Elcomsoft System Recovery: загрузочный накопитель для исследования компьютеров

26 ноября, 2020, Oleg Afonin
Рубрика: «Разное»
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Исследование заблокированного компьютера — задача нетривиальная. Традиционный подход с извлечением дисков и исследованием образа пасует перед зашифрованными дисками и виртуальными машинами. С его помощью трудно или невозможно получить доступ к зашифрованным файлам и паролям пользователя. В этой статье мы предлагаем альтернативный способ исследования компьютеров на выезде, который поможет сэкономить время и получить доступ к данным, недоступным при использовании традиционного подхода.

Условия применимости метода

Наш метод применим в случаях, когда необходимо исследовать компьютер, питание которого выключено. Для работы необходим свободный порт USB и доступ к BIOS/UEFI компьютера (для загрузки с внешнего накопителя).

Последовательность действий

Использование Elcomsoft System Recovery позволяет решать широкий спектр задач. Если системный диск не зашифрован, рекомендуем следующую последовательность действий:

  1. Подготовьте загрузочный USB-накопитель ESR.
  2. Настройте исследуемый компьютер для загрузки с внешнего накопителя.
  3. Загрузите компьютер в ESR.
  4. ESR попытается собрать существующие пароли.
  5. ESR выполнит быструю предварительную атаку на обнаруженные учетные записи Windows.
  6. Извлеките метаданные шифрования от учетных записей Windows (если пароль не был обнаружен на предыдущем шаге) для последующих атак.
  7. Извлеките файлы подкачки и гибернации.
  8. Осуществите поиск зашифрованных дисков. Если таковые будут найдены, извлеките метаданные шифрования.
  9. Осуществите поиск зашифрованных виртуальных машин. В случае обнаружения извлеките метаданные шифрования для последующей атаки.
  10. Снимите образы дисков для дальнейшего анализа.
  11. Опционально: вы можете сбросить пароль к выбранной учетной записи, загрузиться в основную систему и войти в систему с новым паролем.

Подготовка загрузочного накопителя

Процесс подготовки загрузочного накопителя сводится к запуску программы установки Elcomsoft System Recovery на вашем компьютере (не на компьютере, который вы собираетесь исследовать) и следованию инструкциям мастера установки. Вам потребуется достаточно объёмный и быстрый USB накопитель (32 ГБ или больше).

После создания загрузочного накопителя вставьте его в свободный разъём USB компьютера, который собираетесь исследовать.

Подготовка компьютера к загрузке

Для загрузки с накопителя вам потребуется изменить соответствующую настройку в BIOS/UEFI исследуемого компьютера. Как правило, по умолчанию загрузка с устройств USB запрещена. Добавьте USB накопитель на первую позицию в списке устройств для загрузки. Войти в BIOS на большинстве систем можно в первые секунды после включения нажатием клавиши Del либо другой клавиши в зависимости от системы (например, F10, F11 или F12). На некоторых компьютерах нажатие кнопки F2 вызывает меню, позволяющее выбрать устройство, с которого будет осуществляться загрузка.

Загрузитесь с USB накопителя

Убедившись, что USB-накопитель с ESR на первом месте в списке загрузочных устройств, сохраните настройки и выйдите из BIOS. Должен начаться процесс загрузки. После того, как ESR загрузится, примите условия лицензионного соглашения и нажмите ОК для начала работы.

 

Автоматический подбор паролей

После запуска Elcomsoft System Recovery инструмент автоматически сканирует систему на наличие доступных паролей и запускает быструю предварительную атаку, которая может выявить учётные записи со слабыми паролями. Найденные пароли будут автоматически отображаться в окне ESR.

Извлечение метаданных для восстановления паролей к учётным записям

Для тех учётных записей, пароли к которым не были найдены в процессе предварительной атаки, можно извлечь метаданные шифрования. Эти данные можно использовать в Elcomsoft Distributed Password Recovery для восстановления пароля к учётной записи.

 

Файлы подкачки и гибернации

В этих файлах могут содержаться ключи шифрования, которыми защищаются зашифрованные диски VeraCrypt, TrueCrypt, PGP и BitLocker, если те были смонтированы перед выключением компьютера или погружением его в режим гибернации. Рекомендуем извлечь эти файлы и проанализировать их содержимое утилитой Elcomsoft Forensic Disk Decryptor.

