Elcomsoft Forensic Disk Decryptor
对加密的BitLocker,PGP和TrueCrypt磁盘和容器的取证访问
对使用桌面和便携版本的BitLocker,PGP和TrueCrypt保护的卷和加密磁盘和执行完整的取证分析。 Elcomsoft Forensic Disk Decryptor通过使用计算机RAM,内存转储或休眠文件,来装载或解密加密卷即可即时访问加密数据。
特点和优点
解密存储在三个最常用的加密容器中的信息
装载加密的BitLocker,PGP和TrueCrypt卷
支持使用BitLocker To Go加密的可移动介质
支持Windows 10中的XTS-AES BitLocker加密11月更新(构建1511)
支持加密容器和全磁盘加密
适用于物理磁盘,逻辑分区和RAW / DD图像
可以使用托管密钥(恢复密钥)解密和装载PGP和BitLocker卷
从RAM转储,休眠文件获取解密密钥
如果存在多个加密容器,则立即从内存转储中提取所有可用的密钥
快速采集(仅受磁盘读取速度的限制)
零占用操作不留下痕迹,并且不需要修改加密的卷内容
恢复和存储原始加密密钥
支持从XP到Windows 10的所有32位和64位版本的Windows
访问存储在流行的加密容器中的信息
ElcomSoft为调查员提供了一种快速,轻松的方式来访问存储在由BitLocker,PGP和TrueCrypt创建的加密容器中的加密信息。
两种访问模式[1]
通过解密加密卷的整个内容或通过在解锁的未加密模式下将卷作为驱动器盘来安装来提供访问。这两种操作都可以使用卷作为连接的磁盘(物理或逻辑)或原始图像;对于PGP和BitLocker,可以使用恢复密钥(如果可用)执行解密和安装。
完全解密
在完全解密模式下,Elcomsoft Forensic Disk Decryptor将自动解密加密容器的整个内容,使调查人员能够完全,不受限制地访问存储在加密卷上的绝对所有信息。
实时访问加密信息
在实时模式下,Elcomsoft Forensic Disk Decryptor将加密卷作为调查者PC上的新驱动器盘符。在这种模式下,法医专家可以快速,实时地访问受保护的信息。从安装的磁盘和卷读取的信息实时解密。
零占位操作
ElcomSoft提供了一个合理的解决方案。该工具提供真正的零占用操作,不留下痕迹,不对加密卷的内容进行任何更改。
获取加密密钥的三种方法
Elcomsoft Forensic Disk Decryptor需要原始加密密钥才能访问存储在加密容器中的受保护信息。加密密钥可以从安装加密卷时获取的休眠文件或内存转储文件中提取。有三种方法可用于获取原始加密密钥:
通过分析休眠文件(如果被分析的PC被关闭);
通过分析内存转储文件[2]
通过执行FireWire攻击[3](正在分析的PC必须运行加密卷已安装)。
可以使用托管密钥(恢复密钥)解密或装载BitLocker卷。
获取加密密钥
存在用于获取解密密钥的至少三种不同的方法。三种方法之一的选择取决于要分析的PC的运行状态。这还取决于是否可能在所调查的PC上安装取证工具。
如果被调查的PC被关闭,则可以从休眠文件中检索加密密钥。加密的卷必须在计算机进入睡眠之前挂载。如果在休眠之前卸载卷,则加密密钥可能不是从休眠文件派生的。
如果PC被打开,则如果允许安装这样的工具(例如,PC被解锁并且当前登录的帐户具有管理特权),则可以用任何取证工具捕获存储器转储。加密卷必须在获取时安装。
最后,如果被调查的PC被打开,但是安装取证工具是不可能的(例如,PC被锁定或登录帐户没有管理权限),则可以执行经由FireWire端口的DMA攻击,以便获得存储器转储。这种攻击需要使用免费的第三方工具,并且提供接近100%的结果,因为实现了FireWire协议,内存访问。目标PC和用于采集的计算机都必须具有FireWire(IEEE 1394)端口。
一旦获取了原始加密密钥,Elcomsoft Forensic Disk Decryptor就会存储密钥以供将来访问,并提供解密加密容器的整个内容或将受保护磁盘作为另一个驱动器号用于实时访问的选项。
支持的磁盘加密工具
Elcomsoft Forensic Disk Decrypto可支持由BitLocker,PGP和TrueCrypt的当前版本创建的加密卷,包括使用BitLocker To Go加密的可移动和闪存存储介质。支持PGP加密容器和全磁盘加密,TrueCrypt系统和隐藏磁盘。