Elcomsoft System Recovery

Восстановление доступа к учётным записям Windows, включая локальные, сетевые и учётные записи Microsoft Account. Поддерживается сброс и восстановление оригинальных паролей. Создание образов дисков. Поставляется с лицензированным образом Windows PE для загрузки системы с внешнего накопителя.

Сброс паролей к учётным записям Windows и Microsoft Account
Встроенный файловый менеджер FAR
Извлечение метаданных шифрования TrueCrypt, VeraCrypt, Bitlocker, FileVault (HFS+/APFS), PGP Disk, LUKS и LUKS2

Создание образов дисков для последующего анализа
Гарантированная прозрачность извлечения и неизменность данных
Доработанная среда Windows PE с расширенной поддержкой аппаратного обеспечения и полной поддержкой всех версий FAT и NTFS

Поддерживает: Windows 7, 8, 8.1, Windows 10, Windows 11; Windows Vista, Windows XP, Windows 2000, Windows NT; все версии Windows Server; 32-и 64-битные редакции; Windows PE с поддержкой загрузчиков для 32-и 64-битных UEFI и BIOS; привычный интерфейс Windows; SAM/SYSTEM и Active Directory

Professional Edition $ 499

Купить

Новые функции

Криминалистическая чистота и гарантия неизменности цифровых улик

Elcomsoft System Recovery обеспечит гарантию неизменности извлекаемых данных и криминалистической чистоты улик, собранных в процессе анализа компьютеров в полевых условиях. Исследуемые диски по умолчанию монтируются в режиме «только для чтения», что гарантирует неизменность данных на исследуемом компьютере в процессе анализа. Поддержка использующегося криминалистическими программами стандарта образов дисков .E01, в котором теперь могут сохраняться данные, обеспечивает возможность подписи создаваемых образов с последующей верификацией неизменности извлечённых данных.

Сбор и анализ цифровых улик на выезде

Распространённая практика судебной экспертизы – анализ образов дисков, а не физических устройств. И если традиционный подход к анализу предполагает извлечение жёсткого диска из корпуса компьютера, то Elcomsoft System Recovery позволяет создавать образы дисков, не извлекая накопители. Загрузка системы с USB накопителя позволяет свести к нулю риски, связанные с исследованием загруженной системы с активной пользовательской сессии.

При работе на выезде определяющим фактором зачастую является время, затраченное на поиск и анализ улик; в то же время важно обеспечить чистоту собранных в процессе анализа данных с правовой точки зрения. При создании образов дисков необходимо обеспечить как неизменность изначальных данных и доказательное соответствие снятого образа оригиналу, так и неизменность самого образа в процессе его хранения и обработки.

Сохранение криминалистической чистоты собранных улик начинается с первого звена цепочки. Именно по этой причине стандартная методика предписывает отключение компьютера и изъятие жёстких дисков (а также снятие образа оперативной памяти). Elcomsoft System Recovery предлагает альтернативный способ доступа к данным, позволяющий сэкономить время и усилия во время работы на выезде. Программа поможет преодолеть проблему доступа к заблокированной системе загрузкой с внешнего накопителя, обеспечивая возможность исследования компьютеров в полевых условиях и позволяя снять образ дисков компьютера, найти зашифрованные тома и зашифрованные виртуальные машины. Elcomsoft System Recovery можно рекомендовать в качестве замены специализированным аппаратным комплексам для снятия образов дисков с функцией блокировки записи.

Криминалистическая чистота извлечения и гарантия неизменности цифровых улик

Возможности контроля целостности и неизменности данных в процессе изъятия и хранения превращают Elcomsoft System Recovery в незаменимый инструмент для экспертов-криминалистов, работающих на выезде. Доступ к исследуемым дискам по умолчанию производится в режиме «только для чтения», что гарантирует неизменность данных в процессе анализа.

С первых шагов работы Elcomsoft System Recovery автоматически активируется режим «только для чтения», что гарантирует неизменность данных в процессе анализа. В этом режиме можно снимать образы дисков, извлекать метаданные шифрования, а также проводить анализ файловой системы посредством встроенного менеджера файлов.

