Программа Elcomsoft Forensic Disk Decryptor предназначенна для криминалистической экспертизы


ElcomsoftКомпания "Элкомсофт" выпустила программу Elcomsoft Forensic Disk Decryptor, предназначенную для криминалистической экспертизы криптоконтейнеров BitLocker, PGP и TrueCrypt. Поддерживаются фиксированные и портативные носители, включая PGP в режиме шифрования всего диска, а также съёмные диски, защищённые с помощью BitLocker To Go. С помощью Elcomsoft Forensic Disk Decryptor можно полностью расшифровывать содержимое защищённого тома, а также работать в реальном времени с подключением зашифрованных томов и расшифровкой выбранных данных "на лету".

Программа извлекает ключи шифрования тремя методами:

  1. Из дампа оперативной памяти. Все ключи извлекаются единовременно, даже при наличии в системе более одного криптоконтейнера. Дамп оперативной памяти может быть создан с помощью соответствующих криминалистических продуктов, например, MoonSols Windows Memory Toolkit. Зашифрованные тома в момент снятия слепка должны быть подключены, в противном случае ключ расшифровки извлечь не удастся.

  2. Анализ файла гибернации (исследуемый компьютер выключен). Защищённые тома должны быть подключены перед выключением компьютера. Если криптоконтейнер был размонтирован перед созданием файла гибернации, извлечь из него ключи будет невозможно.

  3. Атакой через порт FireWire - если у Вас не хватает прав для снятия дампа памяти или запуска программ на анализируемом компьютере. Для проведения атаки через порт FireWire требуется дополнительный компьютер с установленным бесплатным продуктом (например, Inception). Такая атака даёт практически стопроцентный результат, но опять же, зашифрованные тома должны быть подключены в момент анализа.

Elcomsoft Forensic Disk Decryptor

Если удалось извлечь ключи шифрования, то с их помощью расшифровка информации на носителе осуществляется в реальном времени — практически мгновенно.

В режиме работы в реальном времени доступ к данным предоставляется мгновенно. Криптоконтейнер монтируется в системе как новый диск, после чего можно извлечь данные с помощью стандартного "Проводника" или любого другого инструмента для работы с файлами. Информация при этом расшифровывается "на лету", в процессе чтения данных.

Поддерживаемые операционные системы:

  • Windows 7 (32 / 64 bit);
  • Windows Vista (32 / 64 bit);
  • Windows Server 2003/2008.

Обновлено (13.01.2013 03:04)