天津鸿萌科贸发展有限公司是ElcomSoft系列取证软件的官方授权代理商。ElcomSoft取证软件专为取证机构及合法数据恢复任务所设计。
ElcomSoft系列取证软件可对计算机和移动设备进行数据提取、解锁文档、解密压缩文件、加密容器以及查看和分析证据。
- 提供完整的计算机和手机取证解决方案
- 支持硬件加速解密,最多可协同工作达10,000台计算机
- 包含所有移动设备数据提取、解密和分析的相关工具
- 涵盖移动设备逻辑、物理和无线数据获取工具
- 支持云服务数据提取
- 可访问并提取已删除的证据,以专业方式进行取证
ElcomSoft System Recovery是ElcomSoft系列取证软件中的重要一员。它能在所有版本的Windows中重置或恢复本地Windows帐户和Microsoft帐户密码。
- 执行有效的取证数据提取
- 重置Windows帐户密码
- 从TrueCrypt、VeraCrypt、Bitlocker、FileVault(HFS+/APFS)、PGP磁盘、LUKS和LUKS2加密磁盘中提取加密元数据
- 创建取证磁盘镜像,并附带可启动的Windows PE环境
- 支持广泛的硬件兼容性和真正的本机FAT和NTFS支持
在数字取证领域,实时系统分析和取证磁盘镜像分析是最常见的两种方法。还有一种较少人知的方法叫做冷系统分析。
冷系统分析在现场调查中经常使用,但该术语并不像“实时系统分析”那样常见。它源于“冷启动攻击”,这是一种特殊的攻击方式,允许从系统的易失性内存中提取。在冷启动攻击过程中,专家使用便携式介质(如U闪存驱动器)启动计算机。这种方法在取证过程中同样适用:检查员从便携式U驱动器启动计算机,尝试访问和提取系统和/或计算机中的证据。
与实时系统分析相比,冷系统分析在用户未开启或未进行身份验证的情况下开始操作。它提供了一个从用户无法察觉的角度来探索系统的方式,但在使用时也需要小心谨慎。
使用Elcomsoft System Recovery(ESR)进行冷系统分析变得相对简单。该工具基于熟悉的Windows环境,是调查Windows计算机的理想工具。
通过准备可启动的U驱动器,您可以执行各种任务,具体取决于系统分区的加密状态。
在ESR的帮助下,您可以在磁盘工具和帐户工具(SAM数据库)之间进行选择。该工具还可以用于删除BitLocker保护、解锁磁盘加密、搜索加密虚拟机以及创建取证磁盘镜像。
尽管冷系统分析在某些情况下可能不如实时系统分析那么直接或明显,但它仍然是一种具有重要取证意义的手段。在紧急情况下或需要更深入的调查时,它可能成为非常有用的工具。
ElcomSoft系列软件以其高效、安全和可靠的性能为数字取证提供了强有力的支持。