Elcomsoft system recovery что это за программа

Reset or recover passwords to local Windows accounts and Microsoft Account in all versions of Windows. Assign administrative privileges to any user account, reset expired passwords or export password hashes for offline recovery. Create forensic disk images. Supplied with bootable Windows PE environment.

• Perform forensically sound extractions
• Reset passwords to Windows accounts
• Extract encryption metadata from TrueCrypt, VeraCrypt, Bitlocker, FileVault (HFS+/APFS), PGP Disk, LUKS and LUKS2 encrypted disks

• Create forensic disk images
• Recover passwords to local accounts, Microsoft Accounts and Wi-Fi networks
• Customized Windows PE environment with broad hardware compatibility and genuinely native FAT and NTFS support

Supports: Windows 7, 8, 8.1, Windows 10, Windows 11; Windows Vista, Windows XP, Windows 2000, Windows NT; all relevant Windows Server versions; 32-bit and 64-bit systems; Windows PE with 32-bit and 64-bit UEFI and legacy BIOS configurations; familiar Windows GUI; SAM/SYSTEM and Active Directory

Unlock, Turn off BitLocker ENCRYPTED Drive WITHOUT a RECOVERY KEY in 1 Minute

Professional Edition

21900 руб.

Buy now

• Description
• Feature List
• System requirements

New features

Bootable forensic tools

The latest release introduced features that make it easier to analyze computer systems in the field. The newly added forensic tools allow reviewing the list of installed apps (system-wide), analyze the users’ timeline and access the list of recently accessed files and folders. These tools can be launched instantly from the bootable drive and are designed to speed up investigations by shortcutting the lengthy disk imaging and analysis process.

Forensically sound extractions and verifiable disk images

Elcomsoft System Recovery gains features aimed at making in-field investigations more efficient and straightforward, making forensically sound field analysis possible with write-blocking disk imaging, read-only access and support for verifiable .E01 images. These features help producing court admissible evidence and making subsequent analysis possible with third-party forensic tools.

Windows Hello PIN recovery

Elcomsoft System Recovery 8.30 brings the ability to detect PIN-protected accounts and brute-force the PIN code on systems without a Trusted Platform Module (TPM). The recovery takes seconds for 4-digit PINs, and up to several minutes for 6-digit PINs.

Forensically Sound Extractions, Verifiable Disk Imaging

When accessing a locked system during an in-field investigation, speed is often the most important factor. However, maintaining digital chain of custody is crucial when producing court admissible evidence. Elcomsoft System Recovery contains features to help establish and maintain digital chain of custody throughout the investigation.

In order to preserve digital evidence, the chain of custody begins from the first point of data collection. Elcomsoft System Recovery employs a forensically sound workflow to ensure that digital evidence collected during the investigation remains court admissible. The workflow implements read-only, write-blocking access to the target computer, and saves collected evidence in the form of digitally signed, verifiable disk images, making Elcomsoft System Recovery a viable alternative to hardware-based write blocking disk imaging devices while offering real-time access to crucial evidence.

Elcomsoft System Recovery Professional Demo

Write-blocking disk access

Elcomsoft System Recovery helps producing court admissible evidence with write-blocking mode and read-only disk imaging. The write-blocking mode is engaged by default during the first steps of running Elcomsoft System Recovery, ensuring that no data is modified on the target computer. Write-blocking disk access is the tool’s default behavior. Experts must explicitly untick the “read-only” box to access system management functionality such as resetting Windows user and administrative passwords.

Verifiable disk imaging

The disks can be imaged into verifiable .E01 images. Together with read-only access, the use of hashing helps establish digital chain of custody, while employing the industry-standard .E01 format makes the images compatible with third-party forensic tools for comprehensive analysis. Whether the disk is imaged into a RAW/DD or the newly supported .E01 format, Elcomsoft System Recovery calculates a hash file and places it alongside with the image. The hash values calculated during collection can be used to authenticate evidence at a later stage.

Improved Full-Disk Encryption Workflow

Elcomsoft System Recovery makes it easier to access data stored in encrypted disks and containers. With automatic detection of encrypted volumes, ESR will automatically extract hashes required to launch an attack [1] on the password of the encrypted volume, saving them to the flash drive to offer faster access to encrypted evidence compared to the traditional workflow. In addition, ESR can extract and save hibernation files that may contain the encryption keys to access information stored in encrypted volumes. These keys can be used to instantly mount encrypted volumes or decrypt their content for offline analysis [2] .

