В Elcomsoft Forensic Disk Decryptor 2.17 добавилась возможность мгновенной расшифровки дисков, защищённых BitLocker в последней версии Windows 10 (20H2). В обновлённой версии инструментария стали доступны функции снятия образа оперативной памяти для извлечения ключей шифрования, что позволяет расшифровать или мгновенно смонтировать защищённые разделы BitLocker.
Новая версия низкоуровневого драйвера, вошедшая в состав Elcomsoft Forensic Disk Decryptor 2.17, получила поддержку зашифрованных томов BitLocker на компьютерах, работающих под управлением последней версии Windows 10 (20H2). В новой версии инструментария поддерживается снятие образа памяти во всех версиях Windows 10, включая актуальную сборку 20H2, что позволяет найти ключи шифрования к зашифрованным дискам, расшифровать или смонтировать защищённые разделы.
Интегрированное решение для доступа к зашифрованным дискам
Forensic Disk Decryptor позволяет создать и проанализировать образ оперативной памяти компьютера, смонтировать или расшифровать содержимое защищённых томов BitLocker, TrueCrypt, VeraCrypt и множества других систем шифрования диска с использованием ключей шифрования, извлечённых из образа оперативной памяти.
В состав обновлённого Elcomsoft Forensic Disk Decryptor входит инструмент, позволяющий снять образ оперативной памяти компьютера. Для доступа к содержимому оперативной памяти используется низкоуровневый драйвер, работающий в режиме ядра системы. Поставляются 32- и 64-разрядные версии драйвера, совместимые с операционными системами Windows 7, 8, 10 и соответствующими серверными редакциями. Драйвер подписан цифровой подписью Microsoft, и полностью совместим с последними сборками Windows 10 (20H2), которые проверяют цифровую подпись драйвера.
Извлечение образа оперативной памяти компьютера - важный шаг в расследовании. Если исследуемый компьютер включён, а у эксперта есть возможность войти в систему или перехватить аутентифицированную пользовательскую сессию с административными привилегиями, то на исследуемом компьютере запускается программа для снятия слепка оперативной памяти. Содержимое оперативной памяти сохраняется в файл, из которого Elcomsoft Forensic Disk Decryptor извлекает ключи для расшифровки защищённых дисков. Зашифрованные тома в момент снятия слепка должны быть подключены; в противном случае ключ расшифровки извлечь не удастся.
Новое в Elcomsoft Forensic Disk Decryptor 2.17
Ссылки