Elcomsoft Forensic Disk Decryptor(EFDD)破解版是功能强大的磁盘取证解密程序,可以完全实时地访问流行的加密容器中存储的信息。该工具支持BitLocker,PGP,TrueCrypt,VeraCrypt和FileVault2保护的桌面和便携式版本,该工具可以解密存储在加密容器中的所有文件和文件夹,或将加密的卷作为新的驱动器号挂载以进行即时访问。可以通过分析休眠文件或内存转储(产品内置的内存转储功能)来获取解密密钥,也可以通过FireWire攻击获得解密密钥。如果密码已知或恢复密钥可用,该程序还可以解密或装入磁盘。该工具提供了近乎即时的获取功能,并提供了两个选项来访问加密卷的内容。通过完全解密,受保护磁盘的全部内容将被解密,从而为调查人员提供了对存储在加密卷上的所有信息的完全不受限制的访问权。为了快速,实时地访问受保护的信息,可以将加密的卷安装为新的驱动器号。在这种模式下,文件将被动态解密。支持三种获取用于访问加密容器内容的解密密钥的方法。根据PC是运行还是关闭,锁定或解锁,可以通过分析内存转储或休眠文件,或者通过FireWire协议执行攻击以获得实时内存转储来获取密钥。为了获得解密密钥,必须将加密卷安装在目标PC上。支持使用BitLocker-to-Go加密的闪存驱动器和可移动媒体,并可以识别所有支持类型的加密卷和全盘加密。还支持原始(DD)和EnCase(.E01)磁盘映像!
安装激活教程
1、下载并解压,如图所示,得到以下内容
2、双击efdd_setup_en.msi安装,点击accept
3、默认点击next,选择软件安装路径
4、将破解文件夹中的补丁复制到安装目录中,点击替换目标中的文件
功能特色
一、完全集成的解决方案,用于访问加密卷
Elcomsoft取证磁盘解密器提供了所有可用方法,可访问存储在加密BitLocker,FileVault 2,PGP,TrueCrypt和VeraCrypt磁盘和卷中的信息。该工具包允许使用卷的纯文本密码,托管或恢复密钥,以及从计算机的内存映像或休眠文件中提取的二进制密钥。可以使用Elcomsoft Phone Breaker从iCloud中提取FileVault 2恢复密钥,而在Active Directory或用户的Microsoft帐户中则可以使用BitLocker恢复密钥。
如果无法提取加密密钥和恢复密钥,则EFDD可以从加密容器中提取元数据,以让Elcomsoft分布式密码恢复执行其工作。
二、完全解密,即时挂载或攻击
借助对加密卷和加密设置的全自动检测,专家只需提供通往加密容器或磁盘映像的路径。Elcomsoft法医磁盘解密器将自动搜索,识别和显示加密卷及其相应加密设置的详细信息。
通过解密加密卷的全部内容或通过以未加密,未加密模式将卷作为驱动器号挂载来提供访问。两种操作都可以将卷作为附加磁盘(物理或逻辑)或原始映像进行;对于FileVault 2,PGP和BitLocker,可以使用恢复密钥(如果有)执行解密和挂载。
1、完全解密
Elcomsoft取证磁盘解密器可以自动解密加密容器的全部内容,从而为调查人员提供对存储在加密卷上的所有信息的完全,不受限制的访问权限
2、实时访问加密信息
在实时模式下,Elcomsoft取证磁盘解密器将加密的卷作为新的驱动器号安装在研究者的PC上。在这种模式下,法医专家可以快速,实时地访问受保护的信息。从安装的磁盘和卷中读取的信息会实时进行实时解密。
3、没有解密密钥和恢复密钥?