Неизменность извлекаемых данных обеспечивается цифровой подписью созданных программой образов дисков. В качестве формата для сохранения образов дисков рекомендуется распространённый формат E01, использующийся в качестве стандарта де-факто многочисленными криминалистическими программами. Поддержка формата .E01 с цифровой подписью гарантирует целостность и неизменность сделанных программой образов, обеспечивая криминалистическую чистоту собранных в процессе анализа улик.

Быстрый доступ к содержимому зашифрованных дисков

Пользователи Elcomsoft System Recovery могут получить доступ к зашифрованной информации быстрее, чем при использовании традиционных подходов. ESR автоматически определит наличие зашифрованных BitLocker, LUKS и LUKS2, PGP и TrueCrypt/VeraCrypt томов с последующим извлечением информации, необходимой для восстановления пароля к зашифрованному диску^[1]. Кроме того,
на USB-накопитель можно сохранить содержимое системного файла гибернации, из которого могут быть извлечены ключи шифрования для мгновенного монтирования или расшифровки
зашифрованных дисков^[2].

Поиск зашифрованных виртуальных машин

Виртуальные машины, защищённые стойким шифрованием, получили широкое распространение в криминальной среде. Использование не оставляющих цифрового следа зашифрованных виртуальных машин позволяет злоумышленникам минимизировать утечку инкриминирующих данных.

Поиск и расшифровка таких виртуальных машин – одна из важных задач эксперта-криминалиста. Elcomsoft System Recovery 7.07 позволяет ускорить процесс путём автоматического поиска зашифрованных виртуальных машин. При их обнаружении продукт сохраняет метаданные шифрования, необходимые для восстановления пароля посредством Elcomsoft Distributed Password Recovery.

Восстановление доступа к заблокированным учётным записям Windows

До 40% обращений в службы технической поддержки связаны с забытыми или утерянными паролями для входа в систему. Elcomsoft System Recovery помогает мгновенно вернуть доступ путем сброса паролей или разблокирования учётных записей, поддерживая как локальные записи (включая Microsoft accounts), так и записи на контроллере домена.

Сбросить или восстановить

Elcomsoft System Recovery позволяет сбросить пароли к учётным записям, в то же время включая ряд атак, с помощью которых в ряде случаев за короткое время могут быть найдены оригинальные пароли.

Elcomsoft System Recovery разблокирует учётные записи Администратора и других пользователей в системах Windows Windows 7, Windows 8/8.1, Windows 10, а также множество устаревших систем, включая Windows Vista, Windows XP, Windows 2000 и Windows NT, включая все серверные редакции. Поддерживаются как 32-битные, так и 64-битные версии.

Примеры использования

Elcomsoft System Recovery позволяет не только восстанавливать или сбрасывать пароли, но поможет и при некоторых других проблемах, связанных с доступом в систему. Например, с его помощью также можно:

Провести извлечение и анализ цифровых улик на выезде
Снять образы дисков, собрать цифровые улики с гарантией целостности и неизменности данных
Присвоить привилегии Администратора учётной записи любого пользователя
Создать образы дисков для последующего анализа в лаборатории
Разблокировать учётную запись (которая была явно заблокирована Администратором, или после нескольких неудачных попыток ввода пароля)
Сбросить или поменять пароль к учётной записи пользователя
Показать список всех учётных записей в системе, выделив те, у которых есть привилегии Администратора
Показать список привилегий пользователя
Найти учётные записи с пустым паролем
Мгновенно восстановить пароли к некоторым специальным/системным учётным записям (например, IUSR, HelpAssistant и т.д.)
Создать резервные копии файлов SAM/SYSTEM (и при необходимости восстановить из них – например, после входя в систему с новым паролем или после повышения привилегий)
Извлечь метаданные шифрования с зашифрованных дисков и использовать их для подбора пароля

Дополнительные решения

Elcomsoft Encrypted Disk Hunter

Elcomsoft Encrypted Disk Hunter – бесплатная утилита командной строки, цель работы которой – обнаружить наличие или признаки наличия зашифрованных томов и крипто-контейнеров.

Утилитой поддерживаются зашифрованные диски TrueCrypt/VeraCrypt, BitLocker, PGP WDE, FileVault2, BestCrypt и LUKS, созданные в Windows, macOS и Linux. Для сканирования системы достаточно запустить портативную версию утилиты с любого носителя. При обнаружении зашифрованных рекомендуется не отключать питание компьютера, а снять образ оперативной памяти и осуществить поиск ключей шифрования. Если ключ шифрования будет найден, зашифрованные диски можно будет смонтировать или расшифровать без проведения длительных атак.

