Несмотря на тот факт что поддержка была остановлена программа продолжает существовать и оставаться надежной защитой персональных данных. В марте 2015 года был завршен втор аудит Truecrypt. Согласно результатам аудита, никакой закладки в TrueCrypt 7.1a нет. Аудиторы отметили только 3 потенциально нехороших места, которые не приводили к компрометации каких-либо данных при обычных условиях:
- 1. Отсутствие проверки подлинности зашифрованных данных в заголовке тома
- 2. Смешивание ключевого файла происходит не криптографически устойчивым образом
- 3. Реализация AES может быть уязвима к атаке по времени
Однако в 2015 году Русские разработчики создали приложений для вскрытия контейнеров TrueCrypt.
Является одним из самых необычных приложений, позволяющих производить расшифровку любого типа файл-контейнеров, на которых применялись программы шифрования данных, с целью проведения криминалистического анализа содержимого. Программа служит для извлечения ключей шифрования.
Программа извлекает ключи шифрования тремя методами:
- 1. Из дампа оперативной памяти. Все ключи извлекаются единовременно, даже если в системе присутствуют более, чем один криптоконтейнер. Дамп оперативной памяти может быть создан с помощью соответствующих криминалистических продуктов, например, MoonSols Windows Memory Toolkit. Зашифрованные тома в момент снятия слепка должны быть подключены; в противном случае ключ расшифровки извлечь не удастся.
- 2. Анализ файла гибернации (исследуемый компьютер выключен). Защищённые тома должны быть подключены перед выключением компьютера. Если криптоконтейнер был размонтирован перед созданием файла гибернации, извлечь из него ключи будет невозможно.
- 3. Атакой через порт FireWire, если у вас не хватает прав для снятия дампа памяти или запуска программ на анализируемом компьютере. Для проведения атаки через порт FireWire требуется дополнительный компьютер с установленным бесплатным продуктом (например, Inception). Такая атака даёт практически стопроцентный результат, но опять же, зашифрованные тома должны быть подключены в момент анализа.
Рис. 11.
Если удалось извлечь ключи шифрования, то с их помощью расшифровка информации на носителе осуществляется в реальном времени.
В режиме работы в реальном времени доступ к данным предоставляется мгновенно. Криптоконтейнер монтируется в системе как новый диск, после чего можно извлечь данные с помощью стандартного «Проводника» или любого другого инструмента для работы с файлами. Информация при этом расшифровывается «на лету», в процессе чтения данных. Есть пробная версия, но она является «неполной», из неё невозможно изъять ключи шифрования. Так же у этой программы есть полная версия, которая распространяется исключительно для государственных учреждений.
Пакет программ ElcomSoft для снятия парольной защиты с максимальным числом поддерживаемых форматов данных, систем защиты и алгоритмов шифрования. В набор включены все продукты компании для восстановления паролей.
Системные требования:
Windows: 7, 8, 8.1, 10, Server 2012, Server 2016, Server 2019
Торрент Программа для подбора паролей - ElcomSoft Password Recovery Bundle Forensic Edition 2019 подробно:
Состав ElcomSoft Password Recovery Bundle 2019:
ElcomSoft Advanced Archive Password Recovery 4.54.110
ElcomSoft Advanced EFS Data Recovery Pro 4.50.51.1795
ElcomSoft Advanced IM Password Recovery 4.90.1805
ElcomSoft Advanced Intuit Password Recovery 2.0
ElcomSoft Advanced Lotus Password Recovery 2.11
ElcomSoft Advanced Mailbox Password Recovery 1.11.476
ElcomSoft Advanced Office Password Breaker Enterprise Edition 3.05.802
ElcomSoft Advanced Office Password Recovery Pro 6.34.1889
ElcomSoft Advanced PDF Password Recovery Enterprise 5.08.145
ElcomSoft Advanced Sage Password Recovery 2.30.383
ElcomSoft Advanced SQL Password Recovery 1.13.1786