Encrypted Virtual Machines

In the world of hi-tech crime, encrypted virtual machines become one the most widely used cover-up tools. Manually locating such virtual machines can be an involving and time-consuming process. We made your work easier by finding many types of encrypted virtual machines automatically. Better yet, ESR will automatically capture the encryption metadata you’ll need to launch the attack on the VM encryption password in Elcomsoft Distributed Password Recovery.

Reset or Recover Windows Account Passwords

Up to 40% of support calls are related to forgotten passwords and locked logins. Elcomsoft System Recovery helps instantly reset Windows system passwords, enabling system administrators regain access to locked Windows accounts. Supporting local Windows accounts, network domains and Microsoft Account, Elcomsoft System Recovery is a must-have tool for network administrators, IT professionals and security specialists.

Reset or Recover SYSKEY Passwords

SYSKEY passwords were a dubious and controversial way to add an extra layer of security to Windows login. Used in older versions of Windows, SYSKEY passwords were removed from Windows 10 and Windows Server 2016 release 1709. An unknown SYSKEY password blocks Windows startup and prevents the ability to recover or reset the user’s account password.

Elcomsoft System Recovery can reset SYSKEY passwords in order to restore the system’s normal boot operation. Before resetting a SYSKEY password, ESR will now check whether this operation is safe for the system.

In addition, Elcomsoft System Recovery allows looking up for cached SYSKEY passwords in various system databases and cache files before resetting.

Instant Reset and Configurable Attacks

Elcomsoft System Recovery can reset account passwords instantly, while supporting pre-configured attacks to recover the original passwords. In addition, users can upload their own custom dictionaries for high-performance dictionary attacks with up to 4 levels of mutations.

Elcomsoft System Recovery unlocks locked and disabled user and administrative accounts in Windows 7, 8, 8.1, Windows 10, as well as many legacy versions of Windows including Windows Vista, Windows XP, Windows 2000, Windows NT as well as the corresponding Server versions up to and including Windows Server 2019. Both 32-bit and 64-bit systems are supported.

Ready to Boot, Immediate Assistance, Easy to Operate

Elcomsoft System Recovery comes with everything to quickly create a bootable DVD or USB flash drive. The image is based on a customized Windows PE environment, and comes pre-configured with a number of drivers to allow seamless experience on most legacy and cutting-edge hardware configurations.

Create a bootable USB drive or DVD disc in a few easy steps for immediate assistance. Elcomsoft System Recovery comes with 32-bit and 64-bit UEFI and legacy BIOS configurations, allowing you to create bootable media for all types of systems.

The genuine Windows PE environment offers complete access to the familiar Windows graphical user interface. No command line scripts and no poor imitations of the Windows GUI!

Case Studies

Elcomsoft System Recovery is an all-in-one security tool for Windows accounts. The tool helps detect and resolve a variety of issues related to user and administrative account passwords.

• Perform forensically sound data collection
• Do in-field analysis and disk imaging
• Collect court admissible evidence during in-field investigations
• Assign Administrator privileges to any user account
• Enable and unlock the locked and disabled user accounts
• Create forensic disk image for subsequent in-lab analysis
• Change and reset passwords for any local accounts
• List all local user accounts and highlight Administrator accounts
• Look up account privileges
• Detect accounts with empty passwords
• Instantly recover certain passwords to special/system accounts (e.g. IUSR_, HelpAssistant, etc)
• Backup and restore SAM/SYSTEM files
• Optionally restore original SAM/SYSTEM files after successful logon with a new password

Add more capabilities

Elcomsoft Encrypted Disk Hunter

Elcomsoft Encrypted Disk Hunter is a free, portable command-line tool to quickly discover the presence of encrypted volumes when performing live system analysis.

Multiple Windows, Linux and macOS full-disk encryption tools are supported including TrueCrypt/VeraCrypt, all versions of Microsoft BitLocker, PGP WDE, FileVault2, BestCrypt and LUKS. The tool must be launched with administrative privileges on the live system being analyzed. If an encrypted volume is detected, a further investigation of a live system might be needed to preserve evidence that could be lost if the computer were powered off.

