麦克雷
标题:
数据取证:关于解密,ElcomSoft 移动设备与计算机综合解决方案
[打印本页]
作者:
user111
时间:
昨天 15:29
标题:
数据取证:关于解密,ElcomSoft 移动设备与计算机综合解决方案
天津鸿萌科贸发展有限公司从事数据安全服务二十余年,致力于为各领域客户提供专业的数据恢复、数据备份解决方案与服务,并针对企业面临的数据安全风险,提供专业的相关数据安全培训。
天津鸿萌科贸发展有限公司是 ElcomSoft 系列数据取证及恢复软件的授权中国代理商。
ElcomSoft 取证工具仅提供给取证机构及合法数据恢复任务。
关于密码
自密码保护发明以来,密码丢失一直是个问题,软件开发人员解决这个问题也有一段时间了。目前市场上有多种软件密码恢复解决方案。首先让我们来研究一 下使用的不同类型的密码,以及在搜索密码时哪些额外信息可能有用。然后我们再来看看有些软件是用什么方法来解决密码丢失问题的。
一般来说,密码可以包括以下符号:26 个小写字母(a 到 z)、26 个大写字母(A 到 Z)、 10 个数字(0 到 9)和 33 个其他符号(!@#$%^ 等)--这样就有 95 个符号可以任意组合 使用。在某些情况下,其他特殊符号被排除在外,这就减少了密码的可能变化。密码单词也 可以有不同的长度,这在密码只能通过扫描识别、无法恢复或删除的情况下可能是一个关键 因素。
此外,人类心理学知识实际上也可以在密码时提供很大帮助。尽管有许多旨在加强密码保护 的限制措施(最短密码长度和定期更改密码),但许多用户仍无视基本的安全规则,再次证 明了上文提到的 "最薄弱环节 "的动态性:人为因素。
大多数密码都是由用户母语或已知语言的文字和符号组成的。这些文字通常与用户的个人生 活有某种联系:出生年份、宠物的名字、电话号码或银行卡号等。新密码可能只是对旧密码 的细微修改。大多数用户都是这样处理更改密码的问题的,而公司的安全政策通常也要求更 改密码。还有一点很重要:人们经常把密码清单放在办公桌上,或把密码存放在电脑上的一 个单独文件中,这完全违背了密码保护的初衷。
因此,只要知道密码的基本要求(允许使用的符号和要求的长度),并对用户稍加了解,就 能非常容易地确定未知密码。专门的密码恢复软件所使用的技术就涉及到这类信息的应用。
现有的破解方法
如今,利用软件搜索密码的主要方法包括:简单扫描、掩码扫描、字典攻击、加密密钥扫描 (这里的变化可能比暴力扫描少)和所谓的彩虹攻击。在某些情况下,还会对文件进行其他类型的访问恢复,如所谓的明文攻击(基于已知内容)。让我们来详细了解一下这些方法。
暴力
暴力法非常简单:程序会尝试所有可能的符号组合,以找出正确的密码。搜索可以受到一些限制,例如指定密码中的符号数量、定义允许的符号类型(字母、数字、其他符号),甚至指定密码中的第一个符号。
使用暴力恢复丢失的密码需要多长时间?这完全取决于密码的长度、使用的不同符号、计算机的性能以及受密码保护的文件类型。
当然,也有可能密码很快就能被识别出来,而且不需要测试所有可能的组合。但你不应该指望它。如果使用普通电脑,可能真的需要数年时间。暴力法是最耗费人力的方法,因此我们建议只有在别无他法的情况下才采用这种方法。
掩码扫描
如果您是创建密码的人,那么通过大幅缩小搜索参数的范围,总有机会使用密码掩码恢复密码。您可能还记得密码单词的长度或密码中使用的特定符号。任何信息都会有所帮助。
例如,假设您知道自己只使用了数字和小写字母。这意味着你可以将其他特殊符号和大写字母排除在搜索范围之外。如果知道任何符号在密码中的位置,也会有所帮助。例如,如果知道密码中有 10 个符号,第一个符号是字母 "a",最后四个符号是 2007,那么就可以输入 "a?????2007 "作为搜索模板。未知符号用问号表示。
