###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Противодействие взлому. Извлечение ключей расшифровки

    02.02.2021 Мониторы

    Elcomsoft Forensic Disk Decryptor 1.0.124 эта программа предназначена для расшифровки криптоконтейнеров BitLocker, PGP и TrueCrypt и проведения криминалистического анализа хранящихся в зашифрованных томах данных.

    Поддерживаются как фиксированные, так и портативные носители, включая PGP в режиме шифрования всего диска, а также съёмные диски, защищённые с помощью BitLocker To Go. С помощью Elcomsoft Forensic Disk Decryptor можно как полностью расшифровать содержимое защищённого тома, так и работать в реальном времени с подключением зашифрованных томов и расшифровкой выбранных данных «на лету».
    Скачать программу можно по прямой ссылке (с облака) внизу страницы.

    Основные возможности программы Elcomsoft Forensic Disk Decryptor:

    • Расшифровка информации, защищённой тремя самыми распространёнными криптоконтейнерами
    • Поддержка защищённых томов BitLocker, PGP и TrueCrypt.
    • Поддержка портативных носителей и флеш-карт, защищённых BitLocker To Go.
    • Поддержка всех режимов работы PGP, включая режим шифрования всего диска.
    • Доступ в режимах реального времени и полной расшифровки.
    • Извлечение ключей расшифровки данных из файлов гибернации, файла-образа оперативной памяти компьютера.
    • Извлекает все ключи из дампа оперативной памяти единовременно, даже если в системе присутствуют более, чем один криптоконтейнер.
    • Гарантия целостности и неизменности исследуемых данных.
    • Восстановление и сохранение ключей расшифровки данных.
    • Поддержка 32- и 64-разрядных версий Windows.

    нажмите на картинку и она увеличится

    Системные требования:
    Операционная система: Windows XP,Vista,7,8 (x86,x64)
    Процессор: 1 ГГц
    Оперативная память: 512 МБ
    Место на жестком диске: 8,8 МБ
    Язык интерфейса: английский
    Размер: 8,3 МБ
    апте4ка: в комплекте
    *архив БЕЗ пароля

    откроется в новом окне

    Выпустила новый продукт для компьютерных криминалистов под названием Forensic Disk Decryptor.

    С появлением этого продукта популярные средства шифрования жестких дисков, включая такие технологии, как BitLocker, TrueCrypt и PGP, больше нельзя считать надежной защитой данных: программа стоимостью около 300 долларов позволяет получить практически любую информацию с защищенного диска, не имея оригинального ключа доступа.

    Шифрование жестких дисков для многих компаний мира стало уже стандартом, поскольку обеспечивает вполне надежную защиту секретных данных при краже или утере техники. Среди доступных технологий, которые позволяют шифровать жесткий диск целиком, наибольшей популярностью пользуются как раз три технологии, на которые нацелена утилита Forensic Disk Decryptor от компании Elcomsoft – это BitLocker, TrueCrypt и PGP. Если до сих пор к этим технологиям были лишь единичные претензии, то теперь эксперты по криминалистике смогут извлекать информацию с зашифрованных носителей без обязательного получения ключа у владельца этих носителей.

    До сих для вскрытия зашифрованных носителей применялись решения вроде от той же компании Elcomsoft. Обычно попытка вскрытия диска осуществлялась путем подбора пароля методом прямого перебора. В отличие от этих традиционных методов утилита Forensic Disk Decryptor применяет несколько иной подход: программа пытается обнаружить следы ключей шифрования в дампах оперативной памяти и файлах гибернации, взятых с исследуемой машины.

    Единственное условие для успешного поиска ключей шифрования – исследуемая машина должна быть запущена, а шифрованные тома должны быть смонтированы в систему. При этом неважно, заблокирован рабочий стол компьютера или нет. Более того, необходимый ключ шифрования диска можно извлечь даже когда исследуемая машина находится в состоянии гибернации.

    Как поясняет Владимир Каталов, руководитель ElcomSoft, главный и единственный недостаток криптоконтейнеров заключается в человеческом факторе. Дело в том, что для доступа к защищенным данным необходимо, чтобы шифрованный том был смонтирован в файловую систему. Мало кому понравится вводить пароль к диску каждый раз, когда выполняется операция чтении или записи файла, так что в подавляющем большинстве решений пароль вводится один раз за сеанс, а в остальное время хранится в оперативной памяти. Логично предположить, что если пароль шифрования нужно постоянно держать «под рукой» (в оперативной памяти), то всегда есть теоретическая возможность извлечения этого пароля с помощью сторонней программы.