ElcomSoft Advanced VBA Password Recovery 1.63
ElcomSoft Advanced WordPerfect Office Password Recovery 1.35
ElcomSoft Cloud eXplorer ECX Forensic 2.11.28407 Full
ElcomSoft Dictionaries 1.0.1110
ElcomSoft Distributed Password Recovery 4.10.1236
ElcomSoft Explorer for WhatsApp Standard 2.60.30943
ElcomSoft Forensic Disk Decryptor Common 2.10.567
ElcomSoft Internet Password Breaker Standard Edition 3.10.4770
ElcomSoft iOS Forensic Toolkit 5.0
ElcomSoft Lightning Hash Cracker 0.60
ElcomSoft Password Digger Standard 1.04.147
ElcomSoft Phone Breaker 8.30
ElcomSoft Phone Breaker 9.05.31064 Forensic Edition Windows
ElcomSoft Phone Password Breaker Professional 3.00.106
ElcomSoft Phone Viewer Forensic 4.40.31234
ElcomSoft Proactive Password Auditor 2.07.61
ElcomSoft Proactive System Password Recovery 6.60.568
ElcomSoft System Recovery 5.60.389 BootISO
ElcomSoft Wireless Security Auditor Pro 7.12.538
Описание приложений пакета:
ElcomSoft Advanced Archive Password Recovery - расшифровка защищённых архивов ZIP и RAR и восстановление оригинальных паролей. Максимальная производительность при восстановлении сложных паролей. Некоторые виды архивов гарантированно расшифровываются в течение часа.
ElcomSoft Advanced EFS Data Recovery Pro - расшифровка файлов, зашифрованных средствами NTFS с помощью Encrypting File System (EFS).
ElcomSoft Advanced IM Password Recovery - мгновенное извлечение паролей из нескольких десятков программ мгновенного обмена сообщениями. Поддержка ICQ, AOL, MSN, Yahoo!, клиентов Mail.ru, Jabber, Picasa, QIP и многих других. Извлечённые пароли можно использовать для составления словаря, с помощью которого возможно значительное ускорение перебора паролей к зашифрованным файлам.
ElcomSoft Advanced Intuit Password Recovery - восстановление доступа к защищённым паролями документам Intuit Quicken и QuickBooks.
ElcomSoft Advanced Lotus Password Recovery - мгновенное восстановление паролей любой сложности к документам Lotus SmartSuite.
ElcomSoft Advanced Mailbox Password Recovery - гарантированное восстановление паролей к почтовым клиентам и учетным записям электронной почты POP3 и IMAP. Извлечение логина и пароля, сохранённых на компьютере пользователя. Встроенный эмулятор POP3/IMAP сервера для перехвата паролей к POP3 и IMAP из любых почтовых клиентов, включая мобильные приложения.
ElcomSoft Advanced Office Password Breaker Enterprise Edition - гарантированное восстановление доступа к зашифрованным документам в формате приложений Microsoft Office 97/2000 за минуты.
ElcomSoft Advanced Office Password Recovery Pro - гарантированное восстановление доступа к зашифрованным документам в формате приложений Microsoft Office 97/2000 за минуты.
ElcomSoft Advanced PDF Password Recovery Enterprise - гарантированное снятие ограничений на редактирование, печать и копирование файлов PDF. Восстановление пароля на открытие документа с поддержкой аппаратного ускорения. Запатентованная технология Thunder Tables гарантирует восстановление ключей длиной 40 бит в течение минуты.
ElcomSoft Advanced Sage Password Recovery - гарантированный доступ к защищенным документам ACT! Замена и восстановление паролей к документам BLB, MUD и ADF/PAD, созданным при помощи приложения ACT! Работа в удалённом режиме не требует наличия программы ACT! на компьютере.
ElcomSoft Advanced SQL Password Recovery - гарантированное восстановление доступа к защищённым паролем базам данных Microsoft SQL Server. Мгновенный сброс или смена любого пароля пользователя или администратора базы данных в формате Microsoft SQL Server.
ElcomSoft Advanced VBA Password Recovery - инструмент для восстановления, удаления и замены паролей к документам Microsoft Office, OpenOffice, Apple iWork и Hangul Office с поддержкой аппаратного ускорения с помощью видеокарт.
