Elcomsoft System Recovery使用能够帮助系统管理员在更短的时间完成在Windows中重置或恢复本地Windows帐户和Microsoft帐户的密码的操作!可以使用预先配置的工具来快速恢复原始密码,重置windows帐户,现在您如果想要访问保存在加密磁盘中的数据也会更加的容易,可进行自动检测和提取,不需要耗费大量的时间和精力!当然如果你有需要你还可以上传自定义词典,以进行高性能的词典攻击,最多可进行4级突变。轻松创建可引导的CD映像(ISO)或USB闪存。无需创建Windows安装磁盘的覆盖范围即可制作!
安装说明
1、在CD或USB驱动器上写入可引导的ISO映像。
2、将BIOS设置为从USB设备或CD启动。
3、从可引导的USB闪存驱动器或CD引导计算机。
2、享受吧!
功能特色
一、新功能
1、可启动的取证工具简化了现场分析
最新版本引入了一些功能,可以更轻松地在现场分析计算机系统。新添加的取证工具允许查看已安装应用程序的列表(系统范围),分析用户的时间线并访问最近访问的文件和文件夹列表。专家现在可以通过从指定的USB设备启动来收集和提取他们正在检查的计算机中的基本工件。这些项目包括关键项目,例如用户的Windows注册表副本、重要的DPAPI和加密密钥、系统凭据、各种系统和事件日志,以及可以扫描BitLocker和第三方磁盘加密工具使用的加密密钥的页面和休眠文件。
2、取证声音提取和可验证磁盘映像
Elcomsoft System Recovery获得的功能旨在使现场调查更加高效和直接,通过写阻塞磁盘映像,只读访问和对可验证的支持使法医合理的现场分析成为可能。E01图像。这些功能有助于生成法院可接受的证据,并使第三方取证工具的后续分析成为可能。
二、取证声音提取、可验证磁盘映像
在现场调查期间访问锁定的系统时,速度通常是最重要的因素。然而,在提供法院可接受的证据时,保持数字监管链至关重要。Elcomsoft系统恢复包含有助于在整个调查过程中建立和维护数字监管链的功能。
为了保存数字证据,监管链从数据收集的第一个点开始。Elcomsoft System Recovery采用法医健全的工作流程,以确保在调查期间收集的数字证据仍可被法院接受。该工作流程实现了对目标计算机的只读、写阻止访问,并以数字签名、可验证磁盘映像的形式保存收集的证据,使Elcomsoft系统恢复成为基于硬件的写阻止磁盘映像设备的可行替代方案,同时提供对关键证据的实时访问。
1、写入阻止磁盘访问
Elcomsoft系统恢复通过写阻塞模式和只读磁盘映像帮助生成法院可接受的证据。在运行Elcomsoft系统恢复的第一步中,默认情况下会启用写入阻止模式,以确保目标计算机上没有数据被修改。写入阻止磁盘访问是该工具的默认行为。专家必须明确取消选中“只读”框才能访问系统管理功能,例如重置Windows用户和管理密码。
2、可验证的磁盘映像
可以将磁盘映像为可验证的。E01图像。与只读访问一起,哈希的使用有助于建立数字监管链,同时采用行业标准。E01格式使图像与第三方取证工具兼容,以进行全面分析。磁盘是映像到RAW/DD还是新支持的.E01格式,Elcomsoft系统恢复计算一个哈希文件并将其与图像放在一起。收集期间计算的哈希值可用于在稍后阶段验证证据。
三、改进的全磁盘加密工作流程
Elcomsoft系统恢复使访问存储在加密磁盘和容器中的数据变得更加容易。通过自动检测加密卷,ESR将自动提取发起攻击所需的哈希值[1]在加密卷的密码上,将它们保存到闪存驱动器,与传统工作流程相比,可以更快地访问加密证据。此外,ESR可以提取和保存可能包含加密密钥的休眠文件,以访问存储在加密卷中的信息。这些密钥可用于即时挂载加密卷或解密其内容以进行离线分析[2].