    С помощью этого инструмента можно извлечь данные из зашифрованного тома диска (FileVault 2, PGP, BitLocker или TrueCrypt), используя ключ двоичного шифрования, содержащийся в ОЗУ компьютера.

      Что нового?
    1. Извлечение ключа проанализировав файлы дампа памяти или файлы гибернации, поможет новый выпуск Elcomsoft Forensic Disk Decryptor, включая все что отсутствовало в более ранних версиях. Обычные текстовые пароли и ключи восстановления, Microsoft-подписанный инструмент визуализации RAM на уровне ядра, теперь доступна долгожданная переносная версия и поддержка стандартного снимка EnCase .E01 и зашифрованных снимков DMG. Автоматическое определение всех зашифрованных томов и предоставление подробной информации о методе шифрования, используемом для каждого тома. Запустим программу и посмотрим на примере.
      2. Обзор Elcomsoft Forensic Disk Decryptor 2.0
    2. Запустили Elcomsoft Forensic Disk Decryptor 2.0 и открываете зашифрованный диск или образ диска. EFDD сканирует диск и идентифицирует все зашифрованные тома, доступные на этом диске. Тома вместе с соответствующими настройками шифрования отображаются в главном окне, картинка ниже:

      3. Способы расшифровки:
    3. В предыдущих версиях были ограничения установкой или расшифровкой томов с помощью двоичных криптографических ключей, извлеченных из образа памяти компьютера или файла гибернации. Уязвимость в использовании паролей с открытым текстом или ключей условного депонирования для доступа к данным, хранящимся в зашифрованных контейнерах, была очень скудной.
    4. В EFDD 2.0. добавили новые способы монтирования или де шифрования зашифрованных томов. Также можно использовать двоичный криптографический ключ, если знаете пароль исходного контейнера, тогда его можно ввести для монтирования тома для его полного де шифрования или автономного анализа.
    5. Еще один способ получить доступ к зашифрованным данным это использовать ключ escrow или ключ восстановления, как их иногда называют. Клавиши Escrow предлагают резервную копию сортировки, предоставляя законному владельцу расшифровывать данные, если пароль утерян, забыт.
    6. Для зашифрованных томов BitLocker, ключ восстановления можно извлечь из Active Directory или из личных учетных записей, учетной записи пользователя Microsoft по этой ссылке:

    7. Для де шифрования томов BitLocker ознакомитесь на официальном блоге Elcomsoft и. Вы также можете узнать, что изменилось в BitLocker в November Update на сайте Microsoft.
    8. Для FileVault 2 вы можете извлечь ключ восстановления из Apple iCloud, тогда вам понадобится утилита.
      9. Инструмент визуализации памяти, уровня ядра. Найти ключ для открытия крипто контейнера.
    9. Изначально EFDD был сделан для сканирования энергозависимой памяти компьютера. Ниже на картинке EFDD ищет криптографические ключи, которые используются для доступа к данным хранящимся в зашифрованных контейнерах. Если будет найден криптографический ключ, тогда расшифровать контейнер не составит труда и не надо будет атак на исходный пароль обычного текста.
    10. Изначально Elcomsoft Forensic Disk Decryptor полагался на образы памяти, снятые сторонними инструментами. Версия 2.0 поставляется с уже имеющимся инструментом для обработки образа памяти в критической ситуации, который использует нулевой уровень доступа к ОЗУ компьютера. Инструмент обработки RAM включает в себя драйвер режима ядра, который несет цифровую подпись Microsoft, что полностью совместимо с 32-разрядными и 64-битными версиями Windows.

      11. Почему для устройства обработки образа, снимка, требуется драйвер уровня ядра?
    11. Потому что нужен доступ ко всем областям памяти компьютера, включая области которые активно защищены с помощью системных или сторонних антидемпинговых и антиотладочных инструментов. Некоторые утилиты, программы, сбора данных запускаются в пользовательском режиме и им запрещается доступ к определенным защищенным, как выше писал, областям в ОЗУ компьютера. ЕlcomSoft поставляется с драйвером уровня ядра, который работает в самом привилегированном «нулевом» окружении системы, имея полный и неограниченный доступ ко всем областям памяти компьютера, это круто!
    12. Драйвер с цифровой подписью Microsoft позволяет утилите, программе, быть установленным (или запущенным) на компьютере, на котором проверяется подпись драйвера. Собственно чтобы было все без ограничений во всех направлениях и областях, выражусь так.
      13. Создание портативной версии Elcomsoft Forensic Disk Decryptor 2.0
    13. Портативная версия также поддерживает снимки EnCase в стандартном формате.EO1 как и установочная, а также зашифрованные снимки DMG. Программу можно запустить на запущенных системах с USB-накопителя. Для создания портативной версии нужно установить на свой компьютер утилиту и зарегистрировать ее вашим лицензионным ключом. Далее создадите переносную версию утилиты, картинка ниже:

    14. Затем вы можете использовать новую созданную переносную версию программы для захвата энергозависимой памяти других компьютеров, монтирования, де шифрования зашифрованных томов.