ElcomSoft Advanced WordPerfect Office Password Recovery - мгновенное восстановление паролей к документам Corel WordPerfect Office. Извлечение паролей из WordPerfect, Quattro Pro и Paradox в течение нескольких секунд.
ElcomSoft Cloud eXplorer ECX Forensic - извлечение и просмотр данных из учётных записей Google. Извлекаются пароли и история посещений браузера, данные местоположения пользователя за весь период существования учётной записи, почтовые сообщения и контакты, заметки Google Keep, закладки, история поисковых запросов, календари и многое другое. Поддерживается аутентификация по паролю и без пароля.
ElcomSoft Distributed Password Recovery - производительное решение для корпоративных клиентов государственных организаций. Восстановление паролей к десяткам форматов файлов, документов, ключей и сертификатов на кластерах компьютеров, объединённых в единую распределённую вычислительную сеть.
ElcomSoft Explorer for WhatsApp Standard - инструмент для извлечения, просмотра и анализа общения пользователей WhatsApp с поддержкой iOS и Android.
ElcomSoft Forensic Disk Decryptor Common - мгновенная расшифровка или монтирование криптоконтейнеров BitLocker, FileVault 2, PGP, TrueCrypt и VeraCrypt с помощью паролей, депонированных ключей и ключей шифрования, извлечённых из образа оперативной памяти, файла подкачки или гибернации.
ElcomSoft Internet Password Breaker - мгновенное извлечение доступных паролей для веб-сайтов, учетных записей и почтовых ящиков из множества приложений. Поддержка сохранённых полей и паролей в Internet Explorer, Edge, Chrome, Firefox, Opera, Outlook и Outlook Express, Windows Mail и Windows Live Mail.
ElcomSoft iOS Forensic Toolkit - специализированный инструмент для извлечения данных из устройств, работающих под управлением Apple iOS методами физического и логического анализа.
ElcomSoft Password Digger Standard - расшифровка содержимого системных и пользовательских защищённых хранилищ keychain системы macOS (OS X). Сохранение списка паролей в текстовый файл, который можно использовать в качестве словаря для ускорения перебора паролей соответствующими инструментами.
ElcomSoft Phone Breaker - извлечение информации из устройств под управлением iOS, Windows Phone, Windows 10 Mobile и BlackBerry 10, расшифровка резервных копий и подбор неизвестных паролей с использованием аппаратного ускорения.
ElcomSoft Phone Password Breaker - извлечение информации из устройств под управлением iOS, Windows Phone, Windows 10 Mobile и BlackBerry 10, расшифровка резервных копий и подбор неизвестных паролей с использованием аппаратного ускорения.
ElcomSoft Phone Viewer Forensic - простой, удобный и компактный инструмент для просмотра информации, извлечённой из устройств под управлением iOS, BlackBerry и мобильной Windows. Продукт поддерживает выходные форматы Elcomsoft Phone Breaker и стандартные форматы резервных копий iTunes и BlackBerry Link.
ElcomSoft Proactive Password Auditor - аудит корпоративной политики безопасности. Продукт позволит выяснить степень защищённости локальной сети путем запуска полномасштабных атак на пароли учетных записей. Выявляя слабые и небезопасные пароли, продукт определяет слабые места в защите локальной сети.
ElcomSoft Proactive System Password Recovery - восстановление многих типов паролей и просмотр скрытой информации Windows. Извлечение ключей Wi-Fi (WEP и WPA-PSK), VPN, RAS, паролей для dial-up, паролей к сетевым ресурсам, соединениям и RDP.
ElcomSoft System Recovery BootISO поможет в восстановлении доступа к учётным записям Windows, включая локальные, сетевые и учётные записи Microsoft Account. Поддерживается сброс и восстановление оригинальных паролей.
ElcomSoft Wireless Security Auditor - аудит безопасности беспроводных сетей Wi-Fi, проверка загруженности беспроводных сетей и каналов. Перехват пакетов с помощью выделенного или бытового беспроводного адаптера Wi-Fi и полномасштабная атака паролей WPA/WPA2.
Процедура лечения:
Каждая программа имеет инструкцию и лекарство в папке с установочными файлами. Обычно это ключ или замена файла.
