8个最佳取证解密工具,帮助调查
近年来,技术突飞猛进,彻底改变了整个行业和领域。其中一个从技术进步中获益匪浅的领域是“法医学”。
“法医学”是利用科学方法调查犯罪,找出事情发生的原因和方式的一门学科。该领域研究并提供可能在法庭上呈现的证据,以帮助解决犯罪问题。
技术在法医学中的应用催生了一门称为“数字取证”的法医学分支。数字取证涉及调查和查找存储在手机和个人电脑等数字设备中的证据,旨在解决与计算机相关的犯罪。
为了有效履行他们的职责,数字取证人员面临一个主要障碍,encryption加密是将数据加密成密文的一种方法,以防止未经授权的人访问数据。使用加密工具如AxCrypt和NordLocker以及Windows和macOS等操作系统允许用户加密其数据,使得数字取证人员难以从数字设备中恢复数据。
加密工具的普及性产生了对法医解密工具的需求。这些是专业软件,将加密数据转换回其原始的人可读形式。此类工具旨在帮助法医从数字设备的加密文件中收集数据,以协助研究犯罪。
使用法医解密工具的优势
以下是使用法医解密工具的一些优势:
- 速度–法医解密工具使法医专家能够在较短的时间内解密大量数据,无论其复杂程度如何。
- 易于使用–要解密加密数据,需要对编程、数学和密码学有深入理解。然而,有了解密工具,您不需要成为这些领域的专家,因为解密工具会为您处理所有繁重的工作。
- 更多可用工具–法医解密工具提供了一系列工具,用于执行诸如分析计算机注册表、password recovery和恢复已删除文件等操作,除了解密文件。
- 准确性–法医证据可能在法庭上受到质疑,因此其准确性非常重要。法医解密工具经过广泛测试,可以使用不同的解密算法,使您能够收集非常准确的数据。
选择法医解密工具时要考虑的因素
并非所有的法医解密工具都是相同的。在选择法医解密工具时需考虑以下因素:
- GPU加速 – 这意味着利用计算机的图形处理单元(GPU)加速执行密集操作。这可以极大地减少对大量数据进行取证解密所需的时间。
- FDE解密 – 全盘加密(FDE)是一种安全机制,通过默认使用磁盘级加密将硬盘中的所有数据加密,而不需要用户自行进行加密。由于许多企业使用FDE,因此选择能够解密全盘加密硬盘的工具非常重要。
- 支持的文件类型 – 许多文件类型,例如存档文件、Word文档、PDF等,可以被加密。因此,不同的取证解密工具仅支持对特定文件类型的取证解密。因此,在选择取证解密工具时,了解它是否支持您想要解密的文件类型。
- 检测加密文件 – 在对大型系统进行取证时,有时很难搜索所有可能包含所需信息的加密文件。因此,选择一个可以检测并显示系统中所有加密文件的取证解密工具将节省大量时间。
- 不可追踪性 – 理想的取证解密工具在解密后不应留下任何痕迹。目标文件应保持不变,解密操作不应留下任何痕迹。这是因为调查往往受益于无法追踪,以避免引起怀疑和针对解密操作的反制措施。因此,不可追踪的取证解密是理想的。
目前,有许多解密工具可供对数字取证感兴趣的取证专家使用。然而,并非所有工具具有相同的功能。
以下是帮助您进行调查的最佳取证解密工具。
Passware Kit Ultimate
Passware Kit Ultimate是Passware公司的最新旗舰产品,该公司为不同用户提供密码恢复和解密工具。根据他们的网站,Passware产品被世界顶级执法机构用于破解需要解密的案件。
此解密工具具有许多功能,使其成为榜单上的首选。
- 支持340多种文件类型的密码恢复 – Passware Kit Ultimate允许您从各种文件中恢复密码,包括存档文件、bitcoin钱包文件、Word文档和QuickBooks, 等。它甚至可以恢复由加密工具(如AxCrypt和VeraCrypt)加密的密码。
- 能够提取数据和恢复密码,支持250多种移动设备,从iPhone到流行的Android品牌(如三星、诺基亚、华为和LG)都可以。您甚至可以从加密的移动设备中提取数据。
- 完全磁盘解密 – Passware Kit Ultimate可以解密或从带有全盘加密的驱动器中恢复密码。
- 硬件加速 – Passware Kit Ultimate允许您利用NVIDIA和AMD GPU加速密码恢复和解密过程,使您能够在更短的时间内处理大量文件。
- 解密带有Apple T2安全芯片的Mac – Passware Kit Ultimate提供了一个附加组件,可用于解密带有Apple T2安全芯片的Mac。
Passware Kit Ultimate没有免费试用版,但提供30天退款保证。
Elcomsoft取证磁盘解密器
Elcomsoft Forensic Disk Decryptor是一款解密工具,可立即访问使用BitLocker、FileVault 2、TrueCrypt、Veracrypt和PGP Disk加密的数据。
