Elcomsoft Encrypted Disk Hunter erkennt verschlüsselte Datenträger auf Live-Systemen

Elcomsoft erweitert sein Angebot an forensischen Produkten um ein neues mobiles Tool. Elcomsoft Encrypted Disk Hunter ist ein kostenloses Befehlszeilentool, mit dem Experten bei der Durchführung von Live-Systemanalysen schnell feststellen können, ob verschlüsselte Volumes vorhanden sind. Unterstützt werden die Formate TrueCrypt/ VeraCrypt, BitLocker, PGP WDE, FileVault2 und LUKS.

Elcomsoft Encrypted Disk Hunter wurde entwickelt, um Forensik-Experten und Strafverfolgungs-Spezialisten die Arbeit vor Ort zu erleichtern. So können sie schnell feststellen, ob ein oder mehrere verschlüsselte Volumes im System vorhanden sind. Das kostenlose, mobile Befehlszeilentool unterstützt alle gängigen Verschlüsselungs-Tools für Festplatten, einschließlich TrueCrypt/ VeraCrypt, alle Versionen von Microsoft BitLocker, PGP WDE, FileVault2 sowie LUKS. Es unterstützt somit Verschlüsselungstools für Festplatten auf denen die Betriebssysteme Windows, MacOS und Linux ausgeführt werden.

Wenn ein verschlüsseltes Volume erkannt wird, oder wenn das Tool einen Treiber entdeckt, der für ein Verschlüsselungs-Tool mit voll funktionsfähigem Volume geladen wurde, ist möglicherweise eine weitere Untersuchung eines Live-Systems erforderlich. Dadurch erhält man Beweise, die beim Ausschalten des Computers verloren gehen könnten.

Elcomsoft Encrypted Disk Hunter überprüft die an das System angeschlossenen Speichergeräte auf folgende Volumes: TrueCrypt/ VeraCrypt-, BitLocker-, PGP WDE-, FileVault 2- und LUKS. Wenn ein oder mehrere verschlüsselte Datenträger erkannt werden, listet das Tool die verschlüsselten Datenträger auf. Darüber hinaus prüft das Tool, ob eines der verschlüsselten Volumes aktuell verwendet wird oder angeschlossen ist.

Wenn keine offensichtlichen Anzeichen einer Festplatten-Verschlüsselung gefunden werden, überprüft Encrypted Disk Hunter die Treiberkette auf TrueCrypt-, VeraCrypt- und PGP WDE-Treiber. Wenn ein Verschlüsselungs-Treiber für die gesamte Festplatte erkannt wird, meldet das Tool, dass möglicherweise ein verschlüsseltes Volume im System verwendet wurde, auch wenn es derzeit nicht verwendet wird oder angeschlossen ist.

Das neue Tool wird kostenlos zur Verfügung gestellt. Encrypted Disk Hunter ist als mobiles Befehlszeilentool verfügbar. Das Tool muss mit Administratorrechten gestartet werden und läuft auf 32-Bit- und 64-Bit-Versionen von Windows 7 bis Windows 10, einschließlich Server-Editionen.

Siehe auch