8 种有助于调查的最佳取证解密工具

已发表: 2022-12-16

近年来,科技突飞猛进,颠覆着各个行业和领域。 一个从技术进步中受益匪浅的领域是取证领域。

法医学是一个涉及使用科学调查犯罪以查明事情发生的原因和方式的领域。 该领域检查并提出可能在法庭上提出的证据,以帮助破案。

技术在取证中的应用催生了取证的一个分支,称为数字取证。 数字取证涉及调查和寻找存储在数字设备(例如移动电话和个人计算机)中的证据,目的是解决与计算机相关的犯罪。

为了有效地履行职责,数字取证人员面临一个主要障碍,即加密 加密是一种将数据加扰为密码以防止未经授权方访问数据的方法。 随着 AxCrypt 和 NordLocker 等加密工具以及 Windows 和 macOS 等操作系统允许用户加密其数据,数字取证从数字设备恢复数据变得更加困难。

加密工具的无处不在创造了对取证解密工具的需求。 这些是将加密数据转换回其原始人类可读形式的专用软件。 此类工具旨在帮助取证人员从数字设备中的加密文件中收集数据,以帮助调查犯罪。

使用取证解密工具的优势

以下是使用取证解密工具的一些优势:

  • 速度——取证解密工具使取证专家能够在更短的时间内解密大量数据,无论其复杂程度如何。
  • 易于使用——要解密加密数据,需要对编程、数学和密码学有深入的了解。 但是,使用解密工具,您无需成为其中任何方面的专家,因为解密工具会为您处理所有繁重的工作。
  • 更多工具供您使用 – 取证解密工具为您提供了大量工具来执行诸如分析计算机注册表、密码恢复和恢复已删除文件以及解密文件等操作。
  • 准确性——法医证据可以在法庭上受到质疑; 因此它的准确性非常重要。 取证解密工具经过大量测试,可以在解密时使用不同的算法,让您收集到非常准确的数据。
securitylocked-3

选择取证解密工具时要考虑的因素

并非所有取证解密工具都是平等的。 以下是选择取证解密工具时的注意事项:

  • GPU 加速——这需要使用计算机的图形处理单元 (GPU) 来加速密集操作的执行。 这大大减少了对大量数据执行取证解密所需的时间。
  • FDE 解密– 全盘加密 (FDE) 是一种安全机制,默认情况下使用磁盘级加密对硬盘驱动器中的所有数据进行加密,无需用户自行执行加密。 由于很多企业都使用 FDE,因此选择一款可以解密全盘加密硬盘的工具非常重要。
  • 支持的文件类型——许多文件类型,如存档文件、word文档、pdf等,都可以加密。 因此,不同的取证解密工具仅支持对特定文件类型的取证解密。 因此,在选择取证解密工具时,请了解它是否支持您要解密的文件类型。
  • 加密文件的检测——在大型系统上进行取证描述时,有时很难搜索可能包含所需信息的所有加密文件。 因此,选择一个可以检测并显示系统中所有加密文件的取证解密工具将为您节省大量时间。
  • 不可追踪性——理想的取证解密工具在解密后不应该留下任何痕迹。 目标文件应全部保持不变,不应留下任何解密活动的足迹。 这是因为调查通常受益于无法追踪,以避免引起对演习的怀疑和反制措施。 因此,无法追踪的取证解密是理想的。

目前,有很多解密工具可供对数字取证感兴趣的取证专家使用。 但是,并非所有人都具有相同的能力。

以下是可帮助您进行调查的最佳取证解密工具。

密码套件终极版

Passware Kit Ultimate 是 Passware 的最新旗舰产品,Passware 是一家为不同用户制作密码恢复和解密工具的公司。 根据他们的网站,Passware 产品被世界顶级执法机构用来破获需要解密的案件。

Youtube 视频

该解密工具具有许多使其名列榜首的功能。

  • 340 多种文件类型的密码恢复——Passware Kit Ultimate 允许您从各种文件中恢复密码,包括存档文件、比特币钱包、word 文档和 QuickBooks 等。 它甚至允许您恢复由 AxCrypt 和 VeraCrypt 等加密工具加密的密码。
  • 能够从 250 多种移动设备中提取数据和恢复密码,从 iPhone 到三星、诺基亚、华为和 LG 等流行的安卓品牌。 您甚至可以从加密的移动设备中提取数据。
  • 全盘解密 – Passware Kit Ultimate 可以使用全盘加密从驱动器中解密或恢复密码。
  • 硬件加速——Passware Kit Ultimate 允许您利用 NVIDIA 和 AMD GPU 来加速密码恢复和解密过程,让您可以在更短的时间内处理大量文件。
  • 使用 Apple T2 安全芯片解密 Mac - Passware Kit Ultimate 提供了一个附加组件,可用于使用 Apple T2 安全芯片解密 Mac。

Passware Kit Ultimate 没有免费试用,但提供 30 天的产品退款保证。

Elcomsoft 法医磁盘解密器

Elcomsoft Forensic Disk Decryptor 是一种解密工具,可让您即时访问使用 BitLocker、FileVault 2、TrueCrypt、Veracrypt 和 PGP 磁盘加密的数据。