» Узнать больше о Elcomsoft Encrypted Disk Hunter в нашем блоге

Для восстановления паролей к зашифрованным томам необходимо воспользоваться комплексом Elcomsoft Distributed Password Recovery.
Для извлечения ключей шифрования, монтирования или расшифровки зашифрованных дисков необходимо воспользоваться утилитой Elcomsoft Forensic Disk Decryptor.

Руководство по установке и эксплуатации (HTML)

Ускоренный сбор и анализ цифровых улик с загрузочным накопителем

Новое в Elcomsoft System Recovery: новые фильтры, поддержка LUKS2 и учётных записей Microsoft Azure

Учётные записи Windows: PIN без TPM - дыра в безопасности

Информация о релизе Elcomsoft System Recovery 8.30 (PDF)

Информация о релизе Elcomsoft System Recovery 8.20 (PDF)

Эффективный способ восстановления доступа к системе под управлением Windows.

Лицензионное соглашение

Elcomsoft System Recovery. Forensic Artefacts

Elcomsoft System Recovery. Timeline

Elcomsoft System Recovery: selecting database source

Elcomsoft System Recovery: selecting an encrypted drive

Elcomsoft System Recovery: changing an account password

Elcomsoft System Recovery: found user account passwords

Elcomsoft System Recovery: dumping SAM password hashes

Elcomsoft System Recovery: creating disk image

Elcomsoft System Recovery: selecting a user account

Elcomsoft System Recovery: customising password recovery attacks

Elcomsoft System Recovery. Startup Screen

Основные преимущества продукта

Готов к загрузке, легко использовать

Elcomsoft System Recovery поставляется в виде программы, которая позволяет быстро создать загрузочный диск (CD или USB). Вы сможете создавать загрузочные устройства для компьютеров с 32- и 64-разрядные BIOS, а также для всех устройств с 32- и 64-разрядными UEFI.

Система Windows PE предоставляет удобный и привычный интерфейс Windows. Никаких скриптов, никакой командной строки, никаких сложных настроек!

Широкая совместимость

Elcomsoft System Recovery поддерживает широчайший спектр аппаратного обеспечения, включая контроллеры SATA, SCSI и RAID от большинства производителей. Даже в том случае, если используется какой-то экзотический контроллер, вы можете подгрузить необходимый драйвер (обычно поставляется вместе с оборудованием) с CD или USB-диска.

В отличие от других продуктов, использующих собственный код надёжность и совместимость которого не гарантируется, Elcomsoft System Recovery включает встроенную в операционную систему от Microsoft поддержку всех файловых систем Microsoft: FAT, FAT32 и NTFS.

Мгновенный доступ

Если на компьютере нет данных, зашифрованных с использованием EFS, сброс пароля является самым быстрым и эффективным способом восстановления доступа. Elcomsoft System Recovery позволяет поменять пароль на любой другой – при этом не нужно знать оригинальный. Нет необходимости производить сложные атаки для восстановления пароля (которые к тому же не гарантируют результат) – проще задать новый.

Шифрование macOS

В Elcomsoft System Recovery есть возможность создавать загрузочные накопители, посредством загрузки с которых эксперты могут извлекать с компьютеров под управлением macOS информацию, необходимую для проведения атаки на пароли зашифрованных томов.

Сброс и восстановление паролей SYSKEY

Пароли SYSKEY использовались в старых версиях Windows в качестве дополнительного уровня защиты. Если пароль SYSKEY установлен, он запрашивался на этапе загрузки системы ещё до того, как система запросит пароль от учётной записи пользователя. Пароли SYSKEY активно использовались мошенниками-вымогателями; в результате разработчики Microsoft исключили возможность установки таких паролях в операционных системах Windows 10 и Windows Server 2016 (сборка 1709). Пользователи более старых версий Windows всё ещё могут пострадать от действий мошенников. Elcomsoft System Recovery позволяет найти или сбросить пароли SYSKEY, восстановив работоспособность системы.