四、加密虚拟机
在高科技犯罪的世界中,加密虚拟机成为使用最广泛的掩盖工具之一。手动查找此类虚拟机可能是一个复杂且耗时的过程。我们通过自动查找多种类型的加密虚拟机,使您的工作更轻松。更好的是,ESR将自动捕获在Elcomsoft分布式密码恢复中对VM加密密码发起攻击所需的加密元数据。
五、重置或恢复Windows帐户密码
高达40%的支持电话与忘记密码和锁定登录有关。Elcomsoft System Recovery有助于即时重置Windows系统密码,使系统管理员能够重新获得对锁定的Windows帐户的访问权限。支持本地Windows帐户,网络域和Microsoft帐户,Elcomsoft系统恢复是网络管理员,IT专业人员和安全专家的必备工具。
六、重置或恢复系统密钥密码
SYSKEY密码是一种可疑且有争议的方式,可以为Windows登录添加额外的安全层。在旧版本的Windows中使用,SYSKEY密码已从Windows 10和Windows Server 2016版本1709中删除。未知的SYSKEY密码会阻止Windows启动,并阻止恢复或重置用户帐户密码。
易康软件系统恢复可以重置系统密钥,以恢复系统的正常启动操作。在重置SYSKEY密码之前,ESR现在将检查此操作对系统是否安全。
此外,Elcomsoft System Recovery允许在重置之前在各种系统数据库和缓存文件中查找缓存的SYSKEY密码。
七、即时重置和可配置攻击
Elcomsoft系统恢复可以立即重置帐户密码,同时支持预配置的攻击以恢复原始密码。此外,用户可以上传自己的自定义词典,用于多达4级突变的高性能词典攻击。
Elcomsoft System Recovery可解锁Windows 7,8,8.1,Windows 10以及许多旧版Windows(包括Windows Vista,Windows XP,Windows 2000,Windows NT)以及相应的服务器版本(包括Windows Server 2019)中锁定和禁用的用户和管理帐户。同时支持32位和64位系统。
八、随时启动,即时协助,易于操作
Elcomsoft系统恢复附带了快速创建可启动DVD或USB闪存驱动器的所有功能。该映像基于自定义的Windows PE环境,并预配置了许多驱动程序,以便在大多数传统和尖端硬件配置上提供无缝体验。
只需几个简单的步骤即可创建可启动的USB驱动器或DVD光盘,以获得即时帮助。Elcomsoft System Recovery附带32位和64位UEFI和传统BIOS配置,允许您为所有类型的系统创建可启动媒体。
正版Windows PE环境提供对熟悉的Windows图形用户界面的完全访问。没有命令行脚本,也没有对Windows GUI的糟糕模仿!
使用帮助
1、从CD或USB设备启动
要从CD或USB设备引导计算机,请更改目标计算机的BIOS或UEFI外壳,使CD-ROM驱动器或USB设备显示为引导设备列表中的第一个设备:
然后,插入ESR引导介质并重新启动。
按任意键,ESR将开始引导(创建RAM驱动器并加载Windows PE):
如果你从USB设备启动,步骤通常是相同的,除了不会有按下任何键。。。消息。
ESR启动后,您将收到许可协议;接受它以继续:
2、大批量炉灶司机
如果您的系统使用非标准大容量存储适配器(如某些串行ATA、SCSI、RAID或SAS扩展卡),则可能需要指定适当的驱动程序:
将显示本地驱动器的列表。如果看不到系统分区,请按加载驱动程序,然后浏览包含相应驱动程序的磁盘。ESR将加载指定的驱动程序,并更新可用分区的列表。驱动程序加载状态窗口将让您知道驱动程序是否已成功加载。
3、数据库来源和工作模式
数据库源
您可以选择本地帐户和Active Directory帐户。使用AD需要在运行Windows server 2000及更高版本的服务器(域控制器)上启动ESR。
·使用本地计算机帐户(SAM)
·使用Active Directory帐户(ntds.dit)
·使用域缓存帐户
·用于搜索磁盘加密密钥的工具
·其他公用设施
工作模式
·更改帐户密码和属性
·转储密码哈希以进行进一步审核/恢复
·要存档的备份注册表或Active Directory
·从备份还原注册表或AD
·SAM数据库编辑器
·重置DSRM密码
如果您已经更改了某些帐户属性或密码,并希望回滚更改,请选择最后一个选项:从备份中还原注册表或AD。系统将提示您输入Windows注册表或AD数据库的备份副本的位置。否则,请选择更改帐户密码和属性(更改/重置用户帐户的密码、解锁禁用或锁定的帐户等),或转储密码哈希。。。将AD或注册表中的密码哈希转储到文本文件中,以便在主动密码审计员或Elcomsoft分布式密码恢复中进行进一步分析/恢复。最后,您可以备份注册表(SAM、SECURITY和SYSTEM)或Active Directory数据库(ntds.dit)。
从SAM转储本地密码哈希时,还会提取密码历史哈希并将其保存到转储文件中。
密码散列可以保存为ASCII或UNICODE中的标准转储文件。转储后,程序提示在记事本中打开文件;请注意,如果用户名或评论使用非美国字母表,则只能在UNICODE中正确显示。
最后,SAM数据库编辑器允许编辑SAM数据库中包含本地用户帐户高级属性的所有字段。
