Elcomsoft Forensic Disk Decryptor是一款集成的工具,旨在帮助用户实时访问存储在加密的BitLocker、FileVault 2、PGP、TrueCrypt和VeraCrypt容器中的数据。它能够通过提取RAM捕获、休眠和页文件的密码学密钥,或利用明文密码或escrow密钥来解密加密容器中的文件和文件夹,或将加密卷挂载为新的驱动器字母,以实时访问数据。
1. 内存成像工具:内置法医级的内存成像工具,可以通过零级访问计算机的易失性内存,创建最完整的内存图像。
2. 多种加密卷支持:支持多种加密卷和磁盘,包括BitLocker、FileVault 2、PGP、TrueCrypt和VeraCrypt。
3. 完全解密与实时访问:提供完全解密加密容器的整个内容,或将加密卷挂载为新的驱动器字母,以实时访问保护信息。
4. 便捷的恢复密钥和二进制密钥使用:支持使用卷的明文密码、escrow或恢复密钥,以及从计算机的内存图像或休眠文件中提取的二进制密钥来访问加密卷。
5. 多种解密方法:如果没有解密密钥或恢复密钥,可以提取元数据进行暴力破解密码。
1. EnCase .E01支持和便携版本:现在完全支持EnCase .E01格式的映像,并且可以创建便携式安装在用户提供的USB闪存驱动器上。
2. 更多的解密选项:通过恢复密钥或从计算机的内存图像或休眠文件中提取的二进制密钥,进行解密和挂载。
1. 内存成像:使用内置的法医级内存成像工具通过零级访问创建计算机的易失性内存图像。
2. 添加加密卷:为程序提供加密容器或磁盘映像的路径,它将自动搜索、识别和显示加密卷及其相应的加密设置。
3. 选择解密或挂载:选择完全解密加密容器的整个内容,或将加密卷挂载为新的驱动器字母,以实时访问保护信息。
4. 恢复密钥和二进制密钥使用:如果可用,使用卷的明文密码、escrow或恢复密钥,以及从计算机的内存图像或休眠文件中提取的二进制密钥来访问加密卷。
1. 系统兼容性:确保您的操作系统版本与Elcomsoft Forensic Disk Decryptor的要求相匹配。
2. 加密卷的备份:在进行解密操作前,建议备份加密卷,以防止任何可能的数据损失。
3. 权限:确保您具有访问和解密目标加密卷所需的所有必要权限。
4. 密码保护:请注意,如果没有恢复密钥,可能需要暴力破解密码,这可能会消耗大量时间和资源。