In den letzten Jahren ist die Technologie sprunghaft gewachsen und hat ganze Branchen und Bereiche auf den Kopf gestellt. Ein Bereich, der stark von technologischen Fortschritten profitiert hat, ist der Bereich der Forensik.
Forensik ist ein Bereich, der sich mit der wissenschaftlichen Untersuchung von Verbrechen befasst, um herauszufinden, warum und wie etwas passiert ist. Das Feld untersucht und liefert Beweise, die vor Gericht vorgelegt werden könnten, um zur Aufklärung eines Verbrechens beizutragen.
Die Anwendung von Technologie in der Forensik führte zu einem Zweig der Forensik, der als digitale Forensik bezeichnet wird. Digitale Forensik umfasst die Untersuchung und das Auffinden von Beweisen, die in digitalen Geräten wie Mobiltelefonen und PCs gespeichert sind, mit dem Ziel, Computerkriminalität aufzuklären.
Um ihre Aufgaben effektiv erfüllen zu können, stehen Menschen in der digitalen Forensik vor einer großen Hürde, der Verschlüsselung. Verschlüsselung ist eine Möglichkeit, Daten in einen Geheimcode zu verschlüsseln, um den Zugriff auf die Daten durch Unbefugte zu verhindern. Mit Verschlüsselungstools wie AxCrypt und NordLocker und Betriebssystemen wie Windows und macOS, die es Benutzern ermöglichen, ihre Daten zu verschlüsseln, wird es für die digitale Forensik schwieriger, Daten von digitalen Geräten wiederherzustellen.
Die Allgegenwart von Verschlüsselungstools macht forensische Entschlüsselungstools erforderlich. Dabei handelt es sich um spezialisierte Software, die verschlüsselte Daten wieder in ihre ursprüngliche, für Menschen lesbare Form umwandelt. Solche Tools sollen der Forensik helfen, Daten aus verschlüsselten Dateien in digitalen Geräten zu sammeln, um bei der Untersuchung von Verbrechen zu helfen.
Inhaltsverzeichnis
Vorteile der Verwendung forensischer Entschlüsselungstools
Im Folgenden sind einige der Vorteile der Verwendung forensischer Entschlüsselungstools aufgeführt:
- Geschwindigkeit – Mit forensischen Entschlüsselungstools können Forensiker große Datenmengen unabhängig von ihrer Komplexität in viel kürzerer Zeit entschlüsseln.
- Einfach zu bedienen – Um verschlüsselte Daten zu entschlüsseln, braucht man ein tiefes Verständnis von Programmierung, Mathematik und Kryptografie. Mit Entschlüsselungstools müssen Sie jedoch kein Experte in diesen Bereichen sein, da Entschlüsselungstools die ganze schwere Arbeit für Sie erledigen.
- Mehr Tools zu Ihrer Verfügung – Forensische Entschlüsselungstools bieten Ihnen eine große Auswahl an Tools, um Aktionen wie die Analyse der Registrierung eines Computers, die Passwortwiederherstellung und die Wiederherstellung gelöschter Dateien zusätzlich zum Entschlüsseln von Dateien durchzuführen.
- Genauigkeit – Forensische Beweise können vor Gericht in Frage gestellt werden; daher ist seine Genauigkeit sehr wichtig. Forensische Entschlüsselungstools werden umfangreichen Tests unterzogen und können bei der Entschlüsselung mit verschiedenen Algorithmen arbeiten, sodass Sie sehr genaue Daten sammeln können.
Zu berücksichtigende Faktoren bei der Auswahl eines forensischen Entschlüsselungstools
Nicht alle forensischen Entschlüsselungstools sind gleich. Bei der Auswahl eines forensischen Entschlüsselungstools sind folgende Überlegungen anzustellen:
- GPU-Beschleunigung – Dies beinhaltet die Nutzung der Grafikverarbeitungseinheit (GPU) eines Computers, um die Ausführung intensiver Operationen zu beschleunigen. Dies hat den Effekt, dass die für die forensische Entschlüsselung großer Datenmengen benötigte Zeit stark reduziert wird.