1. Elcomsoft Distributed Password Recovery is required to recover passwords to encrypted containers.
2. Elcomsoft Forensic Disk Decryptor is required to search for encryption keys, mount and/or decrypt encrypted volumes.

Источник: www.elcomsoft.com

Elcomsoft System Recovery

Восстановление доступа к учётным записям Windows, включая локальные, сетевые и учётные записи Microsoft Account. Поддерживается сброс и восстановление оригинальных паролей. Создание образов дисков. Поставляется с лицензированным образом Windows PE для загрузки системы с внешнего накопителя.

• Сброс паролей к учётным записям Windows и Microsoft Account
• Встроенный файловый менеджер FAR
• Извлечение метаданных шифрования TrueCrypt, VeraCrypt, Bitlocker, FileVault (HFS+/APFS), PGP Disk и LUKS

• Создание образов дисков для последующего анализа
• Гарантированная прозрачность извлечения и неизменность данных
• Доработанная среда Windows PE с расширенной поддержкой аппаратного обеспечения и полной поддержкой всех версий FAT и NTFS

Поддерживает: Windows 7, 8, 8.1, Windows 10, Windows 11; Windows Vista, Windows XP, Windows 2000, Windows NT; все версии Windows Server; 32-и 64-битные редакции; Windows PE с поддержкой загрузчиков для 32-и 64-битных UEFI и BIOS; привычный интерфейс Windows; SAM/SYSTEM и Active Directory

НОВЫЕ ФУНКЦИИ

Новые криминалистические инструменты

В последнем обновлении продукта появился набор инструментов для поиска цифровых улик. Загрузив исследуемый компьютер с внешнего накопителя, эксперт сможет использовать функции просмотра списка установленных в системе приложений и анализа действий пользователей на компьютере с привязкой к временной шкале. Кроме того, доступен инструмент, позволяющий узнать, к каким файлам и папкам пользователь недавно обращался. Для проведения анализа не потребуются пароли пользователей.

Криминалистическая чистота и гарантия неизменности цифровых улик

Elcomsoft System Recovery обеспечит гарантию неизменности извлекаемых данных и криминалистической чистоты улик, собранных в процессе анализа компьютеров в полевых условиях. Исследуемые диски по умолчанию монтируются в режиме «только для чтения», что гарантирует неизменность данных на исследуемом компьютере в процессе анализа. Поддержка использующегося криминалистическими программами стандарта образов дисков .E01, в котором теперь могут сохраняться данные, обеспечивает возможность подписи создаваемых образов с последующей верификацией неизменности извлечённых данных.

Сбор и анализ цифровых улик на выезде

Распространённая практика судебной экспертизы – анализ образов дисков, а не физических устройств. И если традиционный подход к анализу предполагает извлечение жёсткого диска из корпуса компьютера, то Elcomsoft System Recovery позволяет создавать образы дисков, не извлекая накопители. Загрузка системы с USB накопителя позволяет свести к нулю риски, связанные с исследованием загруженной системы с активной пользовательской сессии.

При работе на выезде определяющим фактором зачастую является время, затраченное на поиск и анализ улик; в то же время важно обеспечить чистоту собранных в процессе анализа данных с правовой точки зрения. При создании образов дисков необходимо обеспечить как неизменность изначальных данных и доказательное соответствие снятого образа оригиналу, так и неизменность самого образа в процессе его хранения и обработки.

Сохранение криминалистической чистоты собранных улик начинается с первого звена цепочки. Именно по этой причине стандартная методика предписывает отключение компьютера и изъятие жёстких дисков (а также снятие образа оперативной памяти). Elcomsoft System Recovery предлагает альтернативный способ доступа к данным, позволяющий сэкономить время и усилия во время работы на выезде. Программа поможет преодолеть проблему доступа к заблокированной системе загрузкой с внешнего накопителя, обеспечивая возможность исследования компьютеров в полевых условиях и позволяя снять образ дисков компьютера, найти зашифрованные тома и зашифрованные виртуальные машины. Elcomsoft System Recovery можно рекомендовать в качестве замены специализированным аппаратным комплексам для снятия образов дисков с функцией блокировки записи.

