Elcomsoft Forensic Disk Decryptor - Secara instan mengakses data yang disimpan dalam BitLocker terenkripsi, FileVault 2, Disk PGP, disk dan wadah TrueCrypt dan VeraCrypt. Alat ini mengekstrak kunci kriptografis dari pengambilan RAM, hibernasi, dan file halaman atau menggunakan kata sandi teks biasa atau kunci eskro untuk mendekripsi file dan folder yang disimpan dalam wadah kripto atau memasang volume terenkripsi sebagai huruf drive baru untuk akses instan dan waktu nyata.
- Dekripsi BitLocker, BitLocker To Go, FileVault 2, Disk PGP, volume dan wadah TrueCrypt dan VeraCrypt
- Ekstrak kunci kriptografis dari tangkapan RAM, file hibernasi dan halaman, kunci escrow dan Pemulihan
- Operasi cepat tanpa jejak
- Pasang wadah terenkripsi secara instan sebagai huruf drive
- Abadikan konten memori volatil komputer dengan alat tingkat kernel
- Ekstrak metadata enkripsi dari TrueCrypt, VeraCrypt, BitLocker, FileVault, PGP Disk, dan disk terenkripsi LUKS/LUKS2, disk dan kontainer Jetico BestCrypt
Mendukung: BitLocker (termasuk konfigurasi TPM), FileVault 2 (termasuk volume APFS), LUKS, Disk PGP, wadah terenkripsi TrueCrypt dan VeraCrypt dan enkripsi disk penuh, BitLocker To Go, enkripsi XTS-AES BitLocker, Jetico BestCrypt, dump RAM, file hibernasi , file halaman
Menentukan Algoritma Enkripsi dan Hashing untuk TrueCrypt/VeraCrypt
TrueCrypt dan VeraCrypt memungkinkan pengguna untuk mengubah algoritme enkripsi serta fungsi hash yang digunakan untuk menghasilkan kunci enkripsi dari kata sandi. Informasi ini tidak pernah disimpan di mana pun dalam wadah terenkripsi. Jika ahli menentukan algoritme yang salah, upaya untuk memulihkan kata sandi akan gagal meskipun kata sandi yang benar sudah dicoba. Dalam rilis ini, kami telah menambahkan kemampuan untuk menentukan algoritme untuk kata sandi paksa saat menangkap metadata enkripsi dari volume TrueCrypt/VeraCrypt.
Enkripsi LUKS2
Elcomsoft Forensic Disk Decryptor menambahkan dukungan untuk enkripsi LUKS2. Alat ini dapat mengekstrak metadata LUKS2 dari disk dan wadah terenkripsi.
Solusi Terintegrasi Penuh untuk Mengakses Volume Terenkripsi
Elcomsoft Forensic Disk Decryptor menawarkan serangkaian metode untuk mendapatkan akses ke informasi yang disimpan dalam BitLocker terenkripsi, FileVault 2, LUKS, LUKS2, Disk PGP, disk dan volume TrueCrypt dan VeraCrypt, dan wadah Jetico BestCrypt 9. Toolkit ini memungkinkan penggunaan kata sandi teks biasa, escrow atau kunci pemulihan volume, serta kunci biner yang diekstrak dari gambar memori komputer atau file hibernasi. Kunci pemulihan FileVault 2 dapat diekstraksi dari iCloud dengan Elcomsoft Phone Breaker, sedangkan kunci pemulihan BitLocker tersedia di Direktori Aktif atau di Akun Microsoft pengguna.
Jika kunci enkripsi atau kunci pemulihan tidak dapat diekstraksi, EFDD dapat mengekstrak data meta dari wadah terenkripsi agar Pemulihan Kata Sandi Terdistribusi Elcomsoft melakukan tugasnya.
Ekstrak Metadata Enkripsi
Mengekstrak metadata enkripsi dari disk terenkripsi diperlukan jika Anda memerlukan akses ke kata sandi teks biasa asli untuk mengakses data. Forensic Disk Decryptor akan langsung mengekstrak metadata enkripsi dari hard drive terenkripsi, crypto-container dan citra disk forensik yang dilindungi dengan TrueCrypt, VeraCrypt, BitLocker, FileVault, PGP Disk, LUKS/LUKS2, dan disk dan kontainer Jetico BestCrypt. File kecil yang dihasilkan berisi semua yang diperlukan untuk meluncurkan serangan terdistribusi yang dipercepat GPU dengan Elcomsoft Distributed Password Recovery.
