津鴻萌科貿發展有限公司是 ElcomSoft 系列軟件的授權代理商。
Elcomsoft System Recovery 軟件用于在所有版本的 Windows 中重置或恢復本地 Windows 帳戶和 Microsoft 帳戶的密碼。為任何用戶帳戶分配管理權限,重置過期密碼或導出密碼哈希以進行離線恢復。創建取證磁盤鏡像。提供可啟動的 Windows PE 環境。
支持: Windows 7, 8, 8.1, Windows 10, Windows 11; Windows Vista, Windows XP, Windows 2000, Windows NT; 所有 Windows Server 版本; 32-bit 及 64-bit 系統; 具有 32-bit 及 64-bit UEFI 及舊版本 BIOS 配置的Windows PE; 相似的 Windows 圖形界面; SAM/SYSTEM 及 Active Directory
01 可啟動的取證工具,簡化現場分析工作
最新版本引入了一些功能,可以更輕松地現場分析計算機系統。新添加的取證工具允許查看已安裝應用程序的列表(系統范圍內)、分析用戶的時間線并訪問最近訪問的文件和文件夾的列表。專家現在可以通過從指定的 USB 設備啟動來從他們正在檢查的計算機中收集和提取重要的資料。這些資料包括重要內容,例如用戶的 Windows 注冊表副本、重要的 DPAPI 和加密密鑰、系統憑據、各種系統和事件日志,以及可用來掃描 BitLocker 和第三方磁盤加密工具所使用的加密密鑰的頁面和休眠文件。
02 符合取證要求的提取操作和可驗證的磁盤鏡像
Elcomsoft System Recovery 功能旨在使現場調查更加高效和直接,通過防寫入的磁盤鏡像、只讀訪問和對可驗證的 .E01 鏡像的支持,使符合取證要求的現場分析成為可能。這些功能有助于生成法庭認可的證據,并可以利用第三方取證工具進行后續分析。
在現場調查期間訪問鎖定的系統時,速度通常是最重要的因素。然而,在提供法庭有效的證據時,維護數字監管鏈至關重要。Elcomsoft System Recovery 包含有助于在整個調查過程中建立和維護數字監管鏈的功能。
為了保存數字證據,監管鏈從數據收集的第一個節點開始。Elcomsoft System Recovery 采用取證合規良好的工作流程,確保調查過程中收集的數字證據可供法庭采信。該工作流程實現對目標計算機的只讀、寫阻止訪問,并以數字簽名、可驗證的磁盤鏡像的形式保存收集到的證據,使 Elcomsoft System Recovery 成為基于硬件的寫阻止磁盤鏡像設備的可行替代方案,同時可實時訪問關鍵證據。
寫阻止磁盤訪問
Elcomsoft System Recovery 通過寫阻止模式和只讀磁盤鏡像幫助生成法庭可接受的證據。在運行 Elcomsoft System Recovery 的第一步中,默認情況下會啟用寫阻止模式,以確保目標計算機上沒有數據被修改。寫入阻止磁盤訪問是該工具的默認行為。專家必須明確取消選中“只讀”框才能訪問系統管理功能,例如重置 Windows 用戶和管理密碼。
可驗證的磁盤鏡像
可以為磁盤制作可驗證的.E01 鏡像。結合只讀訪問功能,使用哈希有助于建立數字監管鏈,同時采用行業標準的 .E01 格式使鏡像與第三方取證工具兼容,以進行全面分析。無論制作磁盤鏡像為 RAW/DD 還是新支持的 .E01 格式,Elcomsoft System Recovery 都會計算哈希文件并將其與鏡像放在一起。收集過程中計算出的哈希值可用于稍后驗證證據。
Elcomsoft System Recovery 可以更輕松地訪問存儲在加密磁盤和容器中的數據。通過自動檢測加密卷,ESR 將自動提取對加密卷密碼發起攻擊所需的哈希值,并將它們保存到閃存驅動器,以便與傳統工作流程相比更快地訪問加密證據。此外,ESR 可以提取并保存可能包含加密密鑰的休眠文件,以訪問加密卷中存儲的信息。這些密鑰可用于立即安裝加密卷或解密其內容以進行離線分析。
在高科技犯罪領域,加密虛擬機成為最廣泛使用的掩蓋工具之一。手動定位此類虛擬機可能是一個復雜且耗時的過程。我們通過自動查找多種類型的加密虛擬機使您的工作更加輕松。更有利的是,ESR 將自動捕獲您在 Elcomsoft Distributed Password Recovery 中對虛擬機加密密碼發起攻擊所需的加密元數據。