使用掩码意味着软件将尝试更少的可能组合,这显然意味着找到正确密码所需的时间将减少。
不幸的是,很少有人知道密码的这些细节,这就是为什么用户往往无法使用掩码扫描的原因。
词典攻击
假设您掌握了一些关于密码中可能使用的单词或名称的信息。在这种情况下,您可以使用字典搜索。
事实上,用户经常在密码中使用一些常用词。通常,这些词包括"尤其是因为与字母和数字的 随机组合相比,这种密码似乎更容易记住。事实上,忘记这类密码也同样容易;不过,这类密码相对容易恢复。
但是,从哪里可以获得这种词典(或者更准确地说,单词表)呢?它可能包含在软件程序中 。还有就是网络以及用户自己编制的列表。
这些方法的优势显而易见。用户作为密码输入的单词列表非常有限,通常不会超过 10 万个 。现代计算机处理 10 万个变体完全没有问题。这种方法应该在其他方法之前进行尝试--也许就会成功。
彩虹攻击
正如我们将看到的,恢复密码的最关键因素是需要多长时间。我们已经确定,使用简单的暴力扫描可以验证每一个可能的变体,但对于复杂的密码组合来说,这种方法太耗时了。如果需要花费数月或数年的时间才能想出密码,那么这种方法对大多数人来说都是不可行的。
这正是发明彩虹攻击的原因。这种方法基于使用预计算来搜索密码。这并不是第一次有人想 到用预先计算和预先制作的查找表来代替耗费 CPU 资源的典型搜索。查找表适用于从内存 中提取数据比创建数据容易得多的情况。
彩虹攻击使用的是针对特定符号序列预先计算出的潜在密码变化结果。在使用暴力破解一个密码所需的时间内,我们可以获得表格,从而以极高的概率从测试范围内找到任何密码,速度要快数千倍。
彩虹表的大小比一般查找表要小得多,从几兆字节减少到几千兆字节。彩虹表的缩小是通过 恢复数据访问密码的简单方法 白皮书 9 优化实现的。为了公平起见,应该说使用这种方法恢复密码所需的时间会增加,而密码识别 的概率会降低,但结果是值得。例如,如果使用七位字母数字符号表(创建该表需要一周时 间),彩虹攻击可以在 20-30 秒内帮助还原几乎所有由七位字母数字符号组成的密码。而直 接输入不同的组合则需要 24 小时以上。优势显而易见。
由于编制这些表格会大大提高这些程序的价格,因此彩虹攻击主要应用于企业解决方案中。同样重要的是要记住,使用彩虹攻击恢复密码的概率比使用其他更常用的方法要低。但这就是速度的代价。
正确的选择
毫无疑问,购买快速找回密码的软件是有意义的--每个系统管理员都应该在自己的工具库中配备这种工具。
在市场上寻找密码恢复解决方案时,您应该注意什么?
首先,制造商宣称的密码恢复概率是多少?这是判断解决方案是否有效的关键标准之一,毕 竟这才是你购买它的目的。成功几率取决于受密码保护文档类型和计算机性能。此外,用户正变得越来越谨慎,并正在创建更好的密码。您应该期望看到大约 80% 的成功率。不过, 对于某些类型的密码和文档,软件开发商可能会保证 99% 的概率。
其次,确保查看产品支持的、应用程序版本、文件格式、语言支持和编码支持。很难预测什 么版本的 Microsoft Word 或 Adobe Acrobat 会给你带来密码恢复难题,更不用说字符集了( 比如汉字或阿拉伯文字)。此外,还要了解为新版本应用程序提供支持的速度。如果一个软 件解决方案不支持 Office 2007,那么它可能会变得毫无用处。没有时间等待了。
另一个需要注意的地方是密码恢复的速度。当然,速度可能因电脑性能而异,但一般制造商 都会提供平均数据。重要的是要知道自己的预期:几分钟、几天、几周还是几个月?