Российские разработчики смогли взломать криптоконтейнеры BitLocker, PGP и TrueCrypt (13:37) 25.12.2012
Российская компания ElcomSoft разработала продукт для расшифровки информации, хранящейся в динамических криптоконтейнерах BitLocker, PGP и TrueCrypt. Новый продукт компании Elcomsoft Forensic Disk Decryptor предназначен для расшифровки содержимого трёх самых популярных криптоконтейнеров. Продукт позволяет снимать защиту мгновенно, извлекая необходимые для расшифровки ключи из слепка оперативной памяти компьютера или файла гибернации и расшифровывая данные «на лету».
В компании говорят, что Elcomsoft Forensic Disk Decryptor гарантирует целостность и неизменность извлечённых с помощью Elcomsoft Forensic Disk Decryptor данных. ElcomSoft также добавляет поддержку True Crypt и BitLocker To Go в программу Elcomsoft Distributed Password Recovery для восстановления текстовых паролей, защищающих зашифрованные контейнеры с помощью ряда современных атак, включая атаку по словарю с мутациями, атаку по маске и прямой перебор паролей.
«Все три криптоконтейнера обеспечивают действительно стойкую защиту», — говорит Андрей Малышев, криптоаналитик ElcomSoft. «Но даже самым устойчивым ко взлому продукту никто не будет пользоваться, если пользоваться им неудобно. Неизбежные компромиссы, на которые пришлось пойти разработчикам BitLocker, PGP и TrueCrypt, являются тем самым слабым звеном, которое мы смогли использовать для снятия защиты.»
«До появления Elcomsoft Forensic Disk Decryptor с зашифрованными дисками работал только Elcomsoft Distributed Password Recovery», говорит Юрий Коненков, ведущий крипто-аналитик компании ElcomSoft. «Программа использовала метод прямого перебора пароля. Сегодня мы представляем специальный инструмент, который использует совершенно иной подход к расшифровке дисков, защищенных с помощью PGP, True Crypt, BitLocker и BitLocker To Go. Кроме того, мы добавили возможность перебора паролей к контейнерам TrueCrypt и BitLocker To Go в программу Elcomsoft Distributed Password Recovery.»
ElcomSoft также добавляет поддержку True Crypt и BitLocker To Go в программу Elcomsoft Distributed Password Recovery для восстановления текстовых паролей, защищающих зашифрованные контейнеры с помощью ряда современных атак, включая атаку по словарю с мутациями, атаку по маске и прямой перебор паролей.
С помощью Elcomsoft Forensic Disk Decryptor можно как полностью расшифровать всё содержимое защищённого тома целиком, так и получать выборочный доступ к данным в режиме реального времени. В этом режиме зашифрованные тома подключаются в виде отдельных дисков, а необходимые данные расшифровываются «на лету». Режим выборочного доступа позволяет следователям получить доступ к важным материалам максимально оперативно.
Ключи, необходимые для расшифровки данных, хранятся в оперативной памяти компьютера – это необходимо для возможности получения доступа к файлам самими программами-криптоконтейнерами. Эти ключи сохраняются в файл гибернации в момент выключения компьютера (а точнее – перевода в спящий режим). Существует масса продуктов, способных снять слепок памяти работающего компьютера. Elcomsoft Forensic Disk Decryptor способен
извлечь необходимые для расшифровки данных ключи из файлов гибернации и слепков оперативной памяти, созданных любой криминалистической программой, а также полученных методом атаки через порт FireWire.
Для корректной работы программы в момент снятия образа оперативной памяти (или в момент «засыпания» компьютера) криптоконтейнер должен быть подключен. В противном случае ключи расшифровки данных моментально уничтожаются, и зашифрованные диски не могут быть расшифрованы без знания оригинального текстового пароля, вводимого пользователем в момент подключения защищённого диска.
