Desktop-Forensik mit ElcomSoft System Recovery
Auffinden verschlüsselter virtueller Maschinen
ElcomSoft hat seine Lösung System Recovery aktualisiert, ein bootfähiges Tool zum Entsperren von Windows-Konten, für den Zugriff auf verschlüsselte Volumes und zum Entsperren verschlüsselter virtueller Maschinen. Die neuen Funktionen sollen Ermittlern helfen, verschlüsselte virtuelle Maschinen zu finden und Festplatten durch Booten von einem USB-Laufwerk abzubilden.
In der Welt der High-Tech-Kriminalität sind verschlüsselte virtuelle Maschinen ein oft verwendetes Verschleierungstool. Die manuelle Identifizierung solcher virtueller Maschinen kann ein aufwändiger manueller Prozess sein. ElcomSoft System Recovery 7.07 vereinfache diesen Vorgang, indem es verschlüsselte virtuelle Maschinen in den meisten gängigen Formaten automatisch erkennt. Sobald eine passwortgeschützte virtuelle Maschine gefunden ist, extrahiere das Tool die erforderlichen Verschlüsselungs-Metadaten, um nachfolgende Angriffe auf das Passwort mit Distributed Password Recovery zu ermöglichen.
Aus einer Reihe von Gründen arbeiten Experten, die digitale Vorfälle untersuchen, mit Festplattenabbildern anstelle physischer Festplatten. Beim bisher gängigen Arbeitsablauf erfolgt die Herausnahme der Festplatten vor dem Festplatten-Imaging, was die Untersuchung erheblich verlängern kann. Mit System Recovery ist eine einfache Erstellung von forensischen Disk-Images möglich, indem eine Abbildung der Festplatten des Verdächtigen erfolgt, ohne sie vom Computer zu entfernen, so ElcomSoft.
System Recovery 7.07 bietet eine Vielzahl von Funktionen, die die Wiederherstellung verschiedener Passwörter effizienter gestaltet. Die neue Version könne Sicherheitsfragen und -antworten sowie Passworthinweise im neuesten Format aus lokalen Windows-Konten für die nachfolgende Analyse extrahieren. Die zugrunde liegende Windows-PE-Umgebung habe man ebenfalls aktualisiert und biete die entsprechende Unterstützung für neue Hardware und Sicherheits-Updates.
Das Tool erstellt ein bootfähiges Windows-PE-Flash-Laufwerk, mit dem Experten bei Bedarf zusätzliche Treiber laden können, so ElcomSoft. Es sei mit 32-Bit- und 64-Bit-BIOS- und UEFI-Computern kompatibel, die Windows-Versionen bis einschließlich der letzten Versionen von Windows 10 und Windows Server 2019 ausführen.
Weitere Informationen finden sich unter www.elcomsoft.de.
Lesen Sie mehr zum Thema
