Acceso instantáneo a los datos guardados en los contenedores cifrados BitLocker, FileVault 2, PGP, TrueCrypt y VeraCrypt. Este instrumento extre las claves de encriptación de RAM, archivos de hibernación y de paginación o usa las contraseñas simples textuales o depósitos de claves para descifrar archivos y documentos que se guardan en los contenedores cifrados, o monta volúmenes cifrados como nuevas letras de unidad para un acceso instantáneo en tiempo real.
¡Aprovecha al máximo esta herramienta!
¿Por qué elegir Elcomsoft
Forensic Disk Decryptor?
- Descifrado de volúmenes BitLocker, BitLocker To Go, FileVault 2, PGP, TrueCrypt y VeraCrypt
- Extraer claves cifradas de RAM, archivos de hibernación y de paginación, uso de depósitos de claves
- Extraer y guardar todas las claves de cifrado disponibles
- Montar de modo instantáneo los contenedores cifrados en forma de discos ordinarios
Seleccione disco o partición cifrada
Creación de un volcado de memoria
Proceso de extracción de claves
Selección de disco/partición cifrados y método de descifrado
Extraer datos para una mayor recuperación de la contraseña
Opciones de minería de claves
Con la detección totalmente automática de volúmenes cifrados y configuraciones de cifrado, los expertos solo tendrán que proporcionar la ruta al contenedor cifrado o la imagen del disco. Elcomsoft Forensic Disk Decryptor buscará, identificará y mostrará automáticamente los volúmenes cifrados y los detalles de su configuración de cifrado correspondiente.
El acceso se proporciona descifrando todo el contenido de un volumen cifrado o montando el volumen como una letra de unidad en modo desbloqueado y sin cifrar. Ambas operaciones se pueden realizar con volúmenes como discos adjuntos (físicos o lógicos) o imágenes en bruto; para FileVault 2, PGP Disk y BitLocker, el descifrado y el montaje se pueden realizar con la clave de recuperación (si está disponible).
Descifrado completo
Elcomsoft Forensic Disk Decryptor puede descifrar automáticamente todo el contenido del contenedor cifrado, proporcionando a los investigadores acceso completo y sin restricciones a toda la información almacenada en volúmenes cifrados.
Acceso en tiempo real a información cifrada
En el modo de tiempo real, Elcomsoft Forensic Disk Decryptor monta el volumen cifrado como una nueva letra de unidad en la PC del investigador. En este modo, los especialistas forenses disfrutan de un acceso rápido y en tiempo real a la información protegida. La información leída de los discos y volúmenes montados se descifra sobre la marcha en tiempo real.
¿Sin clave de descifrado y sin clave de recuperación?
Si ni la clave de descifrado ni la clave de recuperación están disponibles, Elcomsoft Forensic Disk Decryptor extraerá los metadatos necesarios para forzar la contraseña con Elcomsoft Distributed Password Recovery.
Elcomsoft Distributed Password Recovery puede atacar contraseñas de texto sin formato que protegen los contenedores cifrados con una variedad de ataques avanzados que incluyen ataques de diccionario, máscara y permutación, además de fuerza bruta.
- Al analizar el archivo de hibernación (si la PC que se analiza está apagada);
- Analizando un archivo de volcado de memoria. Se puede adquirir un volcado de memoria de una PC en funcionamiento con la herramienta de generación de imágenes de memoria incorporada.
- Al realizar un ataque FireWire (la PC que se analiza debe estar funcionando con volúmenes cifrados montados). Se requiere una herramienta gratuita lanzada en la PC del investigador para realizar el ataque FireWire (por ejemplo, Inception).
- Al capturar un volcado de memoria con la herramienta de creación de imágenes de RAM incorporada
- Servidor Windows 2008
- Windows 7 (32 bits)
- Windows 7 (64 bits)
- ventanas 8
- Windows 8.1
- ventanas 10
- Servidor Windows 2012
- Ventanas 2016
28 diciembre, 2021
- soporte agregado para Jetico BestCrypt Volume Encryption (detección y extracción de metadatos)
- soporte agregado para VeraCrypt PIM en montaje y descifrado de disco
- soporte agregado para BitLocker en Windows 11
Ventajas principales
Hay al menos tres métodos diferentes para adquirir las claves de descifrado. La elección de uno de los tres métodos depende del estado de funcionamiento de la PC que se analiza. También depende de si la instalación de una herramienta forense es posible o no en una PC bajo investigación.
Si la PC que se está investigando está apagada , las claves de cifrado se pueden recuperar del archivo de hibernación. El volumen cifrado debe montarse antes de que la computadora entre en modo de suspensión. Si el volumen se desmonta antes de la hibernación, es posible que las claves de cifrado no se deriven del archivo de hibernación.
Si la PC está encendida , se puede capturar un volcado de memoria con una herramienta de generación de imágenes de memoria integrada si se permite la instalación de dicha herramienta (por ejemplo, la PC está desbloqueada y la cuenta actualmente conectada tiene privilegios administrativos). El volumen cifrado debe montarse en el momento de la adquisición.
Finalmente, si la PC que se está investigando está encendida pero no es posible instalar herramientas forenses (por ejemplo, la PC está bloqueada o la cuenta iniciada carece de privilegios administrativos), se puede realizar un ataque DMA a través de un puerto FireWire para obtener un volcado de memoria.
Una vez que se adquieren las claves de cifrado originales, Elcomsoft Forensic Disk Decryptor almacena las claves para acceso futuro y ofrece una opción para descifrar todo el contenido del contenedor cifrado o montar el disco protegido como otra letra de unidad para acceso en tiempo real.