- FDE-Entschlüsselung – Full Disk Encryption (FDE) ist ein Sicherheitsmechanismus, bei dem alle Daten auf einer Festplatte standardmäßig mit einer Verschlüsselung auf Festplattenebene verschlüsselt werden, ohne dass Benutzer selbst eine Verschlüsselung durchführen müssen. Da viele Unternehmen FDE verwenden, ist es wichtig, ein Tool auszuwählen, das vollständig verschlüsselte Festplatten entschlüsseln kann.
- Unterstützte Dateitypen – Viele Dateitypen wie Archivdateien, Word-Dokumente, PDF usw. können verschlüsselt werden. Daher unterstützen verschiedene forensische Entschlüsselungstools die forensische Entschlüsselung nur für bestimmte Dateitypen. Finden Sie daher bei der Auswahl eines forensischen Entschlüsselungstools heraus, ob es den Dateityp unterstützt, den Sie entschlüsseln möchten.
- Erkennung verschlüsselter Dateien – Bei der forensischen Beschreibung auf einem großen System kann es manchmal schwierig sein, nach allen verschlüsselten Dateien zu suchen, die möglicherweise die erforderlichen Informationen enthalten. Infolgedessen spart Ihnen die Auswahl eines forensischen Entschlüsselungstools, das alle verschlüsselten Dateien in einem System erkennen und anzeigen kann, jede Menge Zeit.
- Unauffindbarkeit – Das ideale forensische Entschlüsselungstool sollte nach der Entschlüsselung keine Spuren hinterlassen. Die Zieldateien sollten alle unverändert bleiben, und es sollten keine Spuren einer Entschlüsselungsübung hinterlassen werden. Dies liegt daran, dass Ermittlungen oft davon profitieren, dass sie nicht nachverfolgt werden können, um zu vermeiden, dass Verdacht geweckt und Gegenmaßnahmen gegen die Übung ergriffen werden. Daher ist eine unauffindbare forensische Entschlüsselung ideal.
Derzeit stehen forensischen Experten, die sich für digitale Forensik interessieren, viele Entschlüsselungstools zur Verfügung. Allerdings haben nicht alle die gleichen Fähigkeiten.
Hier sind die besten forensischen Entschlüsselungstools, die Sie bei Ermittlungen unterstützen.
Passware-Kit Ultimate
Passware Kit Ultimate ist das neueste Flaggschiffprodukt von Passware, einem Unternehmen, das Tools zur Wiederherstellung und Entschlüsselung von Passwörtern für verschiedene Benutzer herstellt. Laut ihrer Website werden Passware-Produkte von den weltweit führenden Strafverfolgungsbehörden verwendet, um Fälle zu knacken, die eine Entschlüsselung erfordern.
Dieses Entschlüsselungstool verfügt über eine Reihe von Funktionen, die es ganz oben auf diese Liste setzen.
- Passwortwiederherstellung für mehr als 340 Dateitypen – Mit Passware Kit Ultimate können Sie Passwörter aus einer Vielzahl von Dateien wiederherstellen, darunter unter anderem archivierte Dateien, Bitcoin-Wallets, Word-Dokumente und QuickBooks. Es erlaubt Ihnen sogar, Passwörter wiederherzustellen, die mit Verschlüsselungstools wie AxCrypt und VeraCrypt verschlüsselt wurden.
- Möglichkeit zum Extrahieren von Daten und Wiederherstellen von Passwörtern von über 250 mobilen Geräten, von iPhones bis hin zu beliebten Android-Marken wie Samsung, Nokia, Huawei und LG. Sie können sogar Daten von verschlüsselten Mobilgeräten extrahieren.
- Vollständige Festplattenentschlüsselung – Passware Kit Ultimate kann Kennwörter von Laufwerken mit vollständiger Festplattenverschlüsselung entschlüsseln oder wiederherstellen.
- Hardwarebeschleunigung – Mit Passware Kit Ultimate können Sie NVIDIA- und AMD-GPUs nutzen, um den Prozess der Kennwortwiederherstellung und -entschlüsselung zu beschleunigen, sodass Sie in viel kürzerer Zeit an einer großen Anzahl von Dateien arbeiten können.
- Entschlüsselung von Macs mit Apple T2 Security Chip – Passware Kit Ultimate bietet ein Add-on, mit dem Macs mit dem Apple T2 Security Chip entschlüsselt werden können.