Сегодня сотрудники многих компаний в своей работе широко используют ноутбуки. Вместе с тем стоит признать, что эти устройства так же регулярно воруют и теряют. Так, по данным исследования Ponemon Institute только в Европе потери компаний составляют более 1 млрд. евро из-за украденных ноутбуков. В исследовании принимало участие 275 крупных организаций из Европы. В результате было установлено, что ими было утрачено 72 789 ноутбуков на протяжении 12 месяцев, в среднем - 265 ноутбуков на каждую компанию. Большая часть из них были потеряны во время поездок (32%) или во время работы за пределами офиса (32%). В 13% случаев потеря ноутбука имела место в рабочей обстановке. Еще в 13% случаев респонденты не смогли уточнить, где именно они потеряли свои ноутбуки… Отмечается, что лишь 4,5% утраченных ноутбуков возвращались к владельцам.
Большинство потерянных устройств содержали конфиденциальную информацию и личные данные. Таким образом, убытки из-за каждой потери ноутбука значительно превышают стоимость нового устройства. В результате выяснилось, что 275 опрошенных организаций в Европе ежегодно теряют около 1,29 млрд. евро из-за утраченных ноутбуков, что составляет около 4,7 млн. евро на каждую из них.
В прошлом году проводилось аналогичное исследование и в США. Тогда было опрошено 329 организаций, которыми было утеряно более 86 тыс. ноутбуков, а совокупная величина финансовых потерь составила 2,1 млрд. долл.
Таким образом, можно сделать вывод о том, что проблема безопасности информации, хранящейся на мобильных устройствах, приобретает угрожающий характер. Что можно представить в качестве последней линии физической защиты? Шифрование. А является ли шифрование панацеей?
Рассмотрим новый продукт от компании Elcomsoft - Elcomsoft Forensic Disk Decryptor, который предназначен для расшифровки криптоконтейнеров алгоритмов шифрования BitLocker, PGP и TrueCrypt и проведения анализа хранящихся в зашифрованных томах данных. Поддерживаются как фиксированные, так и портативные носители, включая PGP в режиме шифрования всего диска, а также съемные диски, защищенные с помощью BitLocker To Go. При этом с помощью данного продукта можно как полностью расшифровать содержимое защищенного тома, так и работать в реальном времени с подключением зашифрованных томов (носителей) и расшифровкой данных «на лету».
Перечислим возможности продукта.
Расшифровка информации, защищенной тремя самыми распространенными криптоконтейнерами.
Поддержка защищенных томов BitLocker, PGP и TrueCrypt.
Поддержка портативных носителей и флэш-карт, защищенных BitLocker To Go.
Поддержка всех режимов работы PGP, включая режим шифрования всего диска.
Доступ в режимах реального времени и полной расшифровки.
Извлечение ключей расшифровки данных из файлов гибернации, файла-образа оперативной памяти компьютера.
Извлекает все ключи из дампа оперативной памяти единовременно, даже если в системе имеется более одного криптоконтейнера.
Гарантия целостности и неизменности исследуемых данных.
Восстановление и сохранение ключей расшифровки данных.
Поддержка 32- и 64-разрядных версий Windows.
Следует отметить, что Elcomsoft Forensic Disk Decryptor извлекает ключи, с помощью которых были зашифрованы данные. С помощью этих ключей расшифровка осуществляется в реальном времени – практически мгновенно. Продукт поддерживает три метода извлечения ключей расшифровки:
* анализ файла гибернации (исследуемый компьютер выключен);
* анализ слепка оперативной памяти компьютера, при этом слепок памяти может быть создан с помощью соответствующих криминалистических продуктов;
* атака через порт FireWire (компьютер должен быть включен, а зашифрованные тома – подключены); для проведения атаки через порт FireWire требуется дополнительный компьютер с установленным бесплатным продуктом (например, Inception).
Извлечение ключей для расшифровки данных
Для получения слепка памяти я использовал программное обеспечение OSForensics (http://www.osforensics.com), см. экран 1.
Ключ расшифровки необходим для получения доступа к зашифрованным данным и расшифровки содержимого криптоконтейнера. Elcomsoft Forensic Disk Decryptor поддерживает три метода извлечения ключей, выбор зависит от того, включен или выключен исследуемый компьютер, а также от того, существует ли возможность запустить на исследуемом компьютере программу для снятия образа («слепка») оперативной памяти. Рассмотрим все варианты.