Восстановление сохранённых паролей, подсказок и вопросов-ответов

Для случаев, если сохранённый в системе пароль всё-таки нужен, в Elcomsoft System Recovery есть средства для его восстановления. При этом не нужно задавать никакие специальные параметры - мы уже подготовили для вас ряд эффективных атак, включающий как перебор «в лоб», так и проверку наиболее часто используемых паролей – при этом они занимают всего несколько минут, а вероятность восстановления очень высока.

Elcomsoft System Recovery знает, где система хранит системные пароли и пароли к Wi-Fi и как они зашифрованы, и в ряде случаев может вытащить их мгновенно.

Если же пароль оказался длинным и сложным, шансы на восстановление всё равно есть. В ESR доступна атака по словарю, позволяющая использовать любой словарь (к примеру, содержащий пароли пользователя с других устройств) и до 4 уровней мутаций.

Elcomsoft System Recovery извлекает подсказки, вопросы и ответы, позволяя конструировать шаблоны и правила для генерации паролей при запуске атак. Подсказки могут содержать часть пароля, а вопросы и ответы могут содержать ценную информацию о пользователе – место рождения, имена друзей и родственников и многое другое.

В сложных случаях программа позволяет извлечь хэши паролей (как для локальных пользователей, так и для пользователей в домене, т.е. из базы Active Directory) и сохранить их в файле, чтобы потом можно было провести более продвинутые атаки уже на другом компьютере. Мы рекомендуем использовать для этого наше решение Elcomsoft Distributed Password Recovery – мощный инструмент, масштабируемый на сети из тысяч компьютеров, с аппаратным ускорением с использованием видеокарт NVIDIA.

Поддержка учётных записей Microsoft и PIN-кодов Windows Hello

В Windows 8 появилась возможность авторизоваться онлайн -- с использованием учётный записи Microsoft (Live!); этот же механизм теперь активно используется и в Windows 10. Аутентификация происходит на серверах Microsoft; однако, в Elcomsoft System Recovery есть возможность подменить сохранённый в системе хэш пароля для таких учётных записей и временно переключить для них аутентификацию на локальную.

При помощи Elcomsoft System Recovery можно восстановить PIN-коды Windows Hello к учётным записям Windows 10 на компьютерах, не оборудованных TPM. Microsoft рекомендует использовать PIN-коды вместо паролей в системах, для входа в которые используются учётные данные Microsoft Account. В то же время параметры PIN-кодов по умолчанию (только цифры, 4 или 6 знаков) открывают возможность перебора всего пространства паролей за минуты. Перебор PIN-кодов из 4-6 цифр осуществляется непосредственно в Elcomsoft System Recovery. Для восстановления более сложных PIN-кодов извлекаются метаданные шифрования для последующего использования в Elcomsoft Distributed Password Recovery.

В дополнение к сбросу пароля, в продукте есть возможность экспортировать хэши паролей таких учётных записей, что даёт возможным (в точности как для локальных записей) восстановить оригинальные пароли (например, с помощью Elcomsoft Distributed Password Recovery. Имея пароль к учётной записи Microsoft, появляется возможность доступа к другим сервисам Microsoft, привязанным к данной учётной записи: Skype, Hotmail, OneDrive и другим. Кроме того, появляется и доступ к облачным резервным копиям Windows Phone и Windows 10 Mobile, детальной информации о пользователе, списку привязанных устройств (включая их текущее местоположение), а в некоторых случаях и к истории посещений, закладкам, введённым в браузере данным, и даже сохранённым паролям к онлайн-сервисам и социальным сетям. Наконец, в учётной записи может храниться резервный ключ восстановления для дисков, зашифрованных с помощью BitLocker.

Надёжность

Elcomsoft System Recovery создаёт резервные копии всех системных файлов, в которых производятся изменения – при необходимости можно будет откатиться назад, вернув систему в исходное состояние.