在技術支持服務中,高達 40% 的電話求助與忘記密碼和鎖定登錄有關。Elcomsoft System Recovery 可幫助立即重置 Windows 系統密碼,使系統管理員能夠重新獲得對鎖定的 Windows 帳戶的訪問權限。Elcomsoft System Recovery 支持本地 Windows 帳戶、網絡域和 Microsoft 帳戶,是網絡管理員、IT 專業人員和安全專家的必備工具。
SYSKEY 密碼是一種為 Windows 登錄添加額外安全層的可疑且有爭議的方法。在舊版 Windows 中使用的 SYSKEY 密碼已從 Windows 10 和 Windows Server 2016 版本 1709 中刪除。未知的 SYSKEY 密碼會阻止 Windows 啟動并阻止恢復或重置用戶帳戶密碼的能力。
Elcomsoft System Recovery可以重置SYSKEY密碼以恢復系統的正常啟動操作。在重置 SYSKEY 密碼之前,ESR 現在將檢查此操作對系統是否安全。
此外,Elcomsoft System Recovery 允許在重置之前在各種系統數據庫和緩存文件中查找緩存的 SYSKEY 密碼。
Elcomsoft System Recovery 可以立即重置帳戶密碼,同時支持預先配置的攻擊來恢復原始密碼。此外,用戶還可以上傳自己的自定義字典,以進行最多 4 級突變的高性能字典攻擊。
Elcomsoft System Recovery 可解鎖 Windows 7、8、8.1、Windows 10 以及許多舊版 Windows(包括 Windows Vista、Windows XP、Windows 2000、Windows NT 以及相應的服務器版本)中鎖定和禁用的用戶和管理帳戶到并包括 Windows Server 2019。同時支持 32 位和 64 位系統。
Elcomsoft System Recovery 附帶快速創建可啟動 DVD 或 USB 閃存驅動器的一切功能。該映像基于定制的 Windows PE 環境,并預先配置了許多驅動程序,以便在大多數傳統和尖端硬件配置上提供無縫體驗。
只需幾個簡單的步驟即可創建可啟動 USB 驅動器或 DVD 光盤,以獲得即時幫助。Elcomsoft System Recovery 附帶 32 位和 64 位 UEFI 以及舊版 BIOS 配置,允許您為所有類型的系統創建可啟動媒體。
廣泛的兼容性
Elcomsoft System Recovery 附帶定制的 Windows PE 環境。可啟動環境支持最廣泛的硬件組件,包括最新的存儲控制器和芯片組。與各種仿真環境不同,Elcomsoft System Recovery 真正兼容 Microsoft 文件系統的最新版本,包括最新版本的 FAT 和 NTFS。
快速取證工具
快速取證工具可以通過從外部 USB 驅動器啟動來更輕松地分析現場計算機系統。這些工具允許檢查系統中安裝的應用程序列表,分析用戶的時間線并訪問最近訪問的文件和文件夾的列表,以及執行更多操作,使取證專家能夠從他們正在檢查的計算機中收集和提取重要的工件從指定的 USB 設備啟動。專家可以提取、保存和分析數字信息,例如用戶的 Windows 注冊表副本、重要的 DPAPI 和加密密鑰、系統憑據、各種系統和事件日志,以及可掃描 BitLocker 使用的加密密鑰的頁面和休眠文件和第三方磁盤加密工具。
macOS 加密
借助 Elcomsoft System Recovery,專家現在可以創建閃存驅動器來啟動 macOS 計算機。可啟動閃存驅動器允許專家從 TrueCrypt、VeraCrypt、Bitlocker、FileVault (HFS+/APFS)、PGP Disk、LUKS 和 LUKS2 加密磁盤中提取哈希值,以快速啟動對加密卷的密碼攻擊,而無需對整個驅動器進行鏡像。
即時解鎖
如果您的 Windows 帳戶上沒有 EFS 加密的文件,則即時解鎖選項是獲取用戶和管理帳戶訪問權限的最快、最簡單的方法。Elcomsoft System Recovery 使用您提供的新密碼重置忘記的密碼,從而無需執行耗時的密碼恢復操作即可立即登錄。
恢復 Windows 帳戶和 Wi-Fi 密碼
如果您必須知道 Windows 帳戶的原始密碼,Elcomsoft System Recovery 完全配備了恢復密碼所需的一切。直接嘗試常見密碼和字典攻擊,只需幾分鐘,很有可能檢索到密碼。
Elcomsoft System Recovery 知道系統密碼的緩存位置,通常允許即時密碼恢復。