Компьютер выключен. В этом случае ключи извлекаются из файла гибернации. Защищенные тома должны быть подключены перед выключением компьютера. Если криптоконтейнер был размонтирован перед созданием файла гибернации, извлечь из него ключи будет невозможно.
Компьютер включен. При возможности на исследуемом компьютере запускается программа для снятия слепка оперативной памяти. Содержимое оперативной памяти сохраняется в файл, из которого Elcomsoft Forensic Disk Decryptor извлекает ключи расшифровки. Зашифрованные тома в момент снятия слепка должны быть подключены; в противном случае ключ расшифровки извлечь не удастся. Подробное описание этой технологии и полный список как коммерческих, так и бесплатных программ доступны по адресу http://www.forensicswiki.org/wiki/Tools:Memory_Imaging.
Компьютер включен в режиме ограниченного доступа. Если запуск программ на исследуемом компьютере невозможен (не хватает прав, нет пароля от учетной записи пользователя и т.д.), извлечение ключей возможно посредством проведения атаки через порт FireWire. Атака производится с отдельного компьютера или ноутбука, подключенного к исследуемому компьютеру по интерфейсу FireWire. Для проведения атаки используется бесплатная утилита, устанавливаемая отдельно (например, Inception, по ссылке http://www.breaknenter.org/projects/inception/). Данный вид атаки дает результат, близкий к стопроцентному. Зашифрованные тома на момент атаки должны быть подключены.
После извлечения ключи расшифровки сохраняются в базе данных, затем Elcomsoft Forensic Disk Decryptor предложит провести полную расшифровку содержимого криптоконтейнера или подключить защищенные тома в виде новых дисков для расшифровки «на лету», см. экран 2.
Всегда ли поиск ключей будет эффективным? На самом деле нет.
Методы противодействия
Если вы применяете BitLocker и внимательно читали рекомендации Microsoft по использованию режима шифрования BitLocker, то должны были запомнить, что:
Вы никогда не задавались вопросом, а почему так? Причины на самом деле просты.
1. Если вы шифруете только диск данных, да еще при этом используете гибернацию, ваш ключ шифрования можно извлечь из файла гибернации, который будет находиться на незашифрованном системном разделе.
2. Если даже оба раздела зашифрованы, но вы используете гибернацию, ваш компьютер, пробудившись, не будет спрашивать пароль BitLocker, а сразу запросит ваш пароль пользователя. Большинство предпочитает беспарольную учетную запись, да еще с правами локального администратора. А кто мешает снять дамп памяти? Никто! А, следовательно, злоумышленник просто может получить ваши ключи шифрования.
При использовании алгоритма PGP для противодействия взлому пользователь может предусмотреть принудительное отключение зашифрованных дисков и криптоконтейнеров (экран 4). Но все ли это делают?
Вместе с тем необходимо учесть, что если заряд батареи ноутбука чрезвычайно мал и происходит автоматический переход в режим энергосбережения, то тома могут быть не размонтированы автоматически! Поэтому внимательно следите за уровнем заряда батарей.
С помощью этого инструмента можно извлечь данные из зашифрованного тома диска (FileVault 2, PGP, BitLocker или TrueCrypt), используя ключ двоичного шифрования, содержащийся в ОЗУ компьютера.
- Извлечение ключа проанализировав файлы дампа памяти или файлы гибернации, поможет новый выпуск Elcomsoft Forensic Disk Decryptor, включая все что отсутствовало в более ранних версиях. Обычные текстовые пароли и ключи восстановления, Microsoft-подписанный инструмент визуализации RAM на уровне ядра, теперь доступна долгожданная переносная версия и поддержка стандартного снимка EnCase .E01 и зашифрованных снимков DMG. Автоматическое определение всех зашифрованных томов и предоставление подробной информации о методе шифрования, используемом для каждого тома. Запустим программу и посмотрим на примере.