Видео о продукте

Follow @elcomsoft

Список возможностей

Поддержка различных версий Windows

Поддержка Windows XP/Vista/7, Windows 8/8.1, Windows 10, Windows 11
Поддержка серверных версий ОС Windows Server
Создание загрузочных устройств для 32- и 64-разрядных BIOS
Создание загрузочных устройств для 32- и 64-разрядных UEFI
Поддержка учётных записей Microsoft (Live!) в Windows 8/8.1/10

Основные возможности

Основана на Windows PE
Создание загрузочного CD или USB-носителя
Создание образов дисков с гарантией криминалистической чистоты извлечения
Набор криминалистических инструментов для быстрого анализа компьютеров на выезде
Гарантия целостности и неизменности данных
Сброс пароля пользователей и локального Администратора
Сброс паролей локальных и доменных пользователей

Расширенные возможности

Быстрое восстановление PIN-кодов Windows Hello из 4-6 цифр на компьютерах без TPM
Исследование файловой системы и просмотр файлов при помощи файлового менеджера FAR
Извлечение паролей Wi-Fi
Извлечение метаданных для атаки на зашифрованные виртуальные машины
Просмотр лицензионных ключей Windows
Многоязычный пользовательский интерфейс
Поддержка всех устройств RAID/SCSI/SATA
Автоматический режим (выводится список установленных систем)
Ручной режим (возможность выбора файлов реестра)
Создание резервной копии SAM и возможность восстановления
Включение/разблокирование учётной записи Администратора
Создание загрузочных накопителей для компьютеров с macOS
Извлечение метаданных для атаки на зашифрованные тома TrueCrypt, VeraCrypt, Bitlocker, FileVault (HFS+/APFS), PGP Disk, LUKS и LUKS2.Сброс паролей пользовательских учётных записей
Выделение учётных записей с правами Администратора
Сброс паролей пользователей Active Directory
Просмотр привилегий учётных записей
Включение/разблокирование выключенных/заблокированных учётных записей
Поднятие привилегий до уровня Администратора для любой учётной записи
Восстановление паролей для некоторых системных учётных записей
Сброс пароля локального Администратора
Экспорт хешей паролей для локальных учётных записей
Экспорт хешей паролей для учётных записей Active Directory
Создание резервной копии NTDS.DIT и возможность восстановления
Отображение хешей LM/NTLM
Просмотр хешей паролей учётных записей с истёкшим сроком действия
Тестирования на наличие простых и коротких паролей
Редактор базы данных SAM
Сброс защиты SYSKEY, поиск паролей SYSKEY

Лицензия, поддержка, доставка

Немедленная загрузка
Один год бесплатных обновлений
Лицензия на использование в компаниях

Руководство по установке и эксплуатации (HTML)

Ускоренный сбор и анализ цифровых улик с загрузочным накопителем

Новое в Elcomsoft System Recovery: новые фильтры, поддержка LUKS2 и учётных записей Microsoft Azure

Учётные записи Windows: PIN без TPM - дыра в безопасности

Информация о релизе Elcomsoft System Recovery 8.30 (PDF)

Информация о релизе Elcomsoft System Recovery 8.20 (PDF)

Эффективный способ восстановления доступа к системе под управлением Windows.

Лицензионное соглашение

Follow @elcomsoft

Набор криминалистических инструментов

В составе продукта доступен набор инструментов для поиска, сбора и анализа цифровых улик при работе на выезде, с помощью которого можно быстро просканировать систему, собрать и просмотреть самые важные артефакты. Загрузив исследуемый компьютер с внешнего накопителя, эксперт сможет использовать новые функции инструментария для извлечения и анализа таких данных, как системные журналы и журнал событий Windows, сертификаты и ключи DPAPI, а также извлекать файлы гибернации и подкачки для последующего сканирования на предмет ключей к дискам, зашифрованным BitLocker и сторонними криптоконтейнерами. Кроме того, эксперт сможет использовать функции просмотра списка установленных в системе приложений и анализа действий пользователей на компьютере с привязкой к временной шкале. Также доступен инструмент, позволяющий узнать, к каким файлам и папкам пользователь недавно обращался. Для проведения анализа не потребуются пароли пользователей.

Извлекаются данные из нескольких десятков категорий, которые мы отобрали по критериям важности для расследования и скорости, с которой их можно извлечь. Инструмент использует стратегию «низко висящего фрукта», позволяя эксперту за считанные минуты провести предварительный анализ и сохранить на внешний накопитель ключи шифрования и другие артефакты, которые позволят в дальнейшем получить доступ к зашифрованным уликам и всё это без необходимости извлекать из компьютера диски и создавать их образы.