最后但并非最不重要的一点是,软件是否允许您组织分布式密码恢复?这种方法涉及劳动密 集型计算任务,需要利用整个计算机群(包括本地网络和远程计算机)的力量。它也用于密 码恢复。虽然在普通计算机上可以快速恢复某些文档和应用程序的访问权限(如本地存储的 ICQ 或 GoogleTalk 密码),但仅靠一台计算机的资源不足以恢复其他密码--无论需要多长时 间。例如,PGP 密码构造精巧,只有使用分布式密码恢复才能恢复。
这些是选择密码恢复软件解决方案的主要标准。
ElcomSoft 综合解决方案
ElcomSoft 是密码/系统恢复领域的全球领先企业,为客户提供适用于任何系统的全套解决方案,从办公应用程序、即时通讯工具、Windows 和存档以及 iOS 设备的密码。独一无二的技术和在密码学领域积累了多年经验的专家团队是 ElcomSoft 开发高端密码恢复 软件产品的基础。根据密码长度、复杂程度和应用中使用的加密技术,恢复概率绝不会低于 80%。在大多数情况下,都能保证 100% 的恢复率。从可能需要恢复遗忘的 ICQ 密码的家庭用户,到可能需要重新设置 Windows 系统密码、恢复访问加密的 Microsoft Office 文档或删除 Adobe Acrobat 中的限制的大型企业客户,所选 择的产品可满足任何客户的需求。将所有这些独立的功能集于一身,用户可以同时访问多个 产品,而且价格合理。为了在合理的时间内恢复大量文件的密码,包括长而复杂的密码,还为本地和远程资源提供了分布式计算功能。
ElcomSoft 系列工具:
Advanced Archive Password Recovery Professional Edition高级压缩文件密码恢复工具 进入受密码保护的 ZIP、7Zip 和 RAR 存档文件。彻底的低级优化有助于更快地完成工作。保证在一小时内恢复某些类型的存档。恢复保护加密的 ZIP、7Zip 和 RAR 存档的密码已知明文攻击,并保证某些类型的存档的一小时恢复全面优化,提供一流的性能支持最新 ZIP、7Zip 和 RAR 格式的 AES 加密支持:ZIP/PKZip/WinZip、7Zip、RAR/WinRAR、ARJ/WinARJ、ACE/WinACE (1.x)、AES 加密、自解压存档、字典和暴力攻击。
Advanced EFS Data Recovery Professional Edition高级 EFS 数据恢复工具 破解 NTFS 加密并解密受 Windows 中加密文件系统 (EFS) 保护的文件。通过攻击加密文件系统 (EFS) 来破坏 NTFS 加密解密转移到其他域的用户的文件、已删除的帐户和离线磁盘如果系统分区已格式化,则恢复加密文件使用低级别磁盘扫描搜索加密密钥帮助分析已删除的数据支持:从 Windows 2000 到 Windows 10 的所有消费者和服务器版本的 Windows、NTFS、加密文件系统 (EFS)、已删除的用户
Advanced Intuit Password Recovery高级 Intuit 密码恢复工具 解锁受密码保护的 Intuit、Quicken 和 QuickBooks 文档。使用 GPU 辅助攻击恢复原始 Quicken 密码通过重置密码立即解锁QuickBooks文件支持所有语言和编码的文档和密码恢复本地化和国际版本的密码支持:Quicken 2006 至 2022、QuickBooks 2006 至 2023、Quicken 和 QuickBooks 的大多数非美国版本,以及大多数国际版本;直觉加快。QDF,QuickBooks。PB6型
Advanced Office Password Recovery Forensic Edition高级 Office 密码恢复工具 恢复、删除或规避密码,保护使用各种办公套件创建的文档。破解WordPerfect,Lotus,OpenOffice,Apple iWork和Hangul Office格式的Microsoft Office文档和文件的密码。破解所有相关办公文档的密码市面上最快的办公恢复工具,得益于低级优化和 GPU 加速利用 Office 系列中所有已知的后门和技巧进行即时恢复多个显卡完成工作的速度比单独使用 CPU 快 200 倍将暴力破解、字典攻击和高级攻击结合到一个简单的工作流程中保证恢复受 40 位加密保护的旧版 Word 和 Excel 文档支持:所有版本的Microsoft Office,OpenOffice,WordPerfect Office,Lotus SmartSuite,Hangul Office,Apple iWork,使用AMD和NVIDIA显卡的GPU加速,异构计算
