Forensic Disk Decryptor(磁盘密码与恢复工具)

　　Elcomsoft Forensic Disk Decryptor是一款非常实用的磁盘密码解密与恢复工具，提供完全集成的解决方案，用于访问加密卷，程序提供了所有可用方法，可以访问存储在加密的PGP、TrueCrypt、eraCrypt等等磁盘和卷中的信息；该工具包允许使用该卷的纯文本密码，托管或恢复密钥，以及从计算机的内存映像或休眠文件中提取的二进制密钥；可以使用Phone Breaker从iCloud中提取FileVault 2恢复密钥，而在Active Directory或用户的Microsoft帐户中可以使用BitLocker恢复密钥；如果无法提取加密密钥和恢复密钥，则EFDD可以从加密容器中提取元数据，以让Elcomsoft分布式密码恢复执行其工作；新版本政策VeraCrypt加密，VeraCrypt是开源磁盘加密工具TrueCrypt的最受欢迎的继任者；与原始版本相比，VeraCrypt假定了更广泛的加密方法和哈希算法；在此更新中，新版本获得了对VeraCrypt卷的全面支持，使专家能够从VeraCrypt容器中提取哈希数据，从而通过分布式密码恢复发起暴力或智能词典攻击；需要的用户可以下载体验

软件功能

　　即时访问存储在加密的BitLocker，FileVault 2，PGP，TrueCrypt和VeraCrypt容器中的数据。

　　该工具从RAM捕获，休眠和页面文件中提取加密密钥，

　　或使用纯文本密码或托管密钥解密存储在加密容器中的文件和文件夹，

　　或将加密卷作为新的驱动器号挂载以进行即时，实时访问。

　　解密BitLocker，要运行的BitLocker，FileVault 2，PGP，TrueCrypt和VeraCrypt卷

　　从RAM捕获，休眠和页面文件，托管和恢复密钥中提取加密密钥

　　提取并存储所有可用的加密密钥

　　立即将加密的容器安装为驱动器号

　　使用内核级工具捕获计算机易失性存储器的内容

　　快速，零占用空间的操作

　　支持：BitLocker（包括TPM配置），FileVault 2（包括APFS卷），PGP，

　　TrueCrypt和VeraCrypt加密的容器以及全盘加密，BitLocker To Go

　　XTS-AES BitLocker加密，RAM转储，休眠文件，页面文件

软件特色

　　加密密钥的来源

　　Elcomsoft取证磁盘解密器需要原始的加密密钥才能访问存储在加密容器中的受保护信息。

　　可以从安装加密卷时获取的休眠文件或内存转储文件中提取加密密钥。

　　有三种方法可以获取原始加密密钥：

　　通过分析休眠文件（如果正在分析的PC已关闭）；

　　通过分析内存转储文件。可以使用内置的内存映像工具获取正在运行的PC的内存转储。

　　通过执行FireWire攻击（正在分析的PC必须在安装了加密卷的情况下运行）。

　　要执行FireWire攻击（例如，盗版），需要在研究人员的PC上启动的免费工具。

　　通过内置的RAM映像工具捕获内存转储

　　可以使用托管密钥（恢复密钥）解密或装入FileVault 2，PGP和BitLocker卷。

安装步骤

　　1、用户可以点击本网站提供的下载路径下载得到对应的程序安装包

　　2、只需要使用解压功能将压缩包打开，双击主程序即可进行安装，弹出程序安装界面

　　3、同意上述协议条款，然后继续安装应用程序，点击同意按钮即可

　　4、输入对应的程序激活码：AEFSDRP-LWJQT-52698-FMNVW-84362

　　5、可以根据自己的需要点击浏览按钮将应用程序的安装路径进行更改

　　6、现在准备安装主程序，点击安装按钮开始安装

