise, Fragen und Antworten extrahieren, die den Benutzern helfen sollen, sich an ihre vergessenen Passwörter zu erinnern. Prüfer können Passwort-Hinweise und Sicherheitsfragen verwenden, um die ursprünglichen Passwörter des Benutzers neu zu erstellen und gezielte Wortlisten für Passwort-Angriffe zu erstellen.

Unterstützung von Passwörtern für Microsoft-Konten und Windows Hello-PINs

Seit Windows 8 bietet Windows die Möglichkeit, sich als Benutzer mit seinem Microsoft-Konto bei Windows einzuloggen. Das Microsoft-Konto ist ein Online-Account von Microsoft, der ähnlich einem Google-Account alle Online-Dienste über einen Account zugänglich machen soll. Spätestens seit Windows 10 forciert Microsoft die Online-Authentifizierung und setzt auf Online-Logins auch für Windows-Benutzerkonten. Trotz Online-Login kann Elcomsoft System Recovery die lokal gespeicherte Kopie des Passworts zurücksetzen und auf das Windows-Konto im Offline-Modus zugreifen. Darüber hinaus kann das Tool mithilfe von Brute-Force-Attacken 4- bis 6-stellige Windows Hello-PINs auf Computern ohne Trusted Platform Module (TPM) schnell angreifen.

Auch beim Online-Login mit einem Microsoft-Konto kann Elcomsoft System Recovery den lokal gepufferten Hashwert des Passworts auslesen, um gegen den Hashwert offline Brute-Force-Attacken fahren zu können. Ein auf diese Weite rekonstruiertes Originalpasswort für ein Microsoft-Konto dient Ermittlern dazu, neben dem Windows-Konto auch auf alle anderen Dienste zuzugreifen, die mit diesem Microsoft-Konto verknüpft waren. Diese Dienste umfassen beispielsweise Skype, Hotmail oder OneDrive. Auch der Zugriff auf Windows Phone und Windows 10 Mobile Backups, detaillierte Benutzerinformationen, eine Übersicht über alle mit dem Konto verknüpften Endgeräte (inklusive ihrer Standorte) ist möglich. Unter Umständen können auch Browser-Verläufe aller verknüpften Geräte, Lesezeichen und Formulardaten, wie Adressen und weitere Passwörter zu anderen Online-Diensten in Erfahrung gebracht werden. Selbst mit BitLocker verschlüsselte Volumes sind nicht mehr geschützt, wenn Dritte über das Passwort für ein Microsoft-Konto verfügen, denn auch der BitLocker Recovery Key ist dann für Außenstehende einsehbar.

Arbeiten ohne Risiko

Jeder Arbeitsschritt bei Elcomsoft System Recovery kann vollständig rückgängig gemacht werden. Wiederherstellungspunkte und einfache Undo-Funktionalität gewährleisten, dass nicht versehentlich irreparable Schäden entstehen.

Tutorial

Funktionsliste

Unterstützte Windows-Versionen

  • Unterstützt Windows XP / Vista / 7, Windows 8 / 8.1, Windows 10, Windows 11
  • Unterstützt Windows NT / 2000 / XP-Workstations
  • Unterstützt Windows NT / 2000 / Winwows Server 2003 bis 2022
  • Erstellt bootfähige Medien für das 32- und 64-Bit-BIOS
  • Erstellt bootfähige Medien für 32- und 64-Bit-UEFI
  • Unterstützt Windows 8 / 8.1 / 10 Live! (Microsoft) Konten

Allgemeine Softwarefunktionen

  • Basiert auf Windows PE
  • Erstellt Bootfähige CDs oder USB-Flash-Laufwerke
  • Sammelt wichtige Beweise und bewahrt die Unveränderlichkeit digitaler Daten
  • Erstellt überprüfbare forensische Disk-Images
  • Zurücksetzen des Passworts für Benutzerkonten
  • Extrahieren von Passwort-Hashes für lokale und Domänen-Konten zur weiteren Konten-Wiederherstellung

