ElcomSoft vereinfacht die Vor-Ort-Analyse mit bootfähigen forensischen Tools

ElcomSoft bringt Elcomsoft System Recovery in der Version 8.40 heraus, ein bootfähiges Tool für die forensische Vor-Ort-Analyse von Daten, die in Windows-Systemen gespeichert sind. Das neue Update fügt Funktionen hinzu, die die Effizienz und Einfachheit während der Untersuchungen vor Ort erhöhen und ermöglicht die Sammlung, Extraktion und Analyse von wichtigen Fragmenten, die auf den untersuchten Computern vorhanden sind.

Bootfähige forensische Tools

Das Hauptaugenmerk dieses Updates liegt auf der Optimierung des Analyse-Prozesses digitaler Beweise bei der Untersuchung vor Ort. Die neue Version erweitert die bisherige Identifikation und Sammlung von Daten durch das bootfähige forensische Tool grundlegend.

Ursprünglich als einfaches Tool zum Zurücksetzen der Passwörter von Windows-Benutzern auf den Markt gebracht, entwickelt sich Elcomsoft System Recovery nun zu einem funktionsreichen bootfähigen forensischen Toolkit. Die neue Version macht die Analyse vor Ort schneller und unkomplizierter und produziert gleichzeitig gerichtsverwertbare Beweise mit schreibsperrendem Disk-Imaging.

Mit der aktualisierten Version können Ermittler wichtige Daten von Computern sammeln und extrahieren, indem sie von einem speziellen USB-Gerät booten. Zu diesen Daten gehören wichtige Elemente wie eine Kopie der Windows-Registry des Benutzers, wichtige DPAPI- und Verschlüsselungs-Schlüssel, Systemanmelde-Informationen, verschiedene System- und Ereignisprotokolle sowie Auslagerungs- und Ruhezustands-Dateien, die nach Verschlüsselungs-Schlüsseln gescannt werden können, die von BitLocker und Festplatten-Verschlüsselungstools anderer Anbieter verwendet werden.

Die neue Version folgt einer Strategie, die als ‚low hanging Fruits‘ bekannt ist und es Ermittlern ermöglicht, schnell die wichtigsten und leicht zugänglichen Beweise zusammen mit den Schlüsseln für verschlüsselte Festplatten und Daten-Tresore zu sammeln. Wichtig ist dabei, dass das Tool als bootfähiger Datenträger eingesetzt werden kann, so dass die Ermittler gleich vor Ort wichtige Daten extrahieren und fundierte Entscheidungen treffen können. Anhand der gesammelten Daten können die Ermittler entscheiden, ob es erforderlich ist, ein Disk-Image zu erstellen und es zur weiteren Analyse ins Labor zu bringen. Dieser effiziente Ansatz spart Zeit und Ressourcen und stellt sicher, dass die Ermittlungen sowohl vor Ort als auch im Labor zügig und präzise durchgeführt werden können.

Hintergrund: Elcomsoft System Recovery

Elcomsoft System Recovery ist ein digitales Sichtungs-Tool für die Untersuchung von Computern unterwegs. Das Tool hilft, den Zugriff auf ein gesperrtes System zu überwinden und bietet einen unkomplizierten Arbeitsablauf für die Untersuchung von Computern im Feld. Elcomsoft System Recovery hilft beim Zugriff auf Informationen in verschlüsselten Festplatten und verschlüsselten virtuellen Maschinen, beim Extrahieren von Passwörtern und beim Zugriff auf verschlüsselte Dateisysteme.