◆シナリオ◆
知的財産および企業秘密の盗難事件の捜査により、法医学捜査官は加害者の所有するパーソナル コンピューターを発見しました。加害者は、盗んだすべての情報をさまざまな文書の形式でコンピューターに保存し、それらの文書にパスワードを設定して他人がアクセスできないようにしました。法執行当局の協力を得て、法医学捜査官は犯人のマシンを押収し、盗まれた情報を検索した。調査の過程で、調査員らはパスワードで保護されたファイルをいくつか発見しました。投資銀行組織に属する機密情報にアクセスするには、そのパスワードを解読する必要があります。
◆目的
パスワードで保護されたファイルやアプリケーションのパスワードを解読する方法
パスワードは通常、認証プロセス中にユーザーの身元を確認するために使用される文字列です。
◆概要
Passware Kit フォレンジック ツールに慣れ、フォレンジック調査を目的として、コンピューター上のパスワードで保護されたアプリケーション/ファイルのパスワードを解読する方法を理解する.
1,
passware-kit-forensic-demo.msiをダブルクリックしてセットアップを起動します。ウィザードによるインストール手順に従って、インストールを完了します。
2,
インストールの最終ステップで、「Run Passware Kit Forensic Demo」オプションがオンになっていることを確認してください。「完了」をクリックします。
3,
次のスクリーンショットに示すように、Passware Kit Forensic GUI が表示されます。
4,
ツールのメイン ウィンドウで[ファイル パスワードを回復]オプションをクリックします。
5,
ファイルSample_1.docxを選択して、「開く」をクリックします。
6,
ファイルをアプリケーションにアップロードすると、「ファイルパスワードの回復」ウィンドウウィザードが表示され、 「事前定義された設定を使用する」オプションを選択する必要があります。
7,
このツールがパスワードを解析するには時間がかかります。必要な時間は、パスワードに使用されている文字の数と種類に比例します。
8,
分析後、スクリーンショットに示すように、ツールはクラックされたパスワードを表示します。
9,
アプリケーションを閉じます。
10,
次に、パスワードで保護された圧縮ファイルをクラックする方法を検討します。
圧縮フォルダーまたは RAR ファイルのパスワードを解析するには、archpr_setup_en.msiセットアップ ファイルをダブルクリックします。
「次へ」をクリックし、 「カスタム セットアップ」セクションに到達するまでウィザードによるインストール手順に従います。
11,
[カスタム セットアップ]セクションで、ドロップダウン メニューを展開し、 [機能全体が利用できなくなります]を選択して、 Elcomsoft Updaterのチェックを外す必要があります。その後、インストールプロセスを続行して完了します。
12,
インストールの最終ステップで、「Run Advanced Archive Password Recovery」がチェックされていることを確認し、「Finish」をクリックします。
13,
次のスクリーンショットに示すように、Advanced Archive Password Recovery GUI が表示されます。
14,
次に、 [範囲]タブのオプションをチェックして、ブルート フォース攻撃オプションの