Erweiterte Funktionen

  • Vor-Ort-Wiederherstellung einfacher Window-Hello-PIN-Codes (bis zu 6 Ziffern) auf Computern ohne Trusted Platform Module (TPM)
  • Verschlüsselte virtuelle Maschinen in den gängigen Formaten werden erkennt und Verschlüsselungs-Metadaten extrahiert, um nachfolgende Passwort-Wiederherstellungen zu ermöglichen
  • WLAN-Passwörter extrahieren
  • Zeigt Windows-Lizenzschlüssel an
  • Durchsuchen des Dateisystems, kopieren und anzeigen von Dateien mit dem Dateimanager mit zwei Bedienfeldern
  • Mehrsprachige Benutzeroberfläche
  • Unterstützt alle RAID / SCSI / SATA-Geräte
  • Automatisches Auflisten aller installierten
  • Manueller Modus (ermöglicht die Suche nach Registrierungsdateien)
  • Zurücksetzen des lokalen Administratorpassworts
  • Ermöglicht das Sichern oder Wiederherstellen von SAM
  • Administratorkonto aktivieren / entsperren
  • Entsperren von BitLocker-Volumes (wenn eine der Festplatten-Schutzfunktionen bekannt oder verfügbar ist)
  • Erstellt bootfähige Medien für MacOS-Computer
  • Extrahieren von Hash-Dumps aus TrueCrypt-, VeraCrypt-, Bitlocker-, FileVault- (HFS + / APFS), PGP Disk-, LUKS-, LUKS2-verschlüsselten Festplatten
  • Extrahiert Passworthinweise sowie die Sicherheitsfragen und -antworten
  • Zurücksetzen von Passwörtern auf zwischengespeicherte AD-Anmeldeinformationen
  • Markieren von Konten mit Administratorrechten
  • Kontoberechtigungen anzeigen
  • Deaktivieren/Entsperren deaktivierter/gesperrter Konten
  • Gewähren von Administratorrechten für jedes Benutzerkonto
  • Wiederherstellen von Passwörtern für bestimmte Systemkonten
  • Zurücksetzen des Domain-Administrator-Kennworts
  • Dumpen von Passwort-Hashes für AD-Konten
  • Sichern / Wiederherstellen von NTDS.DIT
  • Anzeigen von LM / NTLM-Hashes
  • Passworthistorie (Hash-Werte) anzeigen
  • Testen von kurzen und einfachen Passwörtern
  • SAM Datenbankeditor
  • Zurücksetzen der SYSKEY-Sicherheit
  • Suche nach SYSKEY-Passwörtern

Lizenz, Wartung, Lieferung

  • Sofort Herunterladen
  • Ein Jahr kostenlose Updates
  • Lizenz für gewerbliche Nutzung
Lesen Sie (die) Elcomsoft System Recovery Online-Dokumentation
Analyzing the Windows SRUM Database
What’s New in Elcomsoft System Recovery 8.34: More Data, Faster Imaging, BitLocker Key Extraction
Accelerating Computer Forensics: Elcomsoft System Recovery and the Low-Hanging Fruit Strategy
New in Elcomsoft System Recovery: Microsoft Azure Accounts, LUKS2 and Forensic Tool Filters
Windows Hello: No TPM No Security
Eine effektive Methode zur Wiederherstellung des Systemzugriffs unter Windows.
Elcomsoft Endbenutzer Lizenzvereinbarung

Schnelle forensische Tools

Schnelle Tools erleichtern die forensische Analyse von IT-Systemen vor Ort. Die Tools ermöglichen es, die installierten Anwendungen des Systems zu bestimmen, den zeitlichen Verlauf der Nutzeraktivitäten auszulesen und auf die Liste der zuletzt aufgerufenen Dateien und Ordner zuzugreifen. Das Tool kann noch viel mehr: Es ermöglicht Forensikern, durch Booten von einem USB-Gerät aus wichtige Artefakte von den untersuchten Computern zu sammeln und zu extrahieren. Experten können digitale Daten wie eine Kopie der Windows-Registrierung des Benutzers, wichtige (DPAPI-) Schlüssel, Systemanmeldeinformationen und verschiedene System- und Ereignisprotokolle extrahieren, speichern und analysieren. Außerdem können Sie Speicherabbilder des Ruhemodus extrahieren, speichern und analysieren, die wiederum nach Schlüsseln durchsucht werden können, die von BitLocker und Verschlüsselungs-Tools Dritter verwendet werden.