Advanced PDF Password Recovery Enterprise Edition高级 PDF 密码恢复工具 立即解锁 PDF 限制,并启用锁定的 PDF 文件的编辑、打印和复制。通过可配置的攻击恢复原始 PDF 密码。使用获得专利的 Thunder Tables 技术在一分钟内破解 40 位加密。解锁 PDF 限制(编辑、打印和复印)使用 Thunder Tables 在一分钟内破解 40 位加密使用可配置的攻击恢复原始纯文本密码解密使用 40 位、128 位 RC4 和 256 位 AES 加密加密的 PDF 文档支持:Adobe PDF、40 位和 128 位 RC4 加密、128 位和 256 位 AES 加密、具有打印、复制和编辑限制的 PDF。
Advanced SQL Password Recovery高级 SQL 密码恢复工具 即时访问受密码保护的 SQL Server 数据库 - 保证!更改以 Microsoft SQL Server 格式保护数据库的任何用户或管理密码。即时重置密码以保护 Microsoft SQL Server 数据库任何语言和编码的密码自动备份原始数据库保证对支持的数据库格式进行密码重置支持:所有版本的 Microsoft SQL Server,master,.mdf
Advanced Sage Password Recovery高级 Sage 密码恢复工具 在Sage 50 (Peachtree)Accounting 中查看用户和管理员密码,并即时访问受密码保护的ACT!文档。在本地或远程恢复或替换保护使用 ACT!软件套件创建的 BLB、MUD 和 ADF/PAD 文件的密码。立即访问密码,保护所有版本的ACT保存的文档!在Sage 50 (Peachtree)Accounting 中查看用户和管理员密码恢复或重置 BLB、MUD 和 ADF/PAD 文件的密码将用户帐户从“限制”升级为“管理”支持:ACT!高级版、Sage 50 (Peachtree) Accounting Pro、Complete、Premium 和 Quantum 版本;Sage 50 (Peachtree) Accounting;Sage 50cloud 账户、Sage 50 Accounting 和 Sage 50 Complete Accounting; Sage 即时账户,Sage Simply Accounting
Elcomsoft Cloud eXplorerElcomsoft 云端取证工具 从您的 Google 帐号中提取所有内容。下载用户的位置记录、文件和文档、通讯录、环聊消息、Google Keep、Chrome 浏览记录、搜索记录和页面过渡、日历、图像等等。从Google帐户下载完整的数据集提取的信息比通过 Google 导出获得的信息多得多无需密码即可进行身份验证并绕过双因素身份验证使用内置查看器搜索、过滤和分析信息访问用户密码、浏览历史记录、联系人、位置历史记录、电子邮件等等从 Google 云端硬盘获取文件和文档支持:Google 帐户、无线获取、双因素身份验证、内置查看器、Windows 和 Mac 版本
Elcomsoft Dictionaries Elcomsoft 字典
Elcomsoft Distributed Password RecoveryElcomsoft分布式密码恢复工具 破解复杂的密码,恢复强加密密钥,并在生产环境中解锁文档。破解 300 多种数据类型的密码异构 GPU 加速,每台计算机具有多个不同的视频卡通过硬件加速将工作速度提高 50 到 250 倍线性可扩展性,带宽要求低,在多达 10,000 台计算机上实现零开销远程部署和控制台管理支持:所有版本的Microsoft Office,OpenOffice,ZIP / 7zip / RAR / RAR5,PDF,BitLocker / LUKS / LUKS2 / PGP / TrueCrypt / VeraCrypt / FileVault 2 / BestCrypt。支持 300 多种格式。
Elcomsoft Explorer for WhatsApp Standard EditionWhatsApp 取证工具标准版 从多个来源获取和分析 WhatsApp 通信历史记录。从具有和没有root访问权限的Android手机中提取WhatsApp数据库,从Google云端硬盘和iCloud Drive下载WhatsApp备份,或从本地和云iOS系统备份中提取。包括适用于 iOS 和 Android 的 WhatsApp 采集和提取工具支持 Android 和 iOS 上的常规 WhatsApp 以及 Android 版 WhatsApp Business带有内置查看器从物理设备、备份、Google 和 Apple 云服务中提取自动解密、搜索和过滤一体化工具,提供所有相关的本地和云采集工具支持:WhatsApp数据库和备份,带和不带root的Android设备,iOS系统备份(本地和云),独立的WhatsApp备份(Google Drive,iCloud Drive)
