Elcomsoft Forensic Disk Decryptor (EFDD) Открыть crypt файл.

Открыть запароленные крипт(crypt) файлы программой Elcomsoft Forensic Disk Decryptor

С помощью этого инструмента можно извлечь данные из зашифрованного тома диска (FileVault 2, PGP, BitLocker или TrueCrypt), используя ключ двоичного шифрования, содержащийся в ОЗУ компьютера.

    Что нового ?
  1. Извлечение ключа проанализировав файлы дампа памяти или файлы гибернации, поможет новый выпуск Elcomsoft Forensic Disk Decryptor, включая все что отсутствовало в более ранних версиях. Обычные текстовые пароли и ключи восстановления, Microsoft-подписанный инструмент визуализации RAM на уровне ядра, теперь доступна долгожданная переносная версия и поддержка стандартного снимка EnCase .E01 и зашифрованных снимков DMG. Автоматическое определение всех зашифрованных томов и предоставление подробной информации о методе шифрования, используемом для каждого тома. Запустим программу и посмотрим на примере.
  2. Обзор Elcomsoft Forensic Disk Decryptor 2.0
  3. Запустили Elcomsoft Forensic Disk Decryptor 2.0 и открываете зашифрованный диск или образ диска. EFDD сканирует диск и идентифицирует все зашифрованные тома, доступные на этом диске. Тома вместе с соответствующими настройками шифрования отображаются в главном окне, картинка ниже:
  4. Способы расшифровки:
  5. В предыдущих версиях были ограничения установкой или расшифровкой томов с помощью двоичных криптографических ключей, извлеченных из образа памяти компьютера или файла гибернации. Уязвимость в использовании паролей с открытым текстом или ключей условного депонирования для доступа к данным, хранящимся в зашифрованных контейнерах, была очень скудной.
  6. В EFDD 2.0. добавили новые способы монтирования или де шифрования зашифрованных томов. Также можно использовать двоичный криптографический ключ, если знаете пароль исходного контейнера, тогда его можно ввести для монтирования тома для его полного де шифрования или автономного анализа.
  7. Еще один способ получить доступ к зашифрованным данным это использовать ключ escrow или ключ восстановления, как их иногда называют. Клавиши Escrow предлагают резервную копию сортировки, предоставляя законному владельцу расшифровывать данные, если пароль утерян, забыт.
  8. Для зашифрованных томов BitLocker, ключ восстановления можно извлечь из Active Directory или из личных учетных записей, учетной записи пользователя Microsoft по этой ссылке: recoverykey
  9. Для де шифрования томов BitLocker ознакомитесь на официальном блоге Elcomsoft здесь и здесь. Вы также можете узнать, что изменилось в BitLocker в windows-10 November Update на сайте Microsoft.
  10. Для FileVault 2 вы можете извлечь ключ восстановления из Apple iCloud, тогда вам понадобится утилита Elcomsoft Phone Breaker.
  11. Инструмент визуализации памяти, уровня ядра. Найти ключ для открытия крипто контейнера.
  12. Изначально EFDD был сделан для сканирования энергозависимой памяти компьютера. Ниже на картинке EFDD ищет криптографические ключи, которые используются для доступа к данным хранящимся в зашифрованных контейнерах. Если будет найден криптографический ключ, тогда расшифровать контейнер не составит труда и не надо будет атак на исходный пароль обычного текста.
  13. Изначально Elcomsoft Forensic Disk Decryptor полагался на образы памяти, снятые сторонними инструментами. Версия 2.0 поставляется с уже имеющимся инструментом для обработки образа памяти в критической ситуации, который использует нулевой уровень доступа к ОЗУ компьютера. Инструмент обработки RAM включает в себя драйвер режима ядра, который несет цифровую подпись Microsoft, что полностью совместимо с 32-разрядными и 64-битными версиями Windows.
  14. Почему для устройства обработки образа, снимка, требуется драйвер уровня ядра?
  15. Потому что нужен доступ ко всем областям памяти компьютера, включая области которые активно защищены с помощью системных или сторонних антидемпинговых и антиотладочных инструментов. Некоторые утилиты, программы, сбора данных запускаются в пользовательском режиме и им запрещается доступ к определенным защищенным, как выше писал, областям в ОЗУ компьютера. ЕlcomSoft поставляется с драйвером уровня ядра, который работает в самом привилегированном «нулевом» окружении системы, имея полный и неограниченный доступ ко всем областям памяти компьютера, это круто!
  16. Драйвер с цифровой подписью Microsoft позволяет утилите, программе, быть установленным (или запущенным) на компьютере, на котором проверяется подпись драйвера. Собственно чтобы было все без ограничений во всех направлениях и областях, выражусь так.
  17. Создание портативной версии Elcomsoft Forensic Disk Decryptor 2.0
  18. Портативная версия также поддерживает снимки EnCase в стандартном формате .EO1 как и установочная, а также зашифрованные снимки DMG. Программу можно запустить на запущенных системах с USB-накопителя. Для создания портативной версии нужно установить на свой компьютер утилиту и зарегистрировать ее вашим лицензионным ключом. Далее создадите переносную версию утилиты, картинка ниже:
  19. Затем вы можете использовать новую созданную переносную версию программы для захвата энергозависимой памяти других компьютеров, монтирования, де шифрования зашифрованных томов.
  20. Если вы покупали ранее программу, тогда вы сможете бесплатно обновить до последней версии. Если вы желаете приобрести лицензию на использование Elcomsoft Forensic Disk Decryptor 2.0 тогда зайдите на официальный сайт elcomsoft и ознакомитесь с предложениями о покупки. Хороший софт всегда платный, это факт, конечно есть и исключения но их очень мало. С этой программой вы получаете хорошего помощника, который восстановит ваши файлы в случае заражения вирусами шифровальщиками. Также как выше писал если забыли или утеряли пароль к зашифрованному диску, контейнеру. Остались вопросы, с радостью отвечу в комментариях чуть ниже на этой странице.