通過從 SAM/SYSTEM 文件或 Active Directory 數據庫轉儲散列密碼以進行進一步的離線分析,可以輕松實現離線密碼恢復。ElcomSoft 建議使用Elcomsoft 分布式密碼恢復來實現高度可擴展、GPU 加速的系統密碼恢復。
除了 Windows 帳戶密碼外,ESR 還可以提取存儲的 Wi-Fi 密碼。與其他類型的密碼一起,Wi-Fi 密碼可以添加到高度針對性的自定義字典中,該字典可用于破解強加密并攻擊保護加密文檔、磁盤和帳戶的密碼。
提取密碼提示、問題和答案
Elcomsoft System Recovery 可以提取密碼提示以及安全問題和答案,旨在幫助用戶回憶起忘記的密碼。審查人員可以使用密碼提示和 QA 來重新創建用戶的原始密碼,并為密碼攻擊制作有針對性的字典。
支持 Microsoft 帳戶密碼和 Windows Hello PIN
在 Windows 8 中,Microsoft 添加了通過 Microsoft Account 驗證 Windows 帳戶的功能。Microsoft 帳戶是一種在線身份驗證機制,在包括 Windows 10 在內的新版本 Windows 中積極使用。Microsoft 帳戶憑據在 Microsoft 服務器上在線進行身份驗證;但是,Elcomsoft System Recovery 可以立即重置用戶 Microsoft 帳戶密碼的本地緩存副本,并將身份驗證模式切換回離線狀態。此外,該工具還可以在沒有受信任平臺模塊 (TPM) 的計算機上快速暴力破解 4 位數到 6 位數的 Windows Hello PIN。
除了立即重置密碼之外,Elcomsoft System Recovery 還能夠導出散列的 Microsoft 帳戶密碼,使專家能夠使用 Elcomsoft 分布式密碼恢復或兼容工具執行攻擊以恢復原始純文本密碼。通過恢復原始密碼,專家可以訪問存儲在 Microsoft 和通過 Microsoft 帳戶驗證的第三方服務中的大量信息。這些服務包括 Skype、Hotmail 和 OneDrive。此外,Microsoft 帳戶還可以解鎖對 Windows Phone 和 Windows 10 移動版備份、有關帳戶所有者的詳細信息、連接到該帳戶的所有桌面和移動設備的完整列表(及其位置)的訪問權限,在某些情況下甚至可以同步所有用戶設備的瀏覽歷史記錄,收藏夾和表單數據,包括在線服務和社交網絡的密碼。最后,知道用戶的 Microsoft 帳戶密碼后就可以訪問 BitLocker 恢復密鑰,從而允許專家訪問使用 BitLocker 加密的卷。
安全操作
Elcomsoft System Recovery 采取的每個步驟都附有所有更改的完整備份,可以輕松地將系統回滾到其原始狀態。
Elcomsoft System Recovery 是一款適用于 Windows 帳戶的一體化安全工具。該工具有助于檢測和解決與用戶和管理帳戶密碼相關的各種問題。
Elcomsoft System Recovery:取證資料
Elcomsoft System Recovery:時間線
Elcomsoft System Recovery:選擇數據源
自去年開始,微軟一直在反復強調一件事:Windows 10 將于 2025 年 10 月 14 日退役,屆時將不再受官方支持。點開 Windows 10 的官方文檔,一入眼也是這條醒目的通知:
微軟肯定沒想到,在如此大力宣傳 Windows 10 即將退役、極力推薦升級至 Windows 11 的前提下,Windows 10 的市場份額還能再度上漲。
根據分析機構 Statcounter 統計的 2024 年 4 月數據顯示:Windows 11 的市場份額在今年 2 月達到 28.16% 的歷史最高點后,如今又驟降至 25.69%;反觀 Windows 10 卻在同期上升近 70% ——要知道,這還是在微軟反復強調將于 2025 年 10 月結束對 Windows 10 的支持之后。
Windows 11 的市占率低,或許并不意外
通常情況下,一款操作系統的后繼版本一經推出,老版本的占有率就會下降。而 Windows 11 在短短 2 個月內就下降了近三個百分點,這很能說明問題。
Windows 11 自推出以來問題頻出,更新質量也差,其中最大的問題是硬件門檻高,導致許多用戶無法在第一時間進行升級。除此之外,Windows 11 還有一系列幾乎是在用戶“雷區蹦迪”的嘗試:在“開始”菜單中強行加入廣告推薦、測試占據整個屏幕的促銷推薦頁面、反復建議把 Edge 設置為默認瀏覽器……其中最煩的是,用戶無法完全關掉這些廣告,系統會用不斷通知來塞滿用戶界面。