Experten können wichtige Artefakte von untersuchten Systemen sammeln und extrahieren, indem sie von einem bestimmten USB-Gerät booten, ohne vorher die Festplatten entfernen zu müssen oder erst ein vollständiges Image erstellt zu haben. Zu diesen Artefakten gehören wichtige Elemente, wie eine Kopie der Windows-Registrierung des Benutzers, wichtige (DPAPI-) Schlüssel, Systemanmeldeinformationen, verschiedene System- und Ereignisprotokolle sowie Auslagerungsdateien und Speicherabbilder des Ruhemodus. Diese Artefakte können dann nach weiteren Schlüsseln für BitLocker und andere Festplattenverschlüsselungs-Tools durchsucht werden.

Diese integrierten forensischen Tools ermöglichen ein Vorgehen, das als „Low Hanging Fruit“ bekannt ist und es Ermittlern ermöglicht, schnell die wichtigsten und am leichtesten zugänglichen Beweise zu sammeln. Dazu gehören insbesondere auch die Schlüssel für verschlüsselten Laufwerke und Container. Da Elcomsoft System Recovery als bootfähige Festplatte fungiert, können Experten mit dem Tool wichtige Daten extrahieren und bereits vor Ort fundierte Entscheidungen treffen. Anhand der gesammelten Daten können Ermittler dann feststellen, ob die Erstellung eines Disk-Images für eine weitere, eingehende Analyse überhaupt erforderlich ist. Dieser optimierte Ansatz spart Zeit und Ressourcen und stellt sicher, dass Untersuchungen sowohl vor Ort als auch im Labor schnell und präzise vorgenommen werden können.

Elcomsoft System Recovery geht über das bloße Extrahieren einer Reihe leicht zugänglicher forensischer Artefakte hinaus. Ziel ist es, umfassende Einblicke in die Benutzeraktivitäten sowohl online als auch offline zu bieten. Das Tool ruft Passwörter und wichtige Dokumente ab und bietet sogar Einblick in die Programme und Dateien, auf die der Benutzer zugreift. Obwohl die vollständige Liste der erfassten Daten sehr umfangreich ist und permanent erweitert wird, wird Elcomsoft System Recovery stets alle relevanten Informationen schnell und übersichtlich an Ort und Stelle verfügbar machen.

Systemartefakte

  • Active Directory
  • Amcache
  • Defender-Protokolle
  • Energieberichte
  • NGC-Schlüssel
  • Speicherauszüge
  • Microsoft Store-Protokolle
  • Microsoft-Benutzerzugriffsprotokolle
  • Programmkompatibilitätsassistent
  • Papierkorb
  • Geplante Aufgaben
  • setup.api-Protokolle
  • Shimcache
  • System-DPAPI
  • Systemanmeldeinformationen
  • Systemtresor
  • System-Kryptoschlüssel und -Zertifikate
  • SRUM (System Resource Utilization Monitor)
  • Systemprotokolle
  • System Registry
  • WER (Windows-Fehlerberichterstattung)
  • WLAN-Netzwerkkonfigurationen und -Passwörter
  • Windows-Benachrichtigungen
  • Windows-Ereignisprotokolle
  • Windows Prefetch
  • Windows-Suchdatenbank

Benutzerartefakte

  • Benutzerregistrierung
  • Aktivitäten-Cache
  • Papierkorb
  • Benachrichtigungen
  • RDP-Cache
  • Absturzabbilder
  • DPAPI-Schlüssel
  • PowerShell-Konsolenverlauf
  • Benutzeranmeldeinformationen
  • Benutzertresor
  • Benutzer-Schlüssel und -zertifikate
  • Dateien in den Ordnern „Desktop“, „Dokumente“, „Downloads“ und „Videos“
  • Jumplist (Zuletzt verwendete Dateien)
  • Dateien im Ordner „Videos“
  • Windows Mail-/Kalender-/Telefon-/Kontaktdatenbank
  • Browserdaten:
    Chromium: Amigo, Xpom, Kometa, Nichrome, Torch, Blisk, Orbitum, Slimjet, QIP Surf, Kinza, BlackHawk, Superbird, Sidekick, Iridium, Vivaldi, SRWare Iron, GhostBrowser, CentBrowser, Xvast, Chedot, SuperBird, SalamWeb, Elements, Chrome, CocCoc, QQBrowser, 360Browser, 360, Comodo Dragon, Brave, Epic Privacy, AVAST Software, Citrio, Uran, Coowon, 7Star, Chrome Canary, CoolNovo, Sputnik, Microsoft Edge, Atom, AVG, CCleaner, CryptoTab, Maxthon, Netbox, Swing, UR, ViaSat, Yandex, UCBrowser
    Mozilla: Firefox, Slim, Pale Moon, Waterfox, Cyberfox, BlackHawk, IceCat, Thunderbird, PostboxApp, Comodo IceDragon, SeaMonkey, Basilisk, BitTube, Cliqz, K-Meleon, Falkon
    Microsoft Edge
    Safari
Lesen Sie (die) Elcomsoft System Recovery Online-Dokumentation
Analyzing the Windows SRUM Database
What’s New in Elcomsoft System Recovery 8.34: More Data, Faster Imaging, BitLocker Key Extraction
Accelerating Computer Forensics: Elcomsoft System Recovery and the Low-Hanging Fruit Strategy
New in Elcomsoft System Recovery: Microsoft Azure Accounts, LUKS2 and Forensic Tool Filters
Windows Hello: No TPM No Security
Eine effektive Methode zur Wiederherstellung des Systemzugriffs unter Windows.
Elcomsoft Endbenutzer Lizenzvereinbarung

