Elcomsoft Quick Triage (EQT), die forensische Triage-Lösung für die schnelle Datenerfassung vor Ort, wurde aktualisiert. Version 2.1 erweitert die Extraktionsfähigkeiten des Tools, führt wesentliche Leistungsoptimierungen an der Kern-Engine ein und fügt neue Workflow-Funktionen hinzu, die die Ermittler vor Ort unterstützen können.

Erweiterte Extraktion von Anmeldeinformationen und Browserpasswörtern

Im Fokus dieser Version steht der erweiterte Zugriff auf geschützte Anmeldeinformationen. EQT 2.1 bietet eine Offline-Entschlüsselung von Passwörtern, die in Chrome- und Chromium-basierten Browsern mit App-Bound Encryption (ABE) gespeichert wurden. Auch werden Browser unterstützt, die durch Masterpasswörter geschützt sind, darunter Yandex und Gecko-basierte Versionen wie Firefox. Darüber hinaus unterstützt das Tool nun auch die Extraktion von Entra-IDs und Microsoft-Konten mithilfe von schnellen Fast-Recovery-Angriffen.

Optimierte Verarbeitung und Indizierung

Der Hauptzweck des Produkts ist es, relevante Daten so schnell wie möglich zu erfassen und zu analysieren. Dafür haben wir das Container-Datenformat der Kernelemente grundlegend überarbeitet und die Indexierungs-Engine verbessert. Diese Änderungen ermöglichen einen deutlich schnelleren Verarbeitungsablauf und einen reduzierten Speicherbedarf. Die Suchvorgänge wurden außerdem so optimiert, dass die Windows-API umgangen wird und das Tool die nicht synchronisierten „Offline“-Dateien effizient überspringen kann.

Workflow-Verbesserungen und Sonderfälle

Version 2.1 bietet einige praktische Neuerungen für den Einsatz vor Ort. Ermittler können vor Ort eine portable Version von EQT direkt auf der zu untersuchenden Hardware nutzen. Bei Laufwerken, deren Betriebssystem unbekannt oder nicht bootfähig ist, ermöglicht die Option „Nur Daten“ dennoch die sofortige Datenextraktion. Integriert wurde auch ein spezieller Ereignisanzeiger für die schnellere Analyse von .evtx-Dateien und eine zügige Exportfunktion als CSV-Datei.

Umgehung von Stolpersteinen im System

Dieses Update behandelt zwei spezifische Probleme, denen Spezialisten bei der Datenerfassung begegnen. Zunächst wurde ein Workaround implementiert, um zu verhindern, dass Windows Defender EQT blockiert. Allerdings können aggressive Defender-Updates gelegentlich weiterhin Störungen verursachen. Falls ein Extraktionsvorgang hängenbleibt oder abgefangen wird, muss der Ermittler manuell eine Ausnahme auf Betriebssystemebene für das Tool auf dem Zielrechner hinzufügen. Zweitens haben wir die Erstellung von Speicherabbildern vorübergehend deaktiviert, wenn die Windows Memory Integrity Check auf dem zu untersuchenden Computer aktiviert ist. Wir arbeiten an einem aktualisierten Kernel-Treiber, der die Speichererfassung auch dann ermöglicht, wenn die Windows Memory Integrity Check aktiviert ist.

Eine vollständige Liste der Änderungen in Elcomsoft Quick Triage 2.1 finden Sie unten.

Versionshinweise

Extraktion und Entschlüsselung

• Neu: Unterstützung für die Offline-Entschlüsselung von Passwörtern, die in Chrome- und Chromium-basierten Browsern mit ABE-Schutz gespeichert sind
• Neu: Unterstützung für Browser mit Masterpasswörtern (Yandex und alle Gecko-basierten Browser einschließlich Firefox)
• Neu: Unterstützung für Entra ID und Microsoft-Konten
• Workaround: Es wurde ein Workaround für Windows Defender implementiert
• Workaround: Speicherabbilder werden nun vorübergehend übersprungen, wenn die Memory Integrity Check aktiviert ist

Verarbeitung, Suche und Indizierung

• Verbessert: Das neue Containerformat ermöglicht eine deutliche Beschleunigung und neue Indizierung
• Verbessert: Datenindizierung in der Lucene-Indexierungs-Engine (geringerer Speicherplatz, schnellere Verarbeitung)
• Verbessert: Schnellere Suche ohne Windows-API zum Überspringen von "Offline"-Dateien, die nicht synchronisiert sind
• Verbessert: Allgemeine Verbesserungen und Fehlerbehebungen bei der globalen Suche, verbesserte Anzeige des Datenindexierungs-Fortschritts
• Neu: Ein Ereignisanzeiger für .evtx-Dateien mit schnellerer Suche
• Neu: Ein „Nur-Daten“-Modus (wenn das Betriebssystem unbekannt ist)
• Neu: Vergleich von Daten aus verschiedenen Quellen direkt im Container

Workflow-, Export- und UI-Verbesserungen

• Neu: Schneller Export als CSV-Datei
• Neu: Erstellung einer portablen Version
• Neu: Die Möglichkeit, Dateien oder Ordner auszuwählen, die im Container gespeichert werden sollen
• Neu: Berechnung des benötigten Speicherplatzes für das Projekt
• Neu: Anzeige von Quelltypinformationen in intelligenten Ordnern
• Neu: Alle Felder haben nun eine Typbeschreibung
• Neu: Ein Menü „Aktuelle Projekte“
• Behoben: Probleme mit intelligenten Ordnern (falsche Feldnamen)
• Behoben: Probleme mit intelligenten Ordnern (falsche Feldnamen)