如果解密密钥和恢复密钥均不可用,则Elcomsoft法医磁盘解密器将提取必要的元数据,以使用Elcomsoft分布式密码恢复对密码进行暴力破解。
Elcomsoft Distributed Password Recovery 可以通过一系列高级攻击(包括蛮力攻击)来攻击纯文本密码,从而保护加密容器,其中包括字典,掩码和置换攻击。
三、加密密钥的来源
Elcomsoft取证磁盘解密器需要原始的加密密钥才能访问存储在加密容器中的受保护信息。可以从安装加密卷时获取的休眠文件或内存转储文件中提取加密密钥。有三种方法可以获取原始加密密钥:
通过分析休眠文件(如果正在分析的PC已关闭);
通过分析内存转储文件。可以使用内置的内存映像工具获取正在运行的PC的内存转储。
通过执行FireWire攻击(被分析的PC必须在安装了加密卷的情况下运行)。要执行FireWire攻击(例如,盗用),需要在研究人员的PC上启动的免费工具。
通过使用内置RAM映像工具捕获内存转储
可以使用托管密钥(恢复密钥)解密或装入FileVault 2,PGP和BitLocker卷。
软件优势
1、访问信息存储在流行的加密容器中
ElcomSoft为研究人员提供了一种快速,简便的方法来访问由BitLocker,FileVault 2,PGP,TrueCrypt和VeraCrypt创建的加密容器中存储的加密信息。
2、获取加密密钥
用于获取解密密钥的至少三种不同方法。三种方法之一的选择取决于所分析PC的运行状态。它还取决于是否可以在正在调查的PC上安装取证工具。
如果正在调查的PC已关闭,则可以从休眠文件中检索加密密钥。必须在计算机进入睡眠状态之前安装加密卷。如果在休眠之前卸装了卷,则可能无法从休眠文件中获取加密密钥。
如果打开了PC,如果允许安装该工具,则可以使用内置的内存映像工具捕获内存转储(例如,PC已解锁并且当前登录的帐户具有管理权限)。加密卷必须在获取时安装。
最后,如果被调查的PC已打开,但无法安装取证工具(例如PC被锁定或登录帐户缺乏管理权限),则可以通过FireWire端口执行DMA攻击以获得内存转储。 。此攻击需要使用免费的第三方工具(例如Inception:http : //www.breaknenter.org/projects/inception/),并且由于实施了实现直接内存访问。目标PC和用于采集的计算机都必须具有FireWire(IEEE 1394)端口。
一旦获取了原始加密密钥,Elcomsoft取证磁盘解密器将存储密钥以供将来访问,并提供了一个选项,可以解密加密容器的全部内容,或者将受保护的磁盘安装为另一个驱动器号以进行实时访问。
3、支持的磁盘加密工具
Elcomsoft取证磁盘解密器可与由当前版本的BitLocker,FileVault 2,PGP,VeraCrypt和TrueCrypt创建的加密卷配合使用,包括使用BitLocker To Go加密的可移动和闪存存储介质。支持PGP加密的容器和全盘加密,VeraCrypt和TrueCrypt系统以及隐藏磁盘。
使用帮助
一、使用程序页首上一个下一个
在主程序屏幕上,以下选项可用:
1、解密或挂载磁盘
有关详细信息,请参见解密或装入磁盘。
2、提取密钥
一旦将磁盘装入系统(未锁定),系统会将加密密钥保留在内存中,因此可以从那里提取-从内存转储(请继续阅读以获取更多信息,以了解如何获取它)或从休眠文件(如果安装磁盘后,系统已进入休眠模式)。有关更多详细信息,请参见提取密钥。
3、提取/准备数据
如果密码未知,恢复密钥不可用,并且没有内存转储或休眠文件,那么剩下的唯一选择就是使用费时的蛮力攻击或字典攻击来恢复密码。 EFDD允许提取进一步恢复所需的数据;那么您可以在“分布式密码恢复”中使用此数据进行有效的密码破解。与第一个选项(解密/装入磁盘)一样,请首先选择数据源:
对于前两个选项,程序将列出所有可用分区,并检测其中使用的加密(如果有)。最后一个(容器)用于PGP(.pgd)和TrueCrypt / VeraCrypt容器(后者可以具有任何扩展名)。
使用EFDD提取的数据可进一步用于分布式密码恢复中的密码恢复。
4、转储物理内存
将磁盘装入系统(未锁定)后,系统会将加密密钥保留在内存中,因此,如果您要访问实时系统,则可以轻松获取密钥。选择要将内存转储到的文件,然后按开始;请注意,此操作需要管理员权限。
5、创建便携式版本
此选项允许创建可从可移动驱动器运行的程序的便携式版本(在目标计算机上?)。普通版和便携式版之间存在以下差异:
·便携式版本,无需安装;只需运行“ efdd.exe”即可运行
·便携式版本涂料不包含创建另一个便携式版本的选项
·便携式版本无法挂载磁盘(只能解密)
二、提取键
选择适当的来源(内存转储或hiberfil.sys)和加密类型(BitLocker,PGP或TrueCrypt / VeraCrypt),然后按下一步:
您还可以选择Active Directory(ntds.dit文件)作为源。 但是,此时仅从此处提取BitLocker恢复密钥。
该过程完成后,将显示找到的密钥列表(如果有),您可以将其保存到文件中以备将来使用。
请注意,在进行转储时(或在计算机进入休眠状态时)应将加密的磁盘装入系统。 否则,密钥不会存储在内存中。
搜索密钥是一个耗时的过程,因此建议仅将搜索限制为特定类型的密钥。