Dekripsi Penuh, Pemasangan atau Serangan Instan
Dengan deteksi otomatis volume terenkripsi dan pengaturan enkripsi, pakar hanya perlu menyediakan jalur ke penampung terenkripsi atau gambar disk. Elcomsoft Forensic Disk Decryptor akan secara otomatis mencari, mengidentifikasi, dan menampilkan volume terenkripsi dan detail pengaturan enkripsi terkait.
Akses disediakan dengan mendekripsi seluruh konten volume terenkripsi atau dengan memasang volume sebagai huruf drive dalam mode tidak terkunci dan tidak terenkripsi. Kedua operasi dapat dilakukan dengan volume sebagai disk terpasang (fisik atau logis) atau gambar mentah; untuk FileVault 2, PGP Disk, dan BitLocker, dekripsi dan pemasangan dapat dilakukan menggunakan kunci pemulihan (jika tersedia).
Dekripsi Penuh
Elcomsoft Forensic Disk Decryptor dapat secara otomatis mendekripsi seluruh konten wadah terenkripsi, memberi penyelidik akses penuh dan tidak terbatas ke semua informasi yang disimpan pada volume terenkripsi
Akses Real-Time ke Informasi Terenkripsi
Dalam mode real-time, Elcomsoft Forensic Disk Decryptor memasang volume terenkripsi sebagai huruf drive baru di PC penyelidik. Dalam mode ini, spesialis forensik menikmati akses cepat dan real-time ke informasi yang dilindungi. Informasi yang dibaca dari disk dan volume terpasang didekripsi dengan cepat dalam waktu nyata.
Tidak Ada Kunci Dekripsi dan Tidak Ada Kunci Pemulihan?
Jika kunci dekripsi atau kunci pemulihan tidak tersedia, Elcomsoft Forensic Disk Decryptor akan mengekstrak metadata yang diperlukan untuk memaksa kata sandi dengan Elcomsoft Distributed Password Recovery.
Pemulihan Kata Sandi Terdistribusi Elcomsoft dapat menyerang kata sandi teks biasa yang melindungi wadah terenkripsi dengan serangkaian serangan tingkat lanjut termasuk serangan kamus, topeng, dan permutasi selain kekerasan.
Sumber Kunci Enkripsi
Elcomsoft Forensic Disk Decryptor memerlukan kunci enkripsi asli untuk mengakses informasi terlindungi yang disimpan dalam wadah crypto. Kunci enkripsi dapat diekstraksi dari file hibernasi atau file dump memori yang diperoleh saat volume terenkripsi dipasang. Ada tiga cara yang tersedia untuk memperoleh kunci enkripsi asli:
- Dengan menganalisis file hibernasi (jika PC yang dianalisis dimatikan);
- Dengan menganalisis file dump memori. Dump memori dari PC yang sedang berjalan dapat diperoleh dengan alat pencitraan memori bawaan.
- Dengan melakukan serangan FireWire (PC yang sedang dianalisis harus dijalankan dengan volume terenkripsi terpasang). Alat gratis yang diluncurkan di PC penyelidik diperlukan untuk melakukan serangan FireWire (mis. Inception).
- Dengan menangkap dump memori dengan alat pencitraan RAM bawaan
Volume FileVault 2, PGP Disk, dan BitLocker dapat didekripsi atau dipasang menggunakan kunci escrow (Kunci Pemulihan).
Tambahkan lebih banyak kemampuan
Pemburu Disk Terenkripsi Elcomsoft
Elcomsoft Encrypted Disk Hunter adalah alat baris perintah portabel gratis untuk menemukan dengan cepat keberadaan volume terenkripsi saat melakukan analisis sistem langsung.
Beberapa alat enkripsi full-disk Windows, Linux dan macOS didukung termasuk TrueCrypt/VeraCrypt, semua versi Microsoft BitLocker, PGP WDE, FileVault2, BestCrypt dan LUKS. Alat tersebut harus diluncurkan dengan hak istimewa administratif pada sistem langsung yang sedang dianalisis. Jika volume terenkripsi terdeteksi, penyelidikan lebih lanjut terhadap sistem aktif mungkin diperlukan untuk menyimpan bukti yang dapat hilang jika komputer dimatikan.