Passware Kit Ultimate hat keine kostenlose Testversion, bietet aber eine 30-tägige Geld-zurück-Garantie für das Produkt.
Elcomsoft Forensic Disk Decryptor
Elcomsoft Forensic Disk Decryptor ist ein Entschlüsselungstool, das Ihnen sofortigen Zugriff auf Daten ermöglicht, die mit BitLocker, FileVault 2, TrueCrypt, Veracrypt und PGP Disk verschlüsselt wurden.
Einige einzigartige Funktionen von Elcomsoft Forensic Disk Decryptor umfassen:
- Zero-Footprint-Operation – Die Verwendung von Elcomsoft Forensic Disk Decryptor hinterlässt keine Spuren der Entschlüsselungsoperation. Der gesamte Entschlüsselungsvorgang ist nicht nachweisbar.
- Bietet Zugriff auf Verschlüsselungsmetadaten – diese Funktion ist nützlich, wenn Sie auf das ursprüngliche Klartextpasswort zugreifen müssen, um auf verschlüsselte Daten zuzugreifen.
- Echtzeit-Zugriff auf verschlüsselte Informationen – Elcomsoft Forensic Disk Decryptor führt die Entschlüsselung im laufenden Betrieb durch, sodass ein Benutzer ein verschlüsseltes Volume als Laufwerksbuchstaben mounten und Echtzeit-Zugriff auf die verschlüsselten Daten haben kann.
Darüber hinaus bietet es eine vollständige Festplattenentschlüsselung und sucht, identifiziert und zeigt automatisch verschlüsselte Volumes und Details zu den Verschlüsselungseinstellungen des Volumes an. Elcomsoft bietet eine kostenlose Testversion des forensischen Decryptors an.
Paladin
Paladin Forensics Suite ist eine bootfähige forensische Linux-Distribution, die auf Ubuntu basiert und sowohl für 32-Bit- als auch für 64-Bit-Computer verfügbar ist. Es wird von SUMURI entwickelt, das Software und Hardware in Bezug auf digitale Beweise, Computerforensik und eDiscovery entwickelt.
Sobald ein Benutzer die forensische Suite von Paladin startet, hat er Zugriff auf über 100 vorkompilierte forensische Open-Source-Tools, um eine Vielzahl von Aufgaben auszuführen, darunter Entschlüsselung, Hardwareanalyse, Messenger-Forensik, Passworterkennung und Social-Media-Analyse Andere.
Einige seiner einzigartigen Eigenschaften umfassen:
- Die Fähigkeit, Geräte zu klonen. Dies ist nützlich, wenn Sie die Speichermedien eines Geräts nicht entfernen können
- Es verfügt über einen Festplattenmanager, der praktisch ist, wenn Sie angeschlossene Laufwerke und ihre jeweiligen Partitionen einfach visualisieren und identifizieren möchten.
- Es führt eine automatische Protokollierung durch, die auf jedem Gerät gespeichert werden kann
- Wird mit Autopsy Digital Forensics Platform geliefert, einer von Basis Technology entwickelten Technologie zur Untersuchung von Festplatten.
Verschiedene Versionen der Software sind im Rahmen eines „Name your price“-Angebots erhältlich.
Auf ihrer GitHub-Seite ist das Mobile Verification Toolkit (MVT) eine Sammlung von Dienstprogrammen zur Vereinfachung und Automatisierung des Prozesses zum Sammeln forensischer Spuren, die hilfreich sind, um eine potenzielle Kompromittierung von Android- und iOS-Geräten zu identifizieren. MVT wurde 2021 vom Amnesty International Security Lab entwickelt und veröffentlicht.
Dieses Tool wurde speziell für Android- und iOS-Geräte entwickelt, damit sie Spyware wie Pegasus Spyware erkennen können, die entwickelt und an Regierungen verkauft wurde, um ihnen zu ermöglichen, die Telefone von Menschen auszuspionieren.
MVT ist sehr effektiv bei der Identifizierung, ob bösartige Software wie Spyware ohne Wissen des Benutzers auf einem Android- oder iOS-Gerät installiert wurde.