Systemanforderungen

Windows

  • Windows 11/10/8.1/8/7/Vista/XP/2000 (32 bit and 64 bit; all editions)
  • Windows Server 2022/2019/2016/2008/2003

Versionshinweise

Elcomsoft System Recovery v.8.35.1205

15 August, 2025

  • disk imaging performance and stability improvements
  • System Resource Usage Monitor (SRUM) support: processes and analyzes data on network activity, application launches, and resource usage from the built-in SRUM database
  • expanded SAM/AD/DCC attack settings, added separate options for plaintext password recovery
  • added a "group" attack to automatically run a series of mini-attacks targeting the most common password types, including those already discovered
  • added six distinct attack types including Brute Force, Dictionary, Mask, Word, Combined Dictionary, Rule-Based Dictionary (Hybrid), and Group attacks
  • added password filters for including or excluding passwords during attacks based on masks

Alle Programme können über die Systemsteuerung 'Programme und Funktionen' oder über das Programm 'Deinstallieren' im Startmenü deinstalliert werden. Es wird der Standard Windows Installer Service verwendet.

Lesen Sie (die) Elcomsoft System Recovery Online-Dokumentation
Analyzing the Windows SRUM Database
What’s New in Elcomsoft System Recovery 8.34: More Data, Faster Imaging, BitLocker Key Extraction
Accelerating Computer Forensics: Elcomsoft System Recovery and the Low-Hanging Fruit Strategy
New in Elcomsoft System Recovery: Microsoft Azure Accounts, LUKS2 and Forensic Tool Filters
Windows Hello: No TPM No Security
Eine effektive Methode zur Wiederherstellung des Systemzugriffs unter Windows.
Elcomsoft Endbenutzer Lizenzvereinbarung

Elcomsoft System Recovery kaufen

Professional Edition
$ 499
Jetzt kaufen

Unternehmensnachrichten / Artikel

15 August, 2025

Elcomsoft System Recovery 8.35 unterstützt den Windows Ressourcen-Monitor und erhöht die Geschwindigkeit beim Erstellen von Disk-Images

29 April, 2025

Elcomsoft System Recovery 8.34 adds features, enhances disk imaging speed

19 December, 2024

Elcomsoft System Recovery 8.33 adds built-in log viewer

14 July, 2023

Beschleunigung der digitalen Forensik: Elcomsoft System Recovery steigert die Effizienz bei der forensischen Analyse

4 August, 2022

Elcomsoft System Recovery 8.30 stellt PIN-geschützte Windows-Konten wieder her und unterstützt LUKS2-Verschlüsselung

Pressemeldungen

14 July, 2023

ElcomSoft vereinfacht die Vor-Ort-Analyse mit bootfähigen forensischen Tools

23 March, 2022

Bootfähiges Elcomsoft System Recovery in neuer Version mit forensischen Werkzeugen und Windows 11-Unterstützung

3 November, 2021

Elcomsoft System Recovery Version 8 führt schreibsperrendes digital signiertes Disk Imaging ein

26 November, 2020

Elcomsoft System Recovery: ein Schweizer Taschenmesser für Desktop-Forensik

18 August, 2020

ElcomSoft knackt mit LUKS verschlüsselte Festplatten