Semua Fitur dan Manfaat
- Akses Informasi yang Disimpan di Kontainer Kripto Populer
ElcomSoft menawarkan penyelidik cara cepat dan mudah untuk mengakses informasi terenkripsi yang disimpan dalam berbagai disk terenkripsi.
- Mendapatkan Kunci Enkripsi
Setidaknya ada tiga metode berbeda untuk memperoleh kunci dekripsi. Pilihan salah satu dari tiga metode ini bergantung pada status pengoperasian PC yang sedang dianalisis. Itu juga tergantung pada apakah pemasangan alat forensik dimungkinkan atau tidak pada PC yang sedang diselidiki.
Jika PC yang diselidiki dimatikan , kunci enkripsi dapat diambil dari file hibernasi. Volume terenkripsi harus dipasang sebelum komputer tidur. Jika volume diturunkan sebelum hibernasi, kunci enkripsi mungkin tidak diturunkan dari file hibernasi.
Jika PC dihidupkan , dump memori dapat ditangkap dengan alat pencitraan memori internal jika menginstal alat semacam itu diizinkan (mis. PC tidak terkunci dan akun yang saat ini masuk memiliki hak administratif). Volume terenkripsi harus dipasang pada saat akuisisi.
Terakhir, jika PC yang sedang diselidiki dihidupkan tetapi alat forensik tidak dapat diinstal (misalnya PC terkunci atau akun yang masuk tidak memiliki hak administratif), serangan DMA melalui port FireWire dapat dilakukan untuk mendapatkan dump memori . Serangan ini membutuhkan penggunaan alat pihak ketiga gratis (seperti Inception: http://www.breaknenter.org/projects/inception/ ), dan menawarkan hasil hampir 100% karena penerapan protokol FireWire yang memungkinkan langsung akses memori. PC target dan komputer yang digunakan untuk akuisisi harus memiliki port FireWire (IEEE 1394).
Setelah kunci enkripsi asli diperoleh, Elcomsoft Forensic Disk Decryptor menyimpan kunci untuk akses di masa mendatang, dan menawarkan opsi untuk mendekripsi seluruh konten wadah terenkripsi atau memasang disk yang dilindungi sebagai huruf drive lain untuk akses waktu nyata.
- Alat Enkripsi Disk yang Didukung
Elcomsoft Forensic Disk Decryptor bekerja dengan volume terenkripsi yang dibuat oleh BitLocker versi terbaru, FileVault 2, LUKS/LUKS2, PGP Disk, VeraCrypt dan TrueCrypt, termasuk media penyimpanan yang dapat dilepas dan flash yang dienkripsi dengan BitLocker To Go. Mendukung wadah terenkripsi Disk PGP dan enkripsi disk penuh, sistem VeraCrypt dan TrueCrypt dan disk tersembunyi, dan wadah Jetico BestCrypt 9.
Persyaratan sistem
Windows
- Windows 7
- Windows 8
- Windows 8.1
- Windows 10
- Windows 11
- WindowsServer 2008-2022
Hak istimewa administrator (untuk membuat dump memori)
Gambar memori atau file hibernasi yang berisi kunci enkripsi disk (dibuat saat disk terenkripsi dipasang), atau kunci eskro/pemulihan (FileVault 2, BitLocker, atau PGP Disk), atau kata sandi
Batasan percobaan
Versi uji coba gratis EFDD tidak memungkinkan untuk menyimpan kunci enkripsi; dalam mode dekripsi/pemasangan, ini hanya memverifikasi validitas kunci, tetapi tidak benar-benar mendekripsi atau memasang disk.
Catatan rilis
Elcomsoft Forensic Disk Decryptor v.2.20.1011
- menambahkan dukungan untuk enkripsi LUKS2
- perbaikan bug kecil dan peningkatan kinerja
Prosedur penghapusan instalasi: untuk menghapus produk, ikuti prosedur standar melalui Panel Kontrol - Program dan fitur atau gunakan tautan Unistall yang sesuai dari folder produk di menu Mulai Windows.
Harga :
Lisensi umum $599
Posting Komentar