Криминалистическая чистота извлечения и гарантия неизменности цифровых улик

Возможности контроля целостности и неизменности данных в процессе изъятия и хранения превращают Elcomsoft System Recovery в незаменимый инструмент для экспертов-криминалистов, работающих на выезде. Доступ к исследуемым дискам по умолчанию производится в режиме «только для чтения», что гарантирует неизменность данных в процессе анализа.

С первых шагов работы Elcomsoft System Recovery автоматически активируется режим «только для чтения», что гарантирует неизменность данных в процессе анализа. В этом режиме можно снимать образы дисков, извлекать метаданные шифрования, а также проводить анализ файловой системы посредством встроенного менеджера файлов.

Неизменность извлекаемых данных обеспечивается цифровой подписью созданных программой образов дисков. В качестве формата для сохранения образов дисков рекомендуется распространённый формат E01, использующийся в качестве стандарта де-факто многочисленными криминалистическими программами. Поддержка формата .E01 с цифровой подписью гарантирует целостность и неизменность сделанных программой образов, обеспечивая криминалистическую чистоту собранных в процессе анализа улик.

Быстрый доступ к содержимому зашифрованных дисков

Пользователи Elcomsoft System Recovery могут получить доступ к зашифрованной информации быстрее, чем при использовании традиционных подходов. ESR автоматически определит наличие зашифрованных BitLocker, LUKS, PGP и TrueCrypt/VeraCrypt томов с последующим извлечением информации, необходимой для восстановления пароля к зашифрованному диску. Кроме того,
на USB-накопитель можно сохранить содержимое системного файла гибернации, из которого могут быть извлечены ключи шифрования для мгновенного монтирования или расшифровки
зашифрованных дисков.

Поиск зашифрованных виртуальных машин

Виртуальные машины, защищённые стойким шифрованием, получили широкое распространение в криминальной среде. Использование не оставляющих цифрового следа зашифрованных виртуальных машин позволяет злоумышленникам минимизировать утечку инкриминирующих данных.

Поиск и расшифровка таких виртуальных машин – одна из важных задач эксперта-криминалиста. Elcomsoft System Recovery 7.07 позволяет ускорить процесс путём автоматического поиска зашифрованных виртуальных машин. При их обнаружении продукт сохраняет метаданные шифрования, необходимые для восстановления пароля посредством Elcomsoft Distributed Password Recovery.

Восстановление доступа к заблокированным учётным записям Windows

До 40% обращений в службы технической поддержки связаны с забытыми или утерянными паролями для входа в систему. Elcomsoft System Recovery помогает мгновенно вернуть доступ путем сброса паролей или разблокирования учётных записей, поддерживая как локальные записи (включая Microsoft accounts), так и записи на контроллере домена.

Сбросить или восстановить

Elcomsoft System Recovery позволяет сбросить пароли к учётным записям, в то же время включая ряд атак, с помощью которых в ряде случаев за короткое время могут быть найдены оригинальные пароли.

Elcomsoft System Recovery разблокирует учётные записи Администратора и других пользователей в системах Windows Windows 7, Windows 8/8.1, Windows 10, а также множество устаревших систем, включая Windows Vista, Windows XP, Windows 2000 и Windows NT, включая все серверные редакции. Поддерживаются как 32-битные, так и 64-битные версии.

Примеры использования

Elcomsoft System Recovery позволяет не только восстанавливать или сбрасывать пароли, но поможет и при некоторых других проблемах, связанных с доступом в систему. Например, с его помощью также можно:

• Провести извлечение и анализ цифровых улик на выезде
• Снять образы дисков, собрать цифровые улики с гарантией целостности и неизменности данных
• Присвоить привилегии Администратора учётной записи любого пользователя
• Создать образы дисков для последующего анализа в лаборатории
• Разблокировать учётную запись (которая была явно заблокирована Администратором, или после нескольких неудачных попыток ввода пароля)
• Сбросить или поменять пароль к учётной записи пользователя
• Показать список всех учётных записей в системе, выделив те, у которых есть привилегии Администратора
• Показать список привилегий пользователя
• Найти учётные записи с пустым паролем
• Мгновенно восстановить пароли к некоторым специальным/системным учётным записям (например, IUSR, HelpAssistant и т.д.)
• Создать резервные копии файлов SAM/SYSTEM (и при необходимости восстановить из них – например, после входя в систему с новым паролем или после повышения привилегий)
• Извлечь метаданные шифрования с зашифрованных дисков и использовать их для подбора пароля

Источник: www.polikom.ru

Введение

Elcomsoft System Recovery помогает системным администраторам сбрасывать или восстанавливать пароли к локальным учетным записям Windows и учетной записи Microsoft (во всех версиях Windows), давать права администратора любой учетной записи пользователя, сбрасывать пароли с истекшим сроком действия или экспортировать хэши паролей для восстановления в автономном режиме. Программа может обнаруживать следы шифрования и создавать образы дисков для криминалистической экспертизы. Elcomsoft System Recovery поставляется с загрузочной средой Windows PE.

