• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Soft Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker

Рассмотрим как работают дорогие решения для вскрытия паролей. Возможности Elcomsoft Distributed Password Recovery
29924
Рассмотрим на примере зашифрованного диска с помощью BitLocker. Нам понадобится Elcomsoft Forensic Disk Decryptor для получения данных для дальнейшего восстановления пароля

29926


29927


29928


Теперь полученный файл мы будем Атаковать программой Elcomsoft Distributed Password Recovery,
открываем полученный файл EDPR (Elcomsoft Distributed Password Recovery) мне известен пароль и по этому я оставил перебирать по маске только первый символ

29930


иконка замочка уже зелёного цвета, это значит пароль подобран, в вкладке "Результат"

29931


С этим рассмотрим еще один вариант, если есть в руках файл hiberfil.sys той системы (может там зашифрован только раздел, а не весь диск)

Выбираем

29932


29933


29934


29935


сохраняем сохраняем полученные ключи *.evk

29936


они нам понадобятся

Снова запускаем Elcomsoft Forensic Disk Decryptor

29937


29938


мы можем получить уже доступ двумя способами и с помощью ключей или сразу с помощью файла hiberfil.sys

29939


или

29940


Результат расшифрованный смонтированный диск

29941


29942


29943


И сами полученные данные

29944
 
З

Завъяронзэ

Стоит добавить о демо-режиме (иначе в статье создается впечатление, что Вы юзали действительно, оплачиваемый софт).
Про временную составляющую добавить, что дампится все очень долго.
Mod. Forensics: программы запущены не в демо режиме - полный функционал
 
Последнее редактирование модератором:
  • Нравится
Реакции: wizard76
Б

Боярский Султанат

Я не придераюсь к статье, просто эти скрины (и работа ПО) доступна в деморежиме, а из статьи - это никак не проверить "about".
Просто поверить - "не для всех", тем более в таком деле, как дать по ИБ.

Подтверждаю, что инструменты за счёт GUI/имени конторы человеческие
 

busuzima

Green Team
22.02.2019
41
16
BIT
0
это дорого стоит
Ну 599€ не так уж и много, по сравнению с тем же Burp Suite Enterprise за 3.499€.
osint меня навел, что автор "фриланс"
Тут мне кажется уместным сказать, что фриланс фрилансу рознь и некоторые фрилансеры зарабатывают очень приличные деньги. Форензика - это не сайты-визитки пилить, будучи студентом.

ТС спасибо за интересный обзор. До сих пор я даже не знал про существование этой утилиты.
 
  • Нравится
Реакции: Sunnych
P

PoliceAmin

Alexsandr Mik///// Металург (Алекс.Алекс.Мих.....)
Freelance IT
Sunnych?d?d?d?d
www.facebook.com/a.a.mikhalc////

аналогично твиттер/скайп/фэйсбук/телеграм/Линкендин - все открыто
Огорчен в ......х
Характер має виважений, спокійний. Серед співробітників

Работал в не менее чем в 10 компаниях от шин до codeby
Пробовал даже в Ютубе раскрутиться

Увлекается форензикой, но не федерал.

OSINT ошибся?

Про статью я написал свое отношение и флудом не занимаюсь "демка использоваться может, доказательств нет"
 
  • Нравится
Реакции: Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 449
BIT
28
да OSINT ошибся, так как уже есть, фото и новость с тем где и кем тружусь (в общем доступе), так что OSINT не панацея, по этому фотами даю понять ;-)
Увлекается форензикой
Не совсем увлекаюсь форензикой - непосредственно работаю в этом направлении ;-)
И Вы правы, "Freelance IT" оставил как хлеб насущный, по этому везде и указано ;-)
Про статью я написал свое отношение и флудом не занимаюсь "демка использоваться может, доказательств нет"
Ни в коем случае - не думайте что это был упрек, просто слишком большое внимание уделили моей персоне, а хочется больше по делу ;-)
 
  • Нравится
Реакции: Valkiria

hrom1383

New member
13.03.2024
1
0
BIT
5
Рассмотрим как работают дорогие решения для вскрытия паролей. Возможности Elcomsoft Distributed Password Recovery
Рассмотрим на примере зашифрованного диска с помощью BitLocker. Нам понадобится Elcomsoft Forensic Disk Decryptor для получения данных для дальнейшего восстановления пароля

Посмотреть вложение 29926

Посмотреть вложение 29927

Посмотреть вложение 29928

Теперь полученный файл мы будем Атаковать программой Elcomsoft Distributed Password Recovery,
открываем полученный файл EDPR (Elcomsoft Distributed Password Recovery) мне известен пароль и по этому я оставил перебирать по маске только первый символ

Посмотреть вложение 29930

иконка замочка уже зелёного цвета, это значит пароль подобран, в вкладке "Результат"

Посмотреть вложение 29931

С этим рассмотрим еще один вариант, если есть в руках файл hiberfil.sys той системы (может там зашифрован только раздел, а не весь диск)

Выбираем

Посмотреть вложение 29932

Посмотреть вложение 29933

Посмотреть вложение 29934

Посмотреть вложение 29935

сохраняем сохраняем полученные ключи *.evk

Посмотреть вложение 29936

они нам понадобятся

Снова запускаем Elcomsoft Forensic Disk Decryptor

Посмотреть вложение 29937

Посмотреть вложение 29938

мы можем получить уже доступ двумя способами и с помощью ключей или сразу с помощью файла hiberfil.sys

Посмотреть вложение 29939

или

Посмотреть вложение 29940

Результат расшифрованный смонтированный диск

Посмотреть вложение 29941

Посмотреть вложение 29942

Посмотреть вложение 29943

И сами полученные данные

Посмотреть вложение 29944
Здравствуйте!
А Вы не можете помочь расшифровать зашифрованный диск (LUKS-ом).
Диск на CentOS 7
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!