Elcomsoft Forensic Disk Decryptor

Angebot€699,00 EUR

zzgl. MwSt. Versandkosten werden an der Kasse berechnet

Auf Lager

Gut zu wissen

Hier finden Sie wichtige Informationen zum Produkt. Bei Fragen können Sie sich jederzeit an unseren Kundenservice wenden.

Unterstütze Software

verschlüsselte Archive von BitLocker (einschließlich TPM-Konfigurationen), FileVault 2 (einschließlich APFS-Volumes), LUKS, PGP Disk, TrueCrypt und VeraCrypt und vollständige Festplattenverschlüsselung, BitLocker To Go, XTS-AES BitLocker-Verschlüsselung, Jetico BestCrypt, RAM-Dumps sowie Ruhezustands- und Auslagerungsdateien.

Vorteile des Elcomsoft Forensic Disk Decryptor

Voll integrierte Lösung für den Zugriff auf verschlüsselte Volumes

Elcomsoft Forensic Disk Decryptor bietet alle möglichen Methoden an, um einen Zugang zu Daten in verschlüsselten BitLocker-, FileVault 2-, LUKS, LUKS2, PGP Disk-, TrueCrypt- und VeraCrypt-Datenträger und Jetico BestCrypt 9-Container zu erhalten. Das Tool verwendet Klartext-Passwörter, Escrow- oder Wiederherstellungsschlüssel sowie die aus dem Speicherabbild des Computers extrahierten Binärschlüssel. FileVault 2-Wiederherstellungsschlüssel können mit Elcomsoft Phone Breaker aus der iCloud extrahiert werden, während BitLocker-Wiederherstellungsschlüssel im Active Directory oder im Microsoft-Konto des Benutzers verfügbar sind.

Wenn weder der Verschlüsselungsschlüssel noch der Wiederherstellungsschlüssel extrahiert werden kann, kann EFDD Metadaten aus dem verschlüsselten Container extrahieren, damit [Elcomsoft Distributed Password Recovery] (https://www.elcomsoft.com/edpr.html) seine Aufgabe erfüllen kann.

Extrahieren von Verschlüsselungs-Metadaten

Das Extrahieren von Verschlüsselungs-Metadaten von der verschlüsselten Festplatten ist erforderlich, wenn man einen Zugriff auf das ursprüngliche Klartext-Passwort benötigt, um auf die Daten zugreifen zu können. Forensic Disk Decryptor extrahiert die Verschlüsselungs-Metadaten sofort von verschlüsselten Festplatten, Kryptocontainern und forensischen Disk-Images, die mit TrueCrypt, VeraCrypt, BitLocker, FileVault, PGP Disk, LUKS/LUKS2 oder Jetico BestCrypt geschützt sind. Die erforderliche kleine Datei enthält alles, was zum Starten eines GPU-beschleunigten verteilten Angriffs mit Elcomsoft Distributed Password Recovery erforderlich ist.

Vollständige Entschlüsselung, Instant Mount oder Attack

Dank einer vollautomatischen Erkennung von verschlüsselten Container und Verschlüsselungsalgorithmen müssen Experten nur den Pfad zum verschlüsselten Container oder Disk-Image angeben. Elcomsoft Forensic Disk Decryptor wird automatisch verschlüsselte Volumes und Details ihrer Verschlüsselungsalgorithmen erkennen und anzeigen.

Der Zugang ist entweder durch das Entschlüsseln des gesamten Inhalts eines verschlüsselten Datenträgers gewährleistet oder durch das Mounten des Datenträgers unter einem Laufwerksbuchstaben im unverschlüsselten Modus. Beide Operationen können mithilfe von Volumes als angeschlossene Festplatten (physische oder logische) oder RAW-Images ausgeführt werden; für FileVault 2, PGP und BitLocker können die Entschlüsselung und das Mounten mithilfe des Recovery Key (falls vorhanden) durchgeführt werden.

Vollständige Entschlüsselung

Während einer vollständigen Entschlüsselung wird Elcomsoft Forensic Disk Decryptor automatisch den gesamten Inhalt eines verschlüsselten Containers entschlüsseln, indem das Tool dem Ermittler einen vollen, uneingeschränkten Zugriff auf absolut alle Informationen des verschlüsselten Datenträgers gewährt.

Echtzeit-Zugang zu verschlüsselten Informationen

Im Echtzeit-Modus kann Elcomsoft Forensic Disk Decryptor den verschlüsselten Datenträger als neues Laufwerk mounten. In diesem Modus genießen Forensiker einen bequemen Zugriff auf die geschützten Informationen. Die Daten werden hierbei in Echtzeit entschlüsselt.

Kein Entschlüsselungsschlüssel und kein Wiederherstellungsschlüssel?

Wenn weder der Entschlüsselungsschlüssel noch der Wiederherstellungsschlüssel verfügbar sind, extrahiert Elcomsoft Forensic Disk Decryptor Metadaten, die erforderlich sind, um das Passwort mit Elcomsoft Distributed Password Recovery zu gewinnen.