　　7、弹出应用程序安装进度条加载界面，只需要等待加载完成即可

　　8、根据提示点击安装，弹出程序安装完成界面，点击完成按钮即可

方法

　　1、程序安装完成后，先不要运行程序，打开安装包，然后将文件夹内的文件复制到粘贴板

　　2、然后打开程序安装路径，把复制的文件粘贴到对应的程序文件夹中替换源文件

　　3、完成以上操作步骤后，就可以双击应用程序将其打开，此时您就可以得到对应程序

使用说明

　　完全解密，即时挂载或攻击

　　借助对加密卷和加密设置的全自动检测，专家只需提供通往加密容器或磁盘映像的路径。

　　Elcomsoft法医磁盘解密器将自动搜索，识别和显示加密卷及其相应加密设置的详细信息。

　　通过解密加密卷的全部内容或通过以未加密，未加密模式将卷安装为驱动器号来提供访问。

　　两种操作都可以将卷作为附加磁盘（物理或逻辑）或原始映像进行；

　　对于FileVault 2，PGP和BitLocker，可以使用恢复密钥（如果有）执行解密和挂载。

　　完全解密

　　Elcomsoft取证磁盘解密器可以自动解密加密容器的全部内容，从而为调查人员提供对存储在加密卷上的所有信息的完全不受限制的访问权限

　　实时访问加密信息

　　在实时模式下，Elcomsoft法医磁盘解密器将加密的卷作为新的驱动器号安装在研究者的PC上。

　　在这种模式下，法医专家可以快速，实时地访问受保护的信息。

　　从安装的磁盘和卷中读取的信息会实时进行实时解密。

　　没有解密密钥和恢复密钥？

　　如果解密密钥和恢复密钥均不可用，则Elcomsoft法医磁盘解密器将提取必要的元数据，以使用Elcomsoft分布式密码恢复对密码进行暴力。

　　可以利用一系列高级攻击（包括蛮力攻击）来攻击纯文本密码，从而保护加密容器，其中包括字典，掩码和置换攻击。

　　访问信息存储在流行的加密容器中

　　ElcomSoft为研究人员提供了一种快速，简便的方法来访问由BitLocker，FileVault 2，PGP，TrueCrypt和VeraCrypt创建的加密容器中存储的加密信息。

　　获取加密密钥

　　至少有三种不同的方法来获取解密密钥。三种方法之一的选择取决于所分析PC的运行状态。它还取决于是否可以在正在调查的PC上安装取证工具。

　　如果正在调查的PC已关闭，则可以从休眠文件中检索加密密钥。必须在计算机进入睡眠状态之前安装加密卷。如果在休眠之前卸装了卷，则可能无法从休眠文件中获取加密密钥。

　　如果打开了PC，则在允许安装这种工具的情况下，可以使用内置的内存映像工具捕获内存转储（例如，PC已解锁并且当前登录的帐户具有管理权限）。采集时必须安装加密的卷。

　　最后，如果被调查的PC已打开，但无法安装取证工具（例如PC被锁定或登录帐户缺乏管理权限），则可以通过FireWire端口执行DMA攻击以获得内存转储。 。此攻击需要使用免费的第三方工具，并且由于实施了实现直接连接的FireWire协议而提供了近100％的结果。内存访问。目标PC和用于采集的计算机都必须具有FireWire（IEEE 1394）端口。

　　一旦获取了原始加密密钥，Elcomsoft取证磁盘解密器将存储密钥以供将来访问，并提供了一个选项，可以解密加密容器的全部内容，或者将受保护的磁盘挂载为另一个驱动器号以进行实时访问。

　　支持的磁盘加密工具

　　Elcomsoft取证磁盘解密器可与由当前版本的BitLocker，FileVault 2，PGP，VeraCrypt和TrueCrypt创建的加密卷配合使用，包括使用BitLocker To Go加密的可移动和闪存存储介质。支持PGP加密的容器和全盘加密，VeraCrypt和TrueCrypt系统以及隐藏磁盘