Elcomsoft System Recovery не просто извлекает некоторое количество цифровых артефактов. С использованием нового функционала эксперт сможет получить всестороннее представление об активности пользователя как онлайн, так и офлайн. Так, с использованием встроенного инструментария можно быстро извлечь пароли пользователя, важные документы, информацию о запущенных приложениях и файлах, к которым обращался пользователь. Полный список собираемых данных включает несколько десятков категорий и постоянно расширяется.

Системные артефакты

System Registry
Active Directory
Amcache
Program Compatibility Assistant
Energy reports
Microsoft Store logs
Shimcache
SRUM (System Resource Utilization Monitor)
Microsoft User Access Logs
Scheduled tasks
Windows events
Windows prefetch
setup.api logs
Recycle Bin
WER (Windows Error Reporting)
WiFi network configs and passwords
Windows search database
System DPAPI
System credentials
System vault
System crypto keys and certificates
Windows notifications
Defender logs
System logs
NGC keys
Memory dumps

Пользовательские данные

User Registry
ActivitiesCache
Recycle Bin
Notifications
RDP cache
Crash dumps
DPAPI keys
PowerShell console history
User credentials
User vault
User crypto keys and certificates
Files in Desktop/Documents/Downloads/Videos folders
Jumplist (Recent files)
Files in Videos folder
Windows Mail/calendar/phone/contacts database
Browsers data:
• Chromium: Amigo, Xpom, Kometa, Nichrome, Torch, Blisk, Orbitum, Slimjet, QIP Surf, Kinza, BlackHawk, Superbird, Sidekick, Iridium, Vivaldi, SRWare Iron, GhostBrowser, CentBrowser, Xvast, Chedot, SuperBird, SalamWeb, Elements, Chrome, CocCoc, QQBrowser, 360Browser, 360, Comodo Dragon, Brave, Epic Privacy, AVAST Software, Citrio, Uran, Coowon, 7Star, Chrome Canary, CoolNovo, Sputnik, Microsoft Edge, Atom, AVG, CCleaner, CryptoTab, Maxthon, Netbox, Swing, UR, ViaSat, Yandex, UCBrowser
• Mozilla: Firefox, Slim, Pale Moon, Waterfox, Cyberfox, BlackHawk, IceCat, Thunderbird, PostboxApp, Comodo IceDragon, SeaMonkey, Basilisk, BitTube, Cliqz, K-Meleon, Falkon
• Microsoft Edge
• Safari

Инструментарий доступен в виде вкладки “Forensic artifacts”. Встроенные в Elcomsoft System Recovery инструменты для поиска цифровых улик позволяют значительно ускорить начальную стадию расследования за счёт сокращения издержек по созданию образа диска и его последующего подробного анализа.

Руководство по установке и эксплуатации (HTML)

Ускоренный сбор и анализ цифровых улик с загрузочным накопителем

Новое в Elcomsoft System Recovery: новые фильтры, поддержка LUKS2 и учётных записей Microsoft Azure

Учётные записи Windows: PIN без TPM - дыра в безопасности

Информация о релизе Elcomsoft System Recovery 8.30 (PDF)

Информация о релизе Elcomsoft System Recovery 8.20 (PDF)

Эффективный способ восстановления доступа к системе под управлением Windows.

Лицензионное соглашение

Follow @elcomsoft

Системные требования

Windows

Windows 11/10/8.1/8/7/Vista/XP/2000 (32 bit and 64 bit; all editions)
Windows Server 2022/2019/2016/2008/2003

Информация о версии продукта

Elcomsoft System Recovery v.8.32.1163

new feature: users can now specify compression level when creating E01 disk images

bugfix: fixed the issue with non-functional SAM backups during recovery operations

Все программы имеют возможность удаления с помощью использования стандартных средств Microsoft Windows - через контрольную панель или, используя шорткат 'Uninstall' в меню 'Пуск'

Руководство по установке и эксплуатации (HTML)

Ускоренный сбор и анализ цифровых улик с загрузочным накопителем

Новое в Elcomsoft System Recovery: новые фильтры, поддержка LUKS2 и учётных записей Microsoft Azure

Учётные записи Windows: PIN без TPM - дыра в безопасности

Информация о релизе Elcomsoft System Recovery 8.30 (PDF)

Информация о релизе Elcomsoft System Recovery 8.20 (PDF)

Эффективный способ восстановления доступа к системе под управлением Windows.

Лицензионное соглашение