Ein anderes Programm, Elcomsoft Distributed Password Recovery ermöglicht einen Angriff auf die Klartext-Passwörter, die Krypto-Archive schützen - mithilfe fortschrittlicher Angriffe über Wörterlisten, einschließlich Masken, Permutationen und Brute-Force.

Quellen der Verschlüsselungsschlüssel

Elcomsoft Forensic Disk Decryptor benötigt die Original-Schlüssel, um auf geschützte Daten in Krypto-Archiven zuzugreifen. Diese Schlüssel können aus Hibernation-Dateien oder Speicherabbildern ausgelesen werden, die erstellt wurden, während der verschlüsselte Datenträger gemountet war. Es gibt drei Möglichkeiten, diese Schlüssel zu bekommen:

  • Durch die Analyse der Hibernation-Datei (wenn der analysierte PC ausgeschaltet ist);
  • Durch die Analyse eines Speicherabbilds. Ein Speicherauszug eines laufenden PCs kann mit dem integrierten Speicherabbildungstool erfasst werden.
  • Durch einen FireWire-Angriff (der verschlüsselte Datenträger muss bei laufendem PC gemountet sein). Auf dem PC des Ermittlers muss ein kostenloses Tool (z. B. Inception) laufen, damit der FireWire-Angriff durchgeführt werden kann.
  • Durch die Erstellung des Speicherabbilds mithilfe vom eingebauten RAM-Imaging-Tool.

FileVault 2-, PGP- oder BitLocker-Volumes können mithilfe von Escrow-Schlüsseln (Recovery Schlüsseln) gemountet und entschlüsselt werden.

Zugang zu Daten in den populärsten Krypto-Archiven

ElcomSoft bietet Forensikern eine schnelle, einfache Möglichkeit, auf verschlüsselte Daten zuzugreifen, die auf einer Vielzahl von verschlüsselten Datenträgern gespeichert sind.

Gewinnung der Schlüssel

Es gibt mindestens drei verschiedene Verfahren für die Gewinnung von Dechiffrierschlüsseln. Die Wahl für eine der drei Methoden ist abhängig vom Betriebszustand des analysierten Computers. Auch ist von Bedeutung, ob die Installation eines Forensik-Tools auf einem zu untersuchenden PC möglich ist.

Wenn der analysierte PC ausgeschaltet ist, sollten die Schlüssel aus der Hibernation-Datei extrahiert werden. Der verschlüsselte Datenträger muss gemountet sein, bevor der Computer in Ruhezustand versetzt wurde. Wenn der Datenträger bereits vor dem Ruhezustand entfernt wurde, können die Schlüssel nicht aus der Hibernation-Datei geborgen werden.

Wenn der PC eingeschaltet ist, kann ein Speicherabbild mit einem eingebauten Speicher-Imaging-Tool erfasst werden, wenn die Installation eines solchen Tools möglich ist (z. B. wenn der PC entsperrt ist und das im Moment eingeloggte Benutzerkonto Administratorrechte hat). Der verschlüsselte Datenträger muss zum Zeitpunkt des Zugriffs gemountet sein.

Schließlich, wenn der untersuchte PC eingeschaltet, aber die Installation eines forensischen Tools unmöglich ist (z. B. wenn der PC gesperrt ist oder das Administratorenrecht fehlt), kann ein DMA-Angriff über einen FireWire-Anschluss durchgeführt werden, um ein Speicherabbild zu erhalten. Dieser Angriff erfordert die Verwendung eines kostenlosen Drittanbieter-Tools (wie z. B. Inception: http://www.breaknenter.org/projects/inception/) und bietet einen beinahe sicheren Erfolg durch die Verwendung des FireWire-Protokolls, das den direkten Speicherzugriff (Direct Memory Access) ermöglicht. Sowohl der Ziel-PC als auch der Computer, der für die Speicherabbild-Erfassung verwendet wird, müssen hierzu FireWire (IEEE 1394)-Ports haben.

Nachdem die ursprünglichen Schlüssel erworben wurden, speichert Elcomsoft Forensic Disk Decryptor alle diese Schlüssel für den künftigen Zugang und bietet eine Möglichkeit, entweder den gesamten Inhalt der verschlüsselten Archive zu entschlüsseln oder den geschützten Datenträger unter einem anderen Laufwerksbuchstaben für einen Echtzeit-Zugang anzumelden.

Unterstützte Verschlüsselungstools

Elcomsoft Forensic Disk Decryptor unterstützt FileVault 2-, BitLocker-, LUKS/LUKS2-, PGP-Festplattenverschlüsselung, VeraCrypt und TrueCrypt, einschließlich Wechseldatenträgern und Flash-Speichermedien, die mit BitLocker To Go verschlüsselt sind. EFDD unterstützt PGP Disk-verschlüsselte Archive und Full Disk-Verschlüsselung, VeraCrypt- und TrueCrypt-Systemlaufwerke und versteckte Container, Jetico BestCrypt 9-Container.