- Запустили Elcomsoft Forensic Disk Decryptor 2.0 и открываете зашифрованный диск или образ диска. EFDD сканирует диск и идентифицирует все зашифрованные тома, доступные на этом диске. Тома вместе с соответствующими настройками шифрования отображаются в главном окне, картинка ниже:
- В предыдущих версиях были ограничения установкой или расшифровкой томов с помощью двоичных криптографических ключей, извлеченных из образа памяти компьютера или файла гибернации. Уязвимость в использовании паролей с открытым текстом или ключей условного депонирования для доступа к данным, хранящимся в зашифрованных контейнерах, была очень скудной.
- В EFDD 2.0. добавили новые способы монтирования или де шифрования зашифрованных томов. Также можно использовать двоичный криптографический ключ, если знаете пароль исходного контейнера, тогда его можно ввести для монтирования тома для его полного де шифрования или автономного анализа.
- Еще один способ получить доступ к зашифрованным данным это использовать ключ escrow или ключ восстановления, как их иногда называют. Клавиши Escrow предлагают резервную копию сортировки, предоставляя законному владельцу расшифровывать данные, если пароль утерян, забыт.
- Для зашифрованных томов BitLocker, ключ восстановления можно извлечь из Active Directory или из личных учетных записей, учетной записи пользователя Microsoft по этой ссылке:
- Для де шифрования томов BitLocker ознакомитесь на официальном блоге Elcomsoft и. Вы также можете узнать, что изменилось в BitLocker в November Update на сайте Microsoft.
- Для FileVault 2 вы можете извлечь ключ восстановления из Apple iCloud, тогда вам понадобится утилита.
- Изначально EFDD был сделан для сканирования энергозависимой памяти компьютера. Ниже на картинке EFDD ищет криптографические ключи, которые используются для доступа к данным хранящимся в зашифрованных контейнерах. Если будет найден криптографический ключ, тогда расшифровать контейнер не составит труда и не надо будет атак на исходный пароль обычного текста.
- Изначально Elcomsoft Forensic Disk Decryptor полагался на образы памяти, снятые сторонними инструментами. Версия 2.0 поставляется с уже имеющимся инструментом для обработки образа памяти в критической ситуации, который использует нулевой уровень доступа к ОЗУ компьютера. Инструмент обработки RAM включает в себя драйвер режима ядра, который несет цифровую подпись Microsoft, что полностью совместимо с 32-разрядными и 64-битными версиями Windows.
- Потому что нужен доступ ко всем областям памяти компьютера, включая области которые активно защищены с помощью системных или сторонних антидемпинговых и антиотладочных инструментов. Некоторые утилиты, программы, сбора данных запускаются в пользовательском режиме и им запрещается доступ к определенным защищенным, как выше писал, областям в ОЗУ компьютера. ЕlcomSoft поставляется с драйвером уровня ядра, который работает в самом привилегированном «нулевом» окружении системы, имея полный и неограниченный доступ ко всем областям памяти компьютера, это круто!
- Драйвер с цифровой подписью Microsoft позволяет утилите, программе, быть установленным (или запущенным) на компьютере, на котором проверяется подпись драйвера. Собственно чтобы было все без ограничений во всех направлениях и областях, выражусь так.
- Портативная версия также поддерживает снимки EnCase в стандартном формате.EO1 как и установочная, а также зашифрованные снимки DMG. Программу можно запустить на запущенных системах с USB-накопителя. Для создания портативной версии нужно установить на свой компьютер утилиту и зарегистрировать ее вашим лицензионным ключом. Далее создадите переносную версию утилиты, картинка ниже:
- Затем вы можете использовать новую созданную переносную версию программы для захвата энергозависимой памяти других компьютеров, монтирования, де шифрования зашифрованных томов.
- Если вы покупали ранее программу, тогда вы сможете бесплатно обновить до последней версии. Если вы желаете приобрести лицензию на использование Elcomsoft Forensic Disk Decryptor 2.0 тогда зайдите на официальный сайт и ознакомитесь с предложениями о покупки. Хороший софт всегда платный, это факт, конечно есть и исключения но их очень мало. С этой программой вы получаете хорошего помощника, который восстановит ваши файлы в случае заражения вирусами шифровальщиками. Также как выше писал если забыли или утеряли пароль к зашифрованному диску, контейнеру. Остались вопросы, с радостью отвечу в комментариях чуть ниже на этой странице.