Das Forensik-Tool von Windows Media besteht aus drei Teilen: Bildanalyse, Videoanalyse und Benutzeraktionen. All dies wird verwendet, um die in der Windows-Fotoanwendung gespeicherten Fotos und Videos zu analysieren. Da Computer große Mengen an Fotos und Videos speichern können, kann es schwierig sein, sie alle zu durchsuchen, und hier ist Windows Media Forensik praktisch.
Das Tool kann Bilder und Videos analysieren und Gesichter, Personen, Tags, Charaktere und Orte in den gespeicherten Bildern und Videos identifizieren. Es kann auch erkennen, wann sie aufgenommen wurden, das verwendete Kameramodell und den Hersteller der Kamera.
Darüber hinaus kann der Ermittler herausfinden, wann der Benutzer auf die gespeicherten Fotos und Videos zugegriffen hat und welche Änderungen daran vorgenommen wurden. Alle diese Informationen werden in einem für Menschen lesbaren Format bereitgestellt, und die erfassten Daten können für zukünftige Analysen gesichert werden.
CredentialsFileView
CredentialsFileView ist ein Tool für das Windows-Betriebssystem, das die in den Anmeldeinformationen des Betriebssystems gespeicherten Daten entschlüsselt und anzeigt.
Die Berechtigungsnachweisdateien des Windows-Betriebssystems speichern Dateien wie Anmeldepasswörter für einen Computer und entfernte Computer im LAN des Computers. Es speichert auch Kennwörter von Windows Messenger-Konten, E-Mail-Konten und Kennwörter von passwortgeschützten Websites, auf die über den Internet Explorer zugegriffen wird.
Dieses Tool funktioniert auf Windows-Versionen bis Windows 10 und unterstützt sowohl 32-Bit- als auch 64-Bit-Systeme.
Hashcat
Hashcat ist ein beliebtes Tool zum Knacken von Passwörtern, das von Penetrationstestern, Systemadministratoren, Kriminellen und Spionen weit verbreitet ist.
Um Passwörter sicher zu speichern, werden Passwörter in eine unverständliche Folge von Zahlen und Buchstaben umgewandelt, indem sie durch einen Hash-Algorithmus geleitet werden. Hashcat errät Passwörter, hasht sie und vergleicht sie mit dem gespeicherten Hash und wiederholt den Vorgang, bis das richtige Passwort gefunden ist. Hashcat unterstützt alle vorhandenen Hash-Formate und kann die GPU eines Systems verwenden, um das Knacken von Passwörtern zu beschleunigen.
Hashcat kann verschiedene Angriffe ausführen, um Passwörter zu knacken. Zu diesen Angriffen gehören Wörterbuchangriffe, Kombinatorangriffe, Maskenangriffe und der effizienteste Angriff, der regelbasierte Angriff.
Wenn Sie Passwörter knacken müssen. Dies ist Ihr Werkzeug.
John the Ripper Passwort-Cracker
John the Ripper Password Cracker ist ein kostenloses Open-Source-Tool zur Überprüfung der Passwortsicherheit und zur Passwortwiederherstellung. Es kann verwendet werden, um schwache Passwörter in einem System zu finden und zu knacken.
Dieses Tool unterstützt Hunderte von Hashes und Chiffren, einschließlich Hashes, die in Passwörtern verwendet werden, die unter anderem in UNIX-basierten Systemen, Windows-Betriebssystemen, MacOS, Web-Apps wie WordPress, Datenbankservern wie SQL und verschlüsselten privaten Schlüsseln auf Kryptowährungs-Wallets gespeichert sind.
Im Gegensatz zu Hashcat kann John the Ripper jedoch die GPU-Beschleunigung verwenden, um das Knacken von Passwörtern zu beschleunigen.
Fazit
Die forensische Entschlüsselung erfolgt mit einer breiten Palette von Tools, von denen jedes eine einzigartige Anwendung hat. Bestimmte Tools eignen sich am besten für bestimmte Aufgaben, wie im Fall von Hashcat das Knacken von Passwörtern für Penetrationstests.
Um das richtige Tool zur Unterstützung Ihrer Ermittlungen zu ermitteln, ist es wichtig, dass Sie zunächst die Art Ihrer Ermittlungen und die angestrebten Ziele festlegen. Von dort aus können Sie dann entscheiden, welches der in diesem Artikel besprochenen Tools verwendet werden soll.