8 種有助於調查的最佳取證解密工具

已發表: 2022-12-16

近年來,科技突飛猛進,顛覆著各個行業和領域。 一個從技術進步中受益匪淺的領域是取證領域。

法醫學是一個涉及使用科學調查犯罪以查明事情發生的原因和方式的領域。 該領域檢查並提出可能在法庭上提出的證據,以幫助破案。

技術在取證中的應用催生了取證的一個分支,稱為數字取證。 數字取證涉及調查和尋找存儲在數字設備(例如移動電話和個人計算機)中的證據,目的是解決與計算機相關的犯罪。

為了有效地履行職責,數字取證人員面臨一個主要障礙,即加密 加密是一種將數據加擾為密碼以防止未經授權方訪問數據的方法。 隨著 AxCrypt 和 NordLocker 等加密工具以及 Windows 和 macOS 等操作系統允許用戶加密其數據,數字取證從數字設備恢復數據變得更加困難。

加密工具的無處不在創造了對取證解密工具的需求。 這些是將加密數據轉換回其原始人類可讀形式的專用軟件。 此類工具旨在幫助取證人員從數字設備中的加密文件中收集數據,以幫助調查犯罪。

使用取證解密工具的優勢

以下是使用取證解密工具的一些優勢:

  • 速度——取證解密工具使取證專家能夠在更短的時間內解密大量數據,無論其複雜程度如何。
  • 易於使用——要解密加密數據,需要對編程、數學和密碼學有深入的了解。 但是,使用解密工具,您無需成為其中任何方面的專家,因為解密工具會為您處理所有繁重的工作。
  • 更多工具供您使用 – 取證解密工具為您提供了大量工具來執行諸如分析計算機註冊表、密碼恢復和恢復已刪除文件以及解密文件等操作。
  • 準確性——法醫證據可以在法庭上受到質疑; 因此它的準確性非常重要。 取證解密工具經過大量測試,可以在解密時使用不同的算法,讓您收集到非常準確的數據。
securitylocked-3

選擇取證解密工具時要考慮的因素

並非所有取證解密工具都是平等的。 以下是選擇取證解密工具時的注意事項:

  • GPU 加速——這需要使用計算機的圖形處理單元 (GPU) 來加速密集操作的執行。 這大大減少了對大量數據執行取證解密所需的時間。
  • FDE 解密– 全盤加密 (FDE) 是一種安全機制,默認情況下使用磁盤級加密對硬盤驅動器中的所有數據進行加密,無需用戶自行執行加密。 由於很多企業都使用 FDE,因此選擇一款可以解密全盤加密硬盤的工具非常重要。
  • 支持的文件類型——許多文件類型,如存檔文件、word文檔、pdf等,都可以加密。 因此,不同的取證解密工具僅支持對特定文件類型的取證解密。 因此,在選擇取證解密工具時,請了解它是否支持您要解密的文件類型。
  • 加密文件的檢測——在大型系統上進行取證描述時,有時很難搜索可能包含所需信息的所有加密文件。 因此,選擇一個可以檢測並顯示系統中所有加密文件的取證解密工具將為您節省大量時間。
  • 不可追踪性——理想的取證解密工具在解密後不應該留下任何痕跡。 目標文件應全部保持不變,不應留下任何解密活動的足跡。 這是因為調查通常受益於無法追踪,以避免引起對演習的懷疑和反制措施。 因此,無法追踪的取證解密是理想的。

目前,有很多解密工具可供對數字取證感興趣的取證專家使用。 但是,並非所有人都具有相同的能力。

以下是可幫助您進行調查的最佳取證解密工具。

密碼套件終極版

Passware Kit Ultimate 是 Passware 的最新旗艦產品,Passware 是一家為不同用戶製作密碼恢復和解密工具的公司。 根據他們的網站,Passware 產品被世界頂級執法機構用來破獲需要解密的案件。

Youtube 視頻

該解密工具具有許多使其名列榜首的功能。

  • 340 多種文件類型的密碼恢復——Passware Kit Ultimate 允許您從各種文件中恢復密碼,包括存檔文件、比特幣錢包、word 文檔和 QuickBooks 等。 它甚至允許您恢復由 AxCrypt 和 VeraCrypt 等加密工具加密的密碼。
  • 能夠從 250 多種移動設備中提取數據和恢復密碼,從 iPhone 到三星、諾基亞、華為和 LG 等流行的安卓品牌。 您甚至可以從加密的移動設備中提取數據。
  • 全盤解密 – Passware Kit Ultimate 可以使用全盤加密從驅動器中解密或恢復密碼。
  • 硬件加速——Passware Kit Ultimate 允許您利用 NVIDIA 和 AMD GPU 來加速密碼恢復和解密過程,讓您可以在更短的時間內處理大量文件。
  • 使用 Apple T2 安全芯片解密 Mac - Passware Kit Ultimate 提供了一個附加組件,可用於使用 Apple T2 安全芯片解密 Mac。

Passware Kit Ultimate 沒有免費試用,但提供 30 天的產品退款保證。

Elcomsoft 法醫磁盤解密器

Elcomsoft Forensic Disk Decryptor 是一種解密工具,可讓您即時訪問使用 BitLocker、FileVault 2、TrueCrypt、Veracrypt 和 PGP 磁盤加密的數據。

Youtube 視頻

Elcomsoft Forensic Disk Decryptor 的一些獨特功能包括:

