Шифрование дисков BitLocker, FileVault 2, LUKS/LUKS2, PGP Disk, TrueCrypt и VeraCrypt, BestCrypt
Elcomsoft Forensic Disk Decryptor предназначен для расшифровки дисков, защищённых посредством BitLocker, FileVault 2, PGP Disk, TrueCrypt и VeraCrypt и проведения криминалистической экспертизы хранящихся в зашифрованных томах данных. Поддерживаются как фиксированные, так и портативные носители, включая PGP Disk в режиме шифрования всего диска, а также съёмные диски, защищённые с помощью BitLocker To Go.
С помощью Elcomsoft Forensic Disk Decryptor можно как полностью расшифровать содержимое защищённого тома, так и работать в реальном времени с подключением зашифрованных томов и расшифровкой выбранных данных «на лету». Для дисков, защищённых посредством распространённого в Linux стандарта LUKS/LUKS2, поддерживается извлечение метаданных шифрования, которое позволяет запустить атаку на пароль в Elcomsoft Distributed Password Recovery.
Для зашифрованных дисков и контейнеров Jetico BestCrypt поддерживается извлечение метаданных шифрования для последующего подбора пароля.
Возможности продукта
Elcomsoft Forensic Disk Decryptor открывает доступ к информации, хранящейся в зашифрованных томах, созданных утилитами шифрования диска BitLocker, PGP Disk и TrueCrypt, позволяя полностью расшифровать данные или монтировать зашифрованные тома для быстрого доступа в реальном времени с расшифровкой файлов «на лету».
Полная расшифровка, монтирование или атака
Поддерживается два режима доступа к зашифрованной информации: полная расшифровка и режим доступа в реальном времени.
Полная расшифровка защищённых данных
В этом режиме Elcomsoft Forensic Disk Decryptor автоматически расшифровывает все данные, хранящиеся в зашифрованном диске. Этот режим даёт наиболее полный доступ с защищённым данным, расшифровывая абсолютно все файлы из зашифрованного тома.
Подключение зашифрованных дисков и расшифровка данных "на лету"
В режиме работы в реальном времени доступ к данным предоставляется мгновенно. Зашифрованный диск монтируется в системе как новый диск, после чего данные можно извлечь с помощью стандартного Проводника – или любого другого инструмента для работы с файлами. Информация при этом расшифровывается «на лету», в процессе чтения данных.
Скорость считывания данных в режиме доступа в реальном времени ограничена лишь скоростью работы жёсткого диска.
Перебор паролей
В случаях, когда невозможно извлечь ни криптографический ключ, ни ключ восстановления доступа, для доступа к данным может потребоваться восстановление оригинального пароля. Elcomsoft Distributed Password Recovery позволяет провести атаку пароля, который защищает зашифрованный контейнер, с помощью ряда современных технологий, включая атаку по словарю, по маске, с использованием мутаций и прямого перебора.
Извлечение метаданных шифрования
Forensic Disk Decryptor позволяет мгновенно извлечь метаданные шифрования, необходимые для восстановления оригинального текстового пароля к зашифрованным дискам TrueCrypt, VeraCrypt, BitLocker, FileVault, PGP Disk и LUKS/LUKS2, а также контейнерам Jetico BestCrypt 9. Метаданные шифрования можно извлечь как с физического носителя, так и из файла-контейнера или образа диска. Данные шифрования сохраняются в небольшой файл, в котором содержатся все необходимые данные для проведения полноценной атаки в Elcomsoft Distributed Password Recovery.
Извлечение ключей расшифровки
Elcomsoft Forensic Disk Decryptor извлекает ключи, с помощью которых были зашифрованы данные. С помощью этих ключей расшифровка осуществляется в реальном времени – практически мгновенно.
Продукт поддерживает несколько методов извлечения ключей расшифровки.
- Анализом файла гибернации (исследуемый компьютер выключен);
- Анализом слепка оперативной памяти компьютера (может быть получен посредством встроенной утилиты)
- Атакой через порт FireWire (компьютер должен быть включён, а зашифрованные тома – подключены). Для проведения атаки через порт FireWire требуется дополнительный компьютер с установленным бесплатным продуктом (например, Inception).
- Снятие образа оперативной памяти при помощи встроенного инструмента (есть возможность запуска с USB накопителя)
Использование паролей и депонированных ключей
Elcomsoft Forensic Disk Decryptor предоставляет возможность монтировать или производить полную расшифровку зашифрованных дисков с известным паролем либо депонированным ключом. Депонированные ключи FileVault 2 могут быть извлечены из "облачного" сервиса Apple iCloud посредством Elcomsoft Phone Breaker, а ключи BitLocker могут быть получены из Active Directory либо из учётной записи пользователя Microsoft Account.
Дополнительные решения
Elcomsoft Encrypted Disk Hunter
Elcomsoft Encrypted Disk Hunter – бесплатная утилита командной строки, цель работы которой – обнаружить наличие или признаки наличия зашифрованных томов и крипто-контейнеров.
Утилитой поддерживаются зашифрованные диски TrueCrypt/VeraCrypt, BitLocker, PGP WDE, FileVault2, BestCrypt и LUKS, созданные в Windows, macOS и Linux. Для сканирования системы достаточно запустить портативную версию утилиты с любого носителя. При обнаружении зашифрованных рекомендуется не отключать питание компьютера, а снять образ оперативной памяти и осуществить поиск ключей шифрования. Если ключ шифрования будет найден, зашифрованные диски можно будет смонтировать или расшифровать без проведения длительных атак.
» Узнать больше о Elcomsoft Encrypted Disk Hunter в нашем блоге
