Elcomsoft System Recovery, ein digitales Triage-Tool für den Einsatz vor Ort, wurde aktualisiert, um PIN-geschützte Windows 10- und Windows 11-Konten mit direkter PIN-Wiederherstellung zu unterstützen. Das Update fügt LUKS2-Unterstützung hinzu, erkennt Microsoft Azure-Konten und verbessert bootfähige forensische Tools mit benutzerdefinierten Filtern.

Das aktualisierte Elcomsoft System Recovery 8.30 verbessert die Unterstützung für Windows 10- und Windows 11-Computer weiter und fügt die Möglichkeit hinzu, PIN-geschützte Benutzerkonten auf Systemen ohne TPM anzugreifen.
In Windows 8 hat Microsoft damit begonnen, Benutzer dazu zu bringen, einen PIN-Code anstelle von Konto-Passwörtern zu verwenden. Nachfolgende Versionen von Windows haben diese Fähigkeit geerbt. Standardmäßig enthalten PIN-Codes nur Ziffern, es sind jedoch auch alphanumerische PINs möglich. Ihre typische Länge beträgt 4 oder 6 Zeichen, wodurch es möglich ist, solche PIN-Codes mit einem einfachen Brute-Force-Angriff in kürzester Zeit zu knacken.

Elcomsoft System Recovery 8.30 bietet die Möglichkeit, PIN-geschützte Konten zu erkennen und den PIN-Code auf Systemen ohne Trusted Platform Module (TPM) mithilfe von Brute-Force-Attacken anzugreifen. Bei reinen Ziffern-PIN-Codes wird die Länge der PIN erkannt und angezeigt.

Ein Update für bootfähige forensische Tools

Ursprünglich als einfaches Tool zum Zurücksetzen von Windows-Benutzer-Passwörtern veröffentlicht, hat sich Elcomsoft System Recovery nun zu einem funktionsreichen bootfähigen forensischen Toolkit entwickelt. Das Tool bietet mehrere bootfähige forensische Tools, darunter die Timeline, die eine Liste der gestarteten Apps und vergangenen Aktivitäten in der praktischen Timeline-Ansicht, eine Liste der zuletzt aufgerufenen Dateien und Ordner sowie eine Liste der installierten Anwendungen enthält.

Die neue Version verbessert die Benutzerfreundlichkeit dieser Tools weiter indem es jetzt möglich ist, die Ergebnisse zu filtern. Die Filter ermöglichen es Experten, sich auf das Wesentliche zu konzentrieren und Aktivitäten mit unerwünschten Daten wie beispielsweise den Zugriff auf Windows-Systemdateien auszuschließen.

Unterstützung für LUKS 2-Verschlüsselung

Darüber hinaus kann das Update nun mit LUKS2 verschlüsselte Datenträger erkennen und Verschlüsselungs-Metadaten für nachfolgende Angriffe extrahieren. Eine aktualisierte Version von Elcomsoft Distributed Password Recovery ist erforderlich, um einen Angriff auf ein LUKS2-Volume auszuführen.

Elcomsoft System Recovery ist ein tragbares Feldanalyse-Tool für die Computer-Forensik. Elcomsoft System Recovery wurde als forensisch fundiertes Computeranalyse-Tool entwickelt und ermöglicht es Experten, vor Ort Entscheidungen in Echtzeit zu treffen. Dank der Windows-basierten bootfähigen Umgebung bietet das Tool einen schnellen Zugriff auf digitale Beweise und unterstützt gleichzeitig alle nativen Windows-Dateisysteme und eine breite Palette von Computerhardware.

Elcomsoft System Recovery 8.30 Versionshinweise:

• Azure Active Directory: Kontotyp-Erkennung
• Forensische Tools (installierte Apps, Timeline, zuletzt verwendete Dateien und Ordner): Filter hinzugefügt
• PIN-geschützte Konten (lokal, lokales Microsoft, Azure Active Directory): Erkennen PIN-geschützter Konten
• PIN-geschützte Konten (lokal, lokales Microsoft, Azure Active Directory): Vor-Ort-Wiederherstellung einfacher PIN-Codes (bis zu 6 Ziffern)
• PIN-geschützte Konten (lokal, lokales Microsoft, Azure Active Directory): Metadaten-Extraktion für Offline-Angriffe (aktualisierte Version von Elcomsoft Distributed Password Recovery erforderlich)
• LUKS2 Verschlüsselung: Erkennung verschlüsselter Laufwerke
• LUKS2 Verschlüsselung: Metadaten-Extraktion (aktualisierte Version von Elcomsoft Distributed Password Recovery erforderlich)