Elcomsoft Forensic Disk DecryptorElcomsoft 取证磁盘解密器 即时访问存储在加密的 BitLocker、FileVault 2、PGP Disk、TrueCrypt 和 VeraCrypt 磁盘和容器中的数据。该工具从 RAM 捕获、休眠和页面文件中提取加密密钥,或使用纯文本密码或托管密钥来解密存储在加密容器中的文件和文件夹,或将加密卷挂载为新的驱动器号,以便即时、实时访问。解密 BitLocker、BitLocker To Go、FileVault 2、PGP 磁盘、TrueCrypt 和 VeraCrypt 卷和容器从RAM捕获、休眠和页面文件、托管和恢复密钥中提取加密密钥快速、零占地面积的操作即时将加密容器挂载为驱动器号使用内核级工具捕获计算机易失性内存的内容从 TrueCrypt、VeraCrypt、BitLocker、FileVault、PGP 磁盘和 LUKS/LUKS2 加密磁盘、Jetico BestCrypt 磁盘和容器中提取加密元数据支持:BitLocker(包括 TPM 配置)、FileVault 2(包括 APFS 卷)、LUKS、PGP 磁盘、TrueCrypt 和 VeraCrypt 加密容器和全磁盘加密、BitLocker To Go、XTS-AES BitLocker 加密、Jetico BestCrypt、RAM 转储、休眠文件、页面文件
Elcomsoft Internet Password Breaker Standard EditionElcomsoft互联网密码破解器标准版 从流行的 Web 浏览器和电子邮件客户端中即时提取密码、存储的表单和自动完成信息。查看单个密码,将所有数据导出到文本文件中或构建完美的自定义词典,以加快使用其他工具执行的密码恢复攻击。从所有流行的 Web 浏览器中提取密码和自动完成表单查看单个密码或将所有内容导出到文本文件中构建自定义字典,并在攻击加密密码时实现高达 70% 的成功率恢复各种在线服务的登录名和密码信息支持:Google Chrome、Microsoft Internet Explorer、Microsoft Edge Chromium、Microsoft Edge Legacy、Apple Safari、Mozilla Firefox、腾讯 QQ 浏览器、UCWeb UC 浏览器、奇虎 360 安全浏览器、Opera、Tor 和 Yandex 浏览器、POP3、IMAP、SMTP 和 NNTP 密码、Microsoft Outlook、Outlook Express、Windows Mail 和 Windows Live Mail、Thunderbird。
Elcomsoft Password Digger Standard EditionElcomsoft 密码挖掘器 只需点击几下,即可解密存储在 macOS (OS X) 钥匙串中的信息,并为密码恢复工具构建自定义词典。提取、解密和导出系统内容和所有用户钥匙串使用用户的真实密码构建自定义词典,以改善密码恢复攻击使用提取的Apple ID密码下载iCloud备份(使用Elcomsoft Phone Breaker)与使用 Apple Keychain Access 相比节省时间将完整的钥匙串数据导出到未加密的 XML 文件中支持:所有版本的macOS,包括最新版本;macOS (OS X) 钥匙串、Wi-Fi 密码、Apple ID 密码、iTunes 备份密码、AirPort 和 TimeCapsule 密码、网站和帐户密码、VPN、RDP、FTP 和 SSH 密码、邮件帐户(包括 Gmail 和 Microsoft Exchange)密码、网络共享密码、iWork 文档密码
Elcomsoft Phone Breaker Forensic EditionElcomsoft 手机密码破解器取证版 对iOS设备进行逻辑和无线采集,闯入加密备份,从Apple iCloud获取和分析备份,同步数据和密码。破解密码并使用 GPU 加速解密 iOS 备份使用 iCloud 中的媒体文件和文稿解密 iCloud 钥匙串和信息从 Apple 和 Microsoft 帐户获取同步数据下载iCloud备份和同步数据,无论是否使用Apple ID密码支持:本地iOS备份(iTunes);iCloud 和 iCloud 云盘备份;iCloud同步数据(通话记录,照片,浏览历史记录等)Microsoft 帐户(具有有效的身份验证凭据);iCloud 认证令牌。