  • 零足跡操作——使用 Elcomsoft Forensic Disk Decryptor 不會留下任何解密操作足跡。 整個解密操作是不可檢測的。
  • 提供對加密元數據的訪問——如果您需要訪問原始明文密碼以訪問加密數據,此功能很有用。
  • 實時訪問加密信息 - Elcomsoft Forensic Disk Decryptor 進行動態解密,允許用戶將加密卷安裝為驅動器號並實時訪問加密數據。

此外,它還提供全盤解密並自動搜索、識別和顯示加密卷以及卷加密設置的詳細信息。 Elcomsoft 提供法醫解密器的免費試用版。

聖騎士

Paladin 取證套件是一個基於 Ubuntu 的可啟動取證 Linux 發行版,可用於 32 位和 64 位計算機。 它由 SUMURI 開發,SUMURI 開發與數字證據、計算機取證和電子發現相關的軟件和硬件。

Youtube 視頻

一旦用戶啟動 Paladin 取證套件,他們就可以訪問 100 多個預編譯的開源取證工具來執行範圍廣泛的任務,例如解密、硬件分析、信使取證、密碼發現和社交媒體分析等。其他。

它的一些獨特功能包括:

  • 克隆設備的能力。 如果您無法刪除設備的存儲介質,這將很有用
  • 它有一個磁盤管理器,當您想要輕鬆地可視化和識別連接的驅動器及其各自的分區時,它會派上用場。
  • 它會自動記錄,可以存儲在任何設備上
  • 自帶Autopsy Digital Forensics Platform,是Basis科技打造的硬盤調查技術。

該軟件的各種版本均以“按您的價格命名”的方式提供。

移動驗證工具包(MVT)

在他們的 GitHub 頁面上,Mobile Verification Toolkit (MVT) 是一組實用程序,用於簡化和自動化收集取證痕蹟的過程,有助於識別 Android 和 iOS 設備的潛在危害。 MVT 由大赦國際安全實驗室於 2021 年構建並發布。

MVT

該工具專為 Android 和 iOS 設備開發,可讓它們檢測間諜軟件,例如 Pegasus 間諜軟件,該軟件已開發並出售給政府,允許他們監視人們的手機。

MVT 在識別惡意軟件(如間諜軟件)是否在用戶不知情的情況下安裝在 android 或 ios 設備中非常有效。

Windows 媒體取證

Windows 媒體取證工具包括三個部分:圖像分析、視頻分析和用戶操作。 所有這些都用於分析存儲在 Windows 照片應用程序中的照片和視頻。 由於計算機可以存儲大量照片和視頻,因此很難遍歷所有這些,而這正是 Windows 媒體取證的用武之地。

Windows 媒體取證

該工具可以分析圖像和視頻,並識別存儲的圖像和視頻中的面孔、人物、標籤、字符和位置。 它還可以識別它們的拍攝時間、使用的相機型號以及相機製造商。

此外,它還允許調查人員查明用戶何時訪問了存儲的照片和視頻以及對其進行了哪些更改。 所有這些信息都以人類可讀的格式提供,捕獲的數據可以備份以供將來分析。

憑據文件視圖

CredentialsFileView 是 Windows 操作系統的一個工具,用於解密和顯示存儲在操作系統的憑據文件中的數據。

憑據文件視圖

Windows 操作系統憑據文件存儲文件,例如計算機和計算機局域網上遠程計算機的登錄密碼。 它還存儲 Windows Messenger 帳戶、郵件帳戶的密碼以及通過 Internet Explorer 訪問的受密碼保護網站的密碼。

此工具適用於 Windows 版本至 Windows 10,並支持 32 位和 64 位系統。

哈希貓

Hashcat 是一種流行的密碼破解工具,被滲透測試人員、系統管理員、罪犯和間諜廣泛使用。

哈希貓

為了安全地存儲密碼,通過哈希算法將密碼轉換為難以理解的數字和字母字符串。 Hashcat 猜測密碼,對它們進行哈希處理並將它們與存儲的哈希值進行比較,並重複該過程直到找到正確的密碼。 Hashcat 支持所有現有的哈希格式,並能夠使用系統的 GPU 來加速其密碼破解。

Hashcat 可以執行不同的攻擊來破解密碼。 這些攻擊包括字典攻擊、組合器攻擊、掩碼攻擊及其最有效的攻擊——基於規則的攻擊。

如果你需要破解密碼。 這是您的首選工具。

開膛手約翰密碼破解者

John the Ripper password cracker 是一個免費的開源密碼安全審計和密碼恢復工具。 它可用於查找和破解系統中的弱密碼。

約翰瑟利珀

該工具支持數百種哈希和密碼,包括存儲在基於 UNIX 的系統、Windows 操作系統、macOS、WordPress 等網絡應用程序、SQL 等數據庫服務器以及加密貨幣錢包中的加密私鑰等中的密碼中使用的哈希。

然而,與 Hashcat 不同的是,John the ripper 可以使用 GPU 加速來加速密碼破解。

結論

取證解密是使用範圍廣泛的工具完成的,每種工具都有其獨特的應用。 某些工具最適合特定任務,例如在 Hashcat 的情況下用於滲透測試的密碼破解。

要確定有助於調查的正確工具,重要的是您首先要確定調查的性質以及您希望完成的工作。 從那裡,您可以決定使用本文中討論的工具。