 

Поиск зашифрованных дисков

Зашифрованные диски часто используются в криминальной среде. ESR обладает возможностью автоматического поиска зашифрованных дисков — как смонтированных, так и размонтированных. В большинстве случаев извлечённые из заголовков таких дисков метаданные можно использовать для восстановления пароля шифрования.

Внимание: если зашифрованный диск был смонтирован непосредственно перед анализом, в файлах подкачки и гибернации могут присутствовать двоичные ключи шифрования. Просканируйте эти файлы в Elcomsoft Forensic Disk Decryptor.

Поиск зашифрованных виртуальных машин

Виртуальные машины, защищённые стойким шифрованием, получили широкое распространение в криминальной среде. Использование не оставляющих цифрового следа зашифрованных виртуальных машин позволяет злоумышленникам минимизировать утечку инкриминирующих данных. ESR автоматизирует процесс поиска зашифрованных виртуальных машин. Для начала сканирования выберите пункт Encrypted Virtual Machines. При обнаружении зашифрованных виртуальных машин ESR сохраняет метаданные шифрования, необходимые для восстановления пароля посредством Elcomsoft Distributed Password Recovery.

 

Создание образа диска

Распространённая практика судебной экспертизы – анализ образов дисков, а не физических устройств. И если традиционный подход к анализу предполагает извлечение жёсткого диска из корпуса компьютера, то Elcomsoft System Recovery позволяет создавать образы дисков, не извлекая накопители. Обратите внимание: для создания образа диска к компьютеру необходимо подключить дополнительный накопитель с достаточным количеством свободного места. Рекомендуем использовать накопители, отформатированные в NTFS или exFAT. Использование файловой системы FAT32 приведёт к ошибке при создании образов, размер которых превышает 4ГБ.

Дополнительно: анализ системы с авторизованной пользовательской сессией

В некоторых случаях может потребоваться выполнить анализ сеанса аутентифицированного пользователя. Если ESR удалось восстановить исходный пароль для одной из учетных записей пользователей, вы можете использовать этот пароль для входа в систему. Кроме того, в ESR доступна возможность сброса паролей учётных записей Windows.

Последствия сброса пароля учетной записи Windows

Если вы решите сбросить пароль какого-либо пользователя системы, вы потеряете доступ к информации, защищенной с помощью DPAPI (Windows Data Protection API). Эта информация включает:

  1. Файлы, зашифрованные EFS (Encrypted File System). Ключи шифрования к таким файлам будут безвозвратно утрачены при сбросе пароля.
  2. Пароли пользователя, сохранённые в браузерах Microsoft Edge, Google Chrome и других; пароли к сетевым папкам и почтовым учётным записям.

Для доступа к любым из этих данных вам потребуется исходный пароль учетной записи пользователя.


  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

REFERENCES:

Elcomsoft Distributed Password Recovery

Производительное решение для восстановление паролей к десяткам форматов файлов, документов, ключей и сертификатов. Аппаратное ускорение с использованием потребительских видеокарт и лёгкое масштабирование до 10,000 рабочих станций делают решение Элкомсофт оптимальным для исследовательских лабораторий и государственных агентств.

Официальная страница Elcomsoft Distributed Password Recovery »


Elcomsoft Forensic Disk Decryptor

Elcomsoft Forensic Disk Decryptor обеспечивает моментальный доступ к содержимому зашифрованных дисков, созданных BitLocker, FileVault 2, PGP Disk, TrueCrypt и VeraCrypt. Доступны режимы полной расшифровки и оперативного доступа к информации. Ключи для расшифровки содержимого зашифрованных дисков извлекаются из слепка оперативной памяти компьютера, методом атаки через порт FireWire либо анализом файла гибернации. Возможно использования паролей и депонированных ключей.

Официальная страница Elcomsoft Forensic Disk Decryptor »


Elcomsoft System Recovery

Elcomsoft System Recovery поможет восстановить доступ к учётным записям к локальным учётным записям Windows и универсальной учётной записи Microsoft Account и создать образ диска для последующего анализа. Поддерживается как моментальный сброс, так и восстановление оригинального пароля. С помощью Elcomsoft System Recovery можно предоставить административные привилегии любому пользователю. Продукт поставляется вместе с лицензионной загрузочной средой Windows PE.

Официальная страница Elcomsoft System Recovery »

НАШИ НОВОСТИ