Elcomsoft Phone Viewer Forensic EditionElcomsoft手机查看器取证版 使用快速、轻量级的查看器分析使用 ElcomSoft 和第三方采集工具提取的信息。轻松解密和查看 iOS 备份和同步数据、浏览 iOS 文件系统映像、分析 iCloud 照片库并访问同步数据。轻量级取证查看器分析ElcomSoft采集工具提取的数据导出证据以在第三方工具中继续分析查看其他取证工具中不可用的信息支持:本地iOS备份(iTunes),iCloud备份,iOS同步数据,iOS完整文件系统映像。
Elcomsoft System Recovery Professional EditionElcomsoft系统恢复专业版 在所有版本的 Windows 中重置或恢复本地 Windows 帐户和 Microsoft 帐户的密码。为任何用户帐户分配管理权限、重置过期密码或导出密码哈希以进行脱机恢复。创建取证磁盘映像。随附可启动的 Windows PE 环境。执行法医声音提取重置 Windows 帐户的密码从 TrueCrypt、VeraCrypt、Bitlocker、FileVault (HFS+/APFS)、PGP 磁盘、LUKS 和 LUKS2 加密磁盘中提取加密元数据创建取证磁盘映像恢复本地帐户、Microsoft 帐户和 Wi-Fi 网络的密码自定义的 Windows PE 环境,具有广泛的硬件兼容性和真正的原生 FAT 和 NTFS 支持支持:Windows 7、8、8.1、Windows 10、Windows 11;Windows Vista、Windows XP、Windows 2000、Windows NT;所有相关的 Windows Server 版本;32 位和 64 位系统;具有 32 位和 64 位 UEFI 和旧版 BIOS 配置的 Windows PE;熟悉的 Windows GUI;SAM/SYSTEM 和 Active Directory
Elcomsoft Wireless Security Auditor Professional EditionElcomsoft 无线安全审计员专业版 通过运行备受瞩目的定时攻击来审核无线网络的安全性。使用专用或通用 Wi-Fi 适配器来嗅探无线流量并破解 WPA/WPA2 密码。GPU 加速的对 WPA/WPA2 密码的字典攻击通过定时攻击探测 Wi-Fi 环境的安全性内置 Wi-Fi 嗅探器,使用 AirPCap 和通用 Wi-Fi 适配器拦截有限的 Wi-Fi 流量,继续离线工作支持:WPA 和 WPA2-PSK 密码、AirPCap 和通用 Wi-Fi 适配器、使用消费级显卡的 GPU 加速。
Elcomsoft iOS Forensic ToolkitElcomsoft iOS 取证工具包 执行 iPhone、iPad 和 iPod Touch 设备的完整文件系统和逻辑采集。对设备文件系统进行镜像,提取设备密钥(密码、加密密钥和受保护的数据)并解密文件系统镜像。完整的文件系统提取和钥匙串解密逻辑采集提取备份、崩溃日志、媒体和共享文件传统设备的密码解锁和物理获取提取和解密受保护的钥匙串项目通过修改的引导加载程序对选定的 iPhone 和 iPad 型号进行可重复的取证声音提取自动禁用屏幕锁定,实现流畅、不间断的采集支持:所有世代的 iPhone、iPad、iPad Pro 和 iPod Touch,第一代 HomePod;Apple Watch 和 Apple TV 4 和 4K;从 iOS 3 到 iOS 17 的所有 iOS 版本
Proactive Password Auditor 20 user accounts主动密码审核员 20 用户账户 通过对帐户密码进行定时攻击来审核安全策略、检查网络安全并恢复帐户密码。通过执行网络安全审核来确定公司网络的安全性测试保护用户帐户的密码强度暴露弱帐户密码使用暴力破解、字典或掩码从网络内部或外部执行攻击使用 Rainbow 攻击在几分钟内从内部恢复高达 95% 的密码支持:网络密码、用户账号密码;暴力攻击、字典攻击和预先计算的哈希表攻击;联机和脱机恢复
欢迎光临 麦克雷 (http://imac.ly/)
Powered by Discuz! X3.5