Характеристики и преимущества

• Загрузочная среда Windows PE (Preinstallation Environment) по лицензии Microsoft

• Восстанавливает или сбрасывает пароли пользователей и администраторов

• Восстановление исходного пароля может предоставить автоматический доступ к файлам, зашифрованным с использованием EFS.

• Разблокирует и дает доступ учетным записям пользователей и администраторов.

• Назначает права администратора любой учетной записи пользователя

• Сбрасывает или отключает параметры истечения срока действия пароля

• Широкая совместимость с оборудованием и встроенная поддержка FAT и NTFS

• Естественный графический интерфейс Windows для удобной работы

• Поддерживает Windows NT 4, Windows 2000, Windows XP, Windows Vista, Windows 7, Windows 8 / 8.1, Windows 10

• Поддерживает Windows Server 2000/2003/2008/2012/2016/2019 (включая пароль администратора домена и пароли всех пользователей)

• Поддерживает US и локализованные версии Windows, а также мультиязычные имена пользователей и пароли.

• Автоматически определяет все установки ОС Windows

• Возможность сбрасывать хешированные пароли из файлов SAM / SYSTEM или из БД Active Directory для дальнейшего анализа и восстановления пароля в автономном режиме

• Возможность сбросить кэшированные учетные данные домена

• Дамп ключей шифрования для защищенных дисков

• Поддерживает учетные записи Microsoft Live!

• Сбрасывает или ищет SYSKEY пароль

• Сброс пароля для кэшированных учетных записей домена

• Дамп ключей шифрования диска

• Разблокирует диски, зашифрованные с помощью BitLocker

• Находит зашифрованные виртуальные машины и извлекает метаданные шифрования для последующего восстановления пароля

• Создает образы дисков или разделов для криминалистического анализа

Готов к загрузке, мгновенная разблокировка

Elcomsoft System Recovery поставляется в виде программы, которая позволяет быстро создать загрузочный диск (CD или USB). Не нужно создавать доступ к установочным дискам Windows, чтобы их сделать. ElcomSoft лицензировала среду предустановки Windows (Windows PE) непосредственно у Microsoft, что позволяет компании распространять полностью рабочую загрузочную среду Windows на основе Windows 10.

Если в вашей учетной записи Windows нет файлов, зашифрованных с помощью EFS, вариант мгновенной разблокировки — самый быстрый и простой способ получить доступ к учетным записям пользователей и администраторов. Elcomsoft System Recovery сбрасывает забытые пароли, используя новый пароль, предоставленным вами, что позволяет мгновенно войти в систему без трудоемких операций по восстановлению пароля.

Широкая совместимость

Загрузочная среда Elcomsoft System Recovery поддерживает множество аппаратных компонентов, включая самые популярные контроллеры жестких дисков, благодаря встроенным драйверам Windows. В отличие от различных сред эмуляции, Elcomsoft System Recovery полностью совместим с последними версиями файловых систем Microsoft, включая последние версии FAT (FAT32, exFAT) и NTFS.

Восстанавливает уникальные пароли

Elcomsoft System Recovery может восстановить уникальный пароль с помощью стандартных паролей и словарных атак. Elcomsoft System Recovery проверяет места, где кэшируются системные пароли, часто позволяя мгновенно восстановить пароль.

Автономное восстановление паролей стало возможным благодаря выгрузке хешированных паролей из файлов SAM / SYSTEM или базы данных Active Directory для дальнейшего анализа в автономном режиме. Мы рекомедуем использовать для восстановления системных паролей наш продукт — Elcomsoft Distributed Password Recovery — поддерживающий вычисления на графических процессорах.

Источник: www.elcomsoft.ru