Der Elcomsoft Forensic Disk Decryptor wurde auf Version 2.0 aktualisiert. Das Tool ermöglicht ab sofort, verschlüsselte Container mit ihren jeweiligen Kennwörtern, Escrow-Schlüsseln oder kryptografischen Schlüsseln, die aus dem flüchtigen Speicher des Computers extrahiert wurden, bereitzustellen oder zu entschlüsseln. Elcomsoft Forensic Disk Decryptor 2.0 wird mit einem eingebauten Speicher-Dump-Tool ausgeliefert, mit dem Experten den Arbeitsspeicher des Computers abbilden können.
Elcomsoft Forensic Disk Decryptor 2.0 ist eine All-in-one-Lösung für den Zugriff auf verschlüsselte Volumes von FileVault 2, BitLocker, PGP und TrueCrypt. Das aktualisierte Toolkit ermöglicht das Mounten oder Entschlüsseln verschlüsselter Volumes mithilfe von Klartext-Passwörtern, Escrow-Schlüsseln oder kryptografischen Schlüsseln, die aus dem Speicher des Computers extrahiert wurden. Darüber hinaus wird mit dem Toolkit jetzt ein Kernel-Speicherdump-Tool ausgeliefert. Mit diesem können Experten den Arbeitsspeicher von Windows auf Windows-Computern scannen.
Integrierte Lösung für den Zugriff auf verschlüsselte Volumes
In früheren Versionen von Forensic Disk Decryptor war das Toolkit in seinen Funktionen auf das Mounten oder Entschlüsseln von Volumes mit binären, kryptografischen Schlüsseln beschränkt, die aus dem Speicherabbild oder der Ruhezustandsdatei des Computers extrahiert wurden. Elcomsoft Forensic Disk Decryptor 2.0 bietet die Möglichkeit, verschlüsselte Volumes zu mounten oder die vollständige Entschlüsselung für die Offline-Analyse durchzuführen, indem es Klartext-Passwörter, Escrow- oder Wiederherstellungsschlüssel sowie die aus dem Speicherabbild des Computers extrahierten Binärschlüssel verwendet. FileVault 2-Wiederherstellungsschlüssel können mit Elcomsoft Phone Breaker aus der iCloud extrahiert werden, während BitLocker-Wiederherstellungsschlüssel im Active Directory oder im Microsoft-Konto des Benutzers verfügbar sind.
Eingebautes Kernel Level Memory Dumping Tool
Elcomsoft Forensic Disk Decryptor 2.0 wird mit einem Forensic-Speicher-Imaging-Tool geliefert, das den Zugriff auf den Arbeitsspeicher des Computers ermöglicht, um ein möglichst vollständiges Speicherabbild zu erstellen. Der RAM-Imaging-Treiber von ElcomSoft arbeitet im Kernel-Modus und trägt eine digitale Signatur von Microsoft, wodurch der Treiber vollständig kompatibel zu allen 32-Bit- und 64-Bit-Versionen von Windows 7 bis zum aktuellen Windows 10 mit Fall Creators-Update ist
Elcomsoft Forensic Disk Decryptor kann mithilfe von Images, die vom neuen Tool ausgegeben werden, kryptografische Schlüssel zum Entschlüsseln von Daten erstellen, die in verschlüsselten Containern gespeichert sind, ohne dass das ursprüngliche Klartextpasswort langwierig angegriffen werden muss.
Automatische Verschlüsselungs-Erkennung
Elcomsoft Forensic Disk Decryptor 2.0 bietet eine vollautomatische Erkennung von Verschlüsselungsalgorithmen und -parametern, einschließlich TrueCrypt. Experten müssen nur den Pfad zum verschlüsselten Container oder Disk-Image angeben, und Elcomsoft Forensic Disk Decryptor wird automatisch verschlüsselte Volumes und Details ihrer Verschlüsselungsalgorithmen erkennen und anzeigen.
EnCase .E01 Support und portable Version
Elcomsoft Forensic Disk Decryptor 2.0 unterstützt ab sofort EnCase-Images im branchenüblichen ".EO1"-Format sowie verschlüsselte DMG-Images. Darüber hinaus kann Elcomsoft Forensic Disk Decryptor dazu verwendet werden, um eine portable Installation auf einem USB-Flash-Laufwerk zu erstellen. Mithilfe der portablen Version kann der Speicher des zu untersuchenden Computers abgebildet oder verschlüsselte Volumes gemountet und entschlüsselt werden.