Elcomsoft取证磁盘解密器的一些独特功能包括:
- 零足迹操作 – 使用Elcomsoft Forensic Disk Decryptor不会留下解密操作的任何痕迹。整个解密操作是不可检测的。
- 提供对加密元数据的访问 – 如果您需要访问原始明文密码以访问加密数据,此功能非常有用。
- 实时访问加密信息 – Elcomsoft Forensic Disk Decryptor可以实时解密,允许用户将加密卷挂载为驱动器,并实时访问加密数据。
此外,它提供了全盘解密,并自动搜索、识别和显示加密卷和卷的加密设置详细信息。Elcomsoft提供了法庭解密软件的免费试用版本。
Paladin
Paladin是基于Ubuntu的可引导取证Linux发行版,适用于32位和64位计算机。它由SUMURI开发,该公司开发与数字证据、计算机取证和电子发现相关的软件和硬件。
一旦用户启动Paladin取证套件,他们就可以访问超过100个预编译的开源取证工具,执行各种任务,如解密、硬件分析、通讯工具取证、密码发现和社交媒体分析等。
它的一些独特功能包括:
- 克隆设备的能力。如果不能移除设备的存储介质,这将非常有用。
- 它有一个磁盘管理器,在您想要轻松可视化和识别已连接的驱动器及其各自的分区时非常方便。
- 它进行自动记录,可以存储在任何设备上。
- 附带Autopsy数字取证平台,这是由Basis Technology开发的硬盘调查技术。
该软件的多个版本可在“自定价格”优惠下获得。
Mobile Verification Toolkit(MVT)
根据它们的GitHub页面,MVT是一个集合工具,用于简化和自动化收集有助于识别Android和iOS设备潜在入侵的取证迹象。MVT于2021年由Amnesty International Security Lab开发和发布。
该工具专门针对Android和iOS设备开发,可让它们检测如Pegasus Spyware等间谍软件,该软件被开发并出售给政府,使其能够监视人们的手机。
MVT在识别未经用户知情的情况下,是否在Android或iOS设备上安装了间谍软件等恶意软件方面非常有效。
Windows媒体取证
Windows媒体取证工具包括图像分析、视频分析和用户操作三个部分。所有这些都用于分析存储在Windows照片应用程序中的照片和视频。由于计算机可以存储大量的照片和视频,所以很难浏览所有这些内容,这就是Windows媒体取证工具的用武之地。
该工具可以分析图像和视频,并识别图像和视频中的人脸、人物、标签、字符和位置。它还可以确定它们的拍摄时间、所使用的相机型号和相机制造商。
此外,它允许调查人员查找用户何时访问照片和视频,并对它们进行了哪些更改。所有这些信息都以可读格式提供,并且捕获的数据可以备份以供将来分析。
CredentialsFileView
CredentialsFileView是Windows操作系统的一款工具,可以解密并显示存储在操作系统凭据文件中的数据。
Windows操作系统凭据文件存储计算机和计算机局域网上的远程计算机的登录密码等文件。它还存储Windows Messenger帐户的密码、邮件帐户的密码以及通过Internet Explorer访问的受密码保护的网站的密码。
此工具适用于Windows 10以前的版本,并支持32位和64位系统。
Hashcat
Hashcat是一款广受渗透测试人员、系统管理员、犯罪分子和间谍广泛使用的密码破解工具。
为了安全存储密码,密码通过哈希算法转换为一串不可理解的数字和字母。Hashcat猜测密码,将其哈希化并将其与存储的哈希进行比较,重复此过程直到找到正确的密码为止。Hashcat支持所有现有的哈希格式,并能够利用系统的GPU加速密码破解。
Hashcat可以执行不同的攻击来破解密码。这些攻击包括字典攻击、组合攻击、掩码攻击和效率最高的基于规则的攻击。
如果您需要破解密码,这是您的首选工具。
John the Ripper密码破解器
John the Ripper password cracker是一款免费开源的密码安全审计和密码恢复工具。它可以用于查找和破解系统中的弱密码。
此工具支持数百种哈希和密码,包括在基于UNIX的系统、Windows操作系统、macOS、WordPress等Web应用程序、SQL等数据库服务器以及加密的加密货币钱包的私钥中存储的密码。
然而,与Hashcat不同,John the Ripper可以利用GPU加速来加快密码破解速度。
结论
取证解密使用各种工具进行,每个工具都有独特的应用。某些工具最适合特定任务,例如在Hashcat的情况下,最适合进行密码破解。
要确定适用于您调查的正确工具,重要的是首先确定您调查的性质以及您想要实现的目标。然后,您可以从本文中讨论的工具中选择使用哪个工具。