要問 Windows 11 比 Windows 10 多提供了哪些功能?有一些但不多,例如將圖標和“開始”菜單放在任務欄的中心位置,以及恢復桌面小部件等,但這對多數用戶來說幾乎不值一提。反而 Windows 10 移動任務欄的功能,實際上在 Windows 11 中被砍掉了。
回顧 Windows 10 發布的時候,它是在 Windows 8/8.1 之后推出的,相比之下帶來了許多用戶真正需要的改進(包括重新引入開始菜單),另一方面對比后繼版本 Windows 11,它也更加穩定,更新的質量也更高。
這樣看來,Windows 10 能占據整個 Windows 用戶群 70% 左右的份額,也就并不意外了——即便如此,微軟淘汰這款深受用戶喜愛的操作系統的決心,也絲毫沒有動搖。
提供“一條龍”服務,再次敦促用戶升級至 Windows 11
近日,為了進一步敦促用戶升級到 Windows 11,微軟新增了一個“支持結束”頁面,再次呼吁用戶從 Windows 10 過渡到 Windows 11。
微軟解釋道,Windows 10 用戶在 2025 年 10 月 14 日之后將不再收到安全或技術更新:用戶電腦將繼續工作,但不會獲得安全更新,并將面臨潛在的安全漏洞,因此建議用戶升級到 Windows 11(如果電腦硬件允許升級的話)。
這個頁面的下方還鏈接了其他三個頁面,分別介紹了 Windows 11 的功能、Windows 10&11 的直接對比,以及教你如何選購新的筆記本電腦——可謂是“一條龍”服務。
(1)首先介紹 Windows 11 的功能,讓用戶有個大致的了解。
(2)其次,微軟專門為 Windows 10&11 的對比列了個表,主打就是體現 Windows 11 在功能、安全等各個方面都碾壓 Windows 10,以此暗示用戶盡快升級至 Windows 11。
(3)最后,推薦微軟旗下的支持升級 Windows 11 新設備,讓用戶了解如何選購新的筆記本電腦。不僅如此,微軟還會介紹如何在 OneDrive 上備份數據,確保過渡到新設備時不會丟失數據,解了用戶的后顧之憂。
在這方面,微軟堅持認為,用戶最好能買一臺可以運行 Windows 11 的新設備,甚至如果想要效果更佳,可以選擇其全新的下一代 Copilot+ PC。
“不如加快 Windows 12 的發布速度”
對于不想遷移到 Windows 11 的 Windows 10 用戶來說,面臨一個艱難的選擇:是完全轉用其他操作系統(如 Linux),還是繼續使用 Windows 10,并在 2025 年 10 月之后將自己的電腦暴露于惡意軟件和安全漏洞之下。
除了這兩種方法以外,上個月微軟正式公布了 Windows 10 面向商業、企業、教育機構的擴展安全更新( ESU)的價格——也就是說,如果你想繼續安全地使用這款操作系統,那么就必須要付費。據悉,第一年每臺 PC 將收取 61 美元(約 441 元)的費用,而后逐年還會上漲,到了第三年企業要為每臺 Windows 10 的設備支付 244 美元(約 1765 元)的價格來獲得安全更新。
顯然,這只是一種臨時解決方案,主要是針對組織和企業從 Windows 10 過渡到更新的操作系統時使用。
目前看來,微軟可能正面臨著一個巨大的問題,那就是缺乏目標用戶群,就算將 Windows 11 打造成具有 Copilot 功能的終極 AI 操作系統,其吸引力對用戶來說也只是聊勝于無,依舊有很多人并不看好 Windows 11。
面對這個現狀,微軟該如何破解呢?對此,知名技術作者 Allisa James 給出建議:是時候放棄 Windows 11 了。
“加快 Windows 12 的發布速度,把所有的 AI 好東西和其他新功能都放在 Windows 12 上,這樣用戶群可能會更愿意遷移到新的操作系統,以此避免一場可能發生的生態災難。”
參考鏈接:
https://www.techradar.com/computing/windows/microsoft-should-accept-that-its-time-to-give-up-on-windows-11-and-throw-everything-at-windows-12
https://www.techradar.com/computing/windows/upgrade-to-windows-11-or-take-the-risk-microsoft-warns-about-windows-10s-end-of-life-date-once-again