    15. Если вы покупали ранее программу, тогда вы сможете бесплатно обновить до последней версии. Если вы желаете приобрести лицензию на использование Elcomsoft Forensic Disk Decryptor 2.0 тогда зайдите на официальный сайт и ознакомитесь с предложениями о покупки. Хороший софт всегда платный, это факт, конечно есть и исключения но их очень мало. С этой программой вы получаете хорошего помощника, который восстановит ваши файлы в случае заражения вирусами шифровальщиками. Также как выше писал если забыли или утеряли пароль к зашифрованному диску, контейнеру. Остались вопросы, с радостью отвечу в комментариях чуть ниже на этой странице.


    Пакет программ ElcomSoft для снятия парольной защиты с максимальным числом поддерживаемых форматов данных, систем защиты и алгоритмов шифрования. В набор включены все продукты компании для восстановления паролей.

    Системные требования:
    Windows: 7, 8, 8.1, 10, Server 2012, Server 2016, Server 2019

    Торрент Программа для подбора паролей - ElcomSoft Password Recovery Bundle Forensic Edition 2019 подробно:
    Состав ElcomSoft Password Recovery Bundle 2019:
    ElcomSoft Advanced Archive Password Recovery 4.54.110
    ElcomSoft Advanced EFS Data Recovery Pro 4.50.51.1795
    ElcomSoft Advanced IM Password Recovery 4.90.1805
    ElcomSoft Advanced Intuit Password Recovery 2.0
    ElcomSoft Advanced Lotus Password Recovery 2.11
    ElcomSoft Advanced Mailbox Password Recovery 1.11.476
    ElcomSoft Advanced Office Password Breaker Enterprise Edition 3.05.802
    ElcomSoft Advanced Office Password Recovery Pro 6.34.1889
    ElcomSoft Advanced PDF Password Recovery Enterprise 5.08.145
    ElcomSoft Advanced Sage Password Recovery 2.30.383
    ElcomSoft Advanced SQL Password Recovery 1.13.1786
    ElcomSoft Advanced VBA Password Recovery 1.63
    ElcomSoft Advanced WordPerfect Office Password Recovery 1.35
    ElcomSoft Cloud eXplorer ECX Forensic 2.11.28407 Full
    ElcomSoft Dictionaries 1.0.1110
    ElcomSoft Distributed Password Recovery 4.10.1236
    ElcomSoft Explorer for WhatsApp Standard 2.60.30943
    ElcomSoft Forensic Disk Decryptor Common 2.10.567
    ElcomSoft Internet Password Breaker Standard Edition 3.10.4770
    ElcomSoft iOS Forensic Toolkit 5.0
    ElcomSoft Lightning Hash Cracker 0.60
    ElcomSoft Password Digger Standard 1.04.147
    ElcomSoft Phone Breaker 8.30
    ElcomSoft Phone Breaker 9.05.31064 Forensic Edition Windows
    ElcomSoft Phone Password Breaker Professional 3.00.106
    ElcomSoft Phone Viewer Forensic 4.40.31234
    ElcomSoft Proactive Password Auditor 2.07.61
    ElcomSoft Proactive System Password Recovery 6.60.568
    ElcomSoft System Recovery 5.60.389 BootISO
    ElcomSoft Wireless Security Auditor Pro 7.12.538