Youtube 视频

Elcomsoft Forensic Disk Decryptor 的一些独特功能包括:

  • 零足迹操作——使用 Elcomsoft Forensic Disk Decryptor 不会留下任何解密操作足迹。 整个解密操作是不可检测的。
  • 提供对加密元数据的访问——如果您需要访问原始明文密码以访问加密数据,此功能很有用。
  • 实时访问加密信息 - Elcomsoft Forensic Disk Decryptor 进行动态解密,允许用户将加密卷安装为驱动器号并实时访问加密数据。

此外,它还提供全盘解密并自动搜索、识别和显示加密卷以及卷加密设置的详细信息。 Elcomsoft 提供法医解密器的免费试用版。

圣骑士

Paladin 取证套件是一个基于 Ubuntu 的可启动取证 Linux 发行版,可用于 32 位和 64 位计算机。 它由 SUMURI 开发,SUMURI 开发与数字证据、计算机取证和电子发现相关的软件和硬件。

Youtube 视频

一旦用户启动 Paladin 取证套件,他们就可以访问 100 多个预编译的开源取证工具来执行范围广泛的任务,例如解密、硬件分析、信使取证、密码发现和社交媒体分析等。其他。

它的一些独特功能包括:

  • 克隆设备的能力。 如果您无法删除设备的存储介质,这将很有用
  • 它有一个磁盘管理器,当您想要轻松地可视化和识别连接的驱动器及其各自的分区时,它会派上用场。
  • 它会自动记录,可以存储在任何设备上
  • 自带Autopsy Digital Forensics Platform,是Basis科技打造的硬盘调查技术。

该软件的各种版本均以“按您的价格命名”的方式提供。

移动验证工具包(MVT)

在他们的 GitHub 页面上,Mobile Verification Toolkit (MVT) 是一组实用程序,用于简化和自动化收集取证痕迹的过程,有助于识别 Android 和 iOS 设备的潜在危害。 MVT 由大赦国际安全实验室于 2021 年构建并发布。

MVT

该工具专为 Android 和 iOS 设备开发,可让它们检测间谍软件,例如 Pegasus 间谍软件,该软件已开发并出售给政府,允许他们监视人们的手机。

MVT 在识别恶意软件(如间谍软件)是否在用户不知情的情况下安装在 android 或 ios 设备中非常有效。

Windows 媒体取证

Windows 媒体取证工具包括三个部分:图像分析、视频分析和用户操作。 所有这些都用于分析存储在 Windows 照片应用程序中的照片和视频。 由于计算机可以存储大量照片和视频,因此很难遍历所有这些,而这正是 Windows 媒体取证的用武之地。

Windows 媒体取证

该工具可以分析图像和视频,并识别存储的图像和视频中的面孔、人物、标签、字符和位置。 它还可以识别它们的拍摄时间、使用的相机型号以及相机制造商。

此外,它还允许调查人员查明用户何时访问了存储的照片和视频以及对其进行了哪些更改。 所有这些信息都以人类可读的格式提供,捕获的数据可以备份以供将来分析。

凭据文件视图

CredentialsFileView 是 Windows 操作系统的一个工具,用于解密和显示存储在操作系统的凭据文件中的数据。

凭据文件视图

Windows 操作系统凭据文件存储文件,例如计算机和计算机局域网上远程计算机的登录密码。 它还存储 Windows Messenger 帐户、邮件帐户的密码以及通过 Internet Explorer 访问的受密码保护网站的密码。

此工具适用于 Windows 版本至 Windows 10,并支持 32 位和 64 位系统。

哈希猫

Hashcat 是一种流行的密码破解工具,被渗透测试人员、系统管理员、罪犯和间谍广泛使用。

哈希猫

为了安全地存储密码,通过哈希算法将密码转换为难以理解的数字和字母字符串。 Hashcat 猜测密码,对它们进行哈希处理并将它们与存储的哈希值进行比较,并重复该过程直到找到正确的密码。 Hashcat 支持所有现有的哈希格式,并能够使用系统的 GPU 来加速其密码破解。

Hashcat 可以执行不同的攻击来破解密码。 这些攻击包括字典攻击、组合器攻击、掩码攻击及其最有效的攻击——基于规则的攻击。

如果你需要破解密码。 这是您的首选工具。

开膛手约翰密码破解者

John the Ripper password cracker 是一个免费的开源密码安全审计和密码恢复工具。 它可用于查找和破解系统中的弱密码。

约翰瑟利珀

该工具支持数百种哈希和密码,包括存储在基于 UNIX 的系统、Windows 操作系统、macOS、WordPress 等网络应用程序、SQL 等数据库服务器以及加密货币钱包中的加密私钥等中的密码中使用的哈希。

然而,与 Hashcat 不同的是,John the ripper 可以使用 GPU 加速来加速密码破解。

结论

取证解密是使用范围广泛的工具完成的,每种工具都有其独特的应用。 某些工具最适合特定任务,例如在 Hashcat 的情况下用于渗透测试的密码破解。

要确定有助于调查的正确工具,重要的是您首先要确定调查的性质以及您希望完成的工作。 从那里,您可以决定使用本文中讨论的工具。