    Описание приложений пакета:
    ElcomSoft Advanced Archive Password Recovery - расшифровка защищённых архивов ZIP и RAR и восстановление оригинальных паролей. Максимальная производительность при восстановлении сложных паролей. Некоторые виды архивов гарантированно расшифровываются в течение часа.
    ElcomSoft Advanced EFS Data Recovery Pro - расшифровка файлов, зашифрованных средствами NTFS с помощью Encrypting File System (EFS).
    ElcomSoft Advanced IM Password Recovery - мгновенное извлечение паролей из нескольких десятков программ мгновенного обмена сообщениями. Поддержка ICQ, AOL, MSN, Yahoo!, клиентов Mail.ru, Jabber, Picasa, QIP и многих других. Извлечённые пароли можно использовать для составления словаря, с помощью которого возможно значительное ускорение перебора паролей к зашифрованным файлам.
    ElcomSoft Advanced Intuit Password Recovery - восстановление доступа к защищённым паролями документам Intuit Quicken и QuickBooks.
    ElcomSoft Advanced Lotus Password Recovery - мгновенное восстановление паролей любой сложности к документам Lotus SmartSuite.
    ElcomSoft Advanced Mailbox Password Recovery - гарантированное восстановление паролей к почтовым клиентам и учетным записям электронной почты POP3 и IMAP. Извлечение логина и пароля, сохранённых на компьютере пользователя. Встроенный эмулятор POP3/IMAP сервера для перехвата паролей к POP3 и IMAP из любых почтовых клиентов, включая мобильные приложения.
    ElcomSoft Advanced Office Password Breaker Enterprise Edition - гарантированное восстановление доступа к зашифрованным документам в формате приложений Microsoft Office 97/2000 за минуты.
    ElcomSoft Advanced Office Password Recovery Pro - гарантированное восстановление доступа к зашифрованным документам в формате приложений Microsoft Office 97/2000 за минуты.
    ElcomSoft Advanced PDF Password Recovery Enterprise - гарантированное снятие ограничений на редактирование, печать и копирование файлов PDF. Восстановление пароля на открытие документа с поддержкой аппаратного ускорения. Запатентованная технология Thunder Tables гарантирует восстановление ключей длиной 40 бит в течение минуты.
    ElcomSoft Advanced Sage Password Recovery - гарантированный доступ к защищенным документам ACT! Замена и восстановление паролей к документам BLB, MUD и ADF/PAD, созданным при помощи приложения ACT! Работа в удалённом режиме не требует наличия программы ACT! на компьютере.
    ElcomSoft Advanced SQL Password Recovery - гарантированное восстановление доступа к защищённым паролем базам данных Microsoft SQL Server. Мгновенный сброс или смена любого пароля пользователя или администратора базы данных в формате Microsoft SQL Server.
    ElcomSoft Advanced VBA Password Recovery - инструмент для восстановления, удаления и замены паролей к документам Microsoft Office, OpenOffice, Apple iWork и Hangul Office с поддержкой аппаратного ускорения с помощью видеокарт.
    ElcomSoft Advanced WordPerfect Office Password Recovery - мгновенное восстановление паролей к документам Corel WordPerfect Office. Извлечение паролей из WordPerfect, Quattro Pro и Paradox в течение нескольких секунд.
    ElcomSoft Cloud eXplorer ECX Forensic - извлечение и просмотр данных из учётных записей Google. Извлекаются пароли и история посещений браузера, данные местоположения пользователя за весь период существования учётной записи, почтовые сообщения и контакты, заметки Google Keep, закладки, история поисковых запросов, календари и многое другое. Поддерживается аутентификация по паролю и без пароля.
    ElcomSoft Distributed Password Recovery - производительное решение для корпоративных клиентов государственных организаций. Восстановление паролей к десяткам форматов файлов, документов, ключей и сертификатов на кластерах компьютеров, объединённых в единую распределённую вычислительную сеть.
    ElcomSoft Explorer for WhatsApp Standard - инструмент для извлечения, просмотра и анализа общения пользователей WhatsApp с поддержкой iOS и Android.
    ElcomSoft Forensic Disk Decryptor Common - мгновенная расшифровка или монтирование криптоконтейнеров BitLocker, FileVault 2, PGP, TrueCrypt и VeraCrypt с помощью паролей, депонированных ключей и ключей шифрования, извлечённых из образа оперативной памяти, файла подкачки или гибернации.
    ElcomSoft Internet Password Breaker - мгновенное извлечение доступных паролей для веб-сайтов, учетных записей и почтовых ящиков из множества приложений. Поддержка сохранённых полей и паролей в Internet Explorer, Edge, Chrome, Firefox, Opera, Outlook и Outlook Express, Windows Mail и Windows Live Mail.
    ElcomSoft iOS Forensic Toolkit - специализированный инструмент для извлечения данных из устройств, работающих под управлением Apple iOS методами физического и логического анализа.
    ElcomSoft Password Digger Standard - расшифровка содержимого системных и пользовательских защищённых хранилищ keychain системы macOS (OS X). Сохранение списка паролей в текстовый файл, который можно использовать в качестве словаря для ускорения перебора паролей соответствующими инструментами.
    ElcomSoft Phone Breaker - извлечение информации из устройств под управлением iOS, Windows Phone, Windows 10 Mobile и BlackBerry 10, расшифровка резервных копий и подбор неизвестных паролей с использованием аппаратного ускорения.
    ElcomSoft Phone Password Breaker - извлечение информации из устройств под управлением iOS, Windows Phone, Windows 10 Mobile и BlackBerry 10, расшифровка резервных копий и подбор неизвестных паролей с использованием аппаратного ускорения.
    ElcomSoft Phone Viewer Forensic - простой, удобный и компактный инструмент для просмотра информации, извлечённой из устройств под управлением iOS, BlackBerry и мобильной Windows. Продукт поддерживает выходные форматы Elcomsoft Phone Breaker и стандартные форматы резервных копий iTunes и BlackBerry Link.
    ElcomSoft Proactive Password Auditor - аудит корпоративной политики безопасности. Продукт позволит выяснить степень защищённости локальной сети путем запуска полномасштабных атак на пароли учетных записей. Выявляя слабые и небезопасные пароли, продукт определяет слабые места в защите локальной сети.
    ElcomSoft Proactive System Password Recovery - восстановление многих типов паролей и просмотр скрытой информации Windows. Извлечение ключей Wi-Fi (WEP и WPA-PSK), VPN, RAS, паролей для dial-up, паролей к сетевым ресурсам, соединениям и RDP.
    ElcomSoft System Recovery BootISO поможет в восстановлении доступа к учётным записям Windows, включая локальные, сетевые и учётные записи Microsoft Account. Поддерживается сброс и восстановление оригинальных паролей.
    ElcomSoft Wireless Security Auditor - аудит безопасности беспроводных сетей Wi-Fi, проверка загруженности беспроводных сетей и каналов. Перехват пакетов с помощью выделенного или бытового беспроводного адаптера Wi-Fi и полномасштабная атака паролей WPA/WPA2.

    Процедура лечения:
    Каждая программа имеет инструкцию и лекарство в папке с установочными файлами. Обычно это ключ или замена файла.

    Несмотря на тот факт что поддержка была остановлена программа продолжает существовать и оставаться надежной защитой персональных данных. В марте 2015 года был завршен втор аудит Truecrypt. Согласно результатам аудита, никакой закладки в TrueCrypt 7.1a нет. Аудиторы отметили только 3 потенциально нехороших места, которые не приводили к компрометации каких-либо данных при обычных условиях:

    • 1. Отсутствие проверки подлинности зашифрованных данных в заголовке тома
    • 2. Смешивание ключевого файла происходит не криптографически устойчивым образом
    • 3. Реализация AES может быть уязвима к атаке по времени

    Однако в 2015 году Русские разработчики создали приложений для вскрытия контейнеров TrueCrypt.

    Является одним из самых необычных приложений, позволяющих производить расшифровку любого типа файл-контейнеров, на которых применялись программы шифрования данных, с целью проведения криминалистического анализа содержимого. Программа служит для извлечения ключей шифрования.

    Программа извлекает ключи шифрования тремя методами:

    • 1. Из дампа оперативной памяти. Все ключи извлекаются единовременно, даже если в системе присутствуют более, чем один криптоконтейнер. Дамп оперативной памяти может быть создан с помощью соответствующих криминалистических продуктов, например, MoonSols Windows Memory Toolkit. Зашифрованные тома в момент снятия слепка должны быть подключены; в противном случае ключ расшифровки извлечь не удастся.
    • 2. Анализ файла гибернации (исследуемый компьютер выключен). Защищённые тома должны быть подключены перед выключением компьютера. Если криптоконтейнер был размонтирован перед созданием файла гибернации, извлечь из него ключи будет невозможно.
    • 3. Атакой через порт FireWire, если у вас не хватает прав для снятия дампа памяти или запуска программ на анализируемом компьютере. Для проведения атаки через порт FireWire требуется дополнительный компьютер с установленным бесплатным продуктом (например, Inception). Такая атака даёт практически стопроцентный результат, но опять же, зашифрованные тома должны быть подключены в момент анализа.

    Рис. 11.

    Если удалось извлечь ключи шифрования, то с их помощью расшифровка информации на носителе осуществляется в реальном времени.

    В режиме работы в реальном времени доступ к данным предоставляется мгновенно. Криптоконтейнер монтируется в системе как новый диск, после чего можно извлечь данные с помощью стандартного «Проводника» или любого другого инструмента для работы с файлами. Информация при этом расшифровывается «на лету», в процессе чтения данных. Есть пробная версия, но она является «неполной», из неё невозможно изъять ключи шифрования. Так же у этой программы есть полная версия, которая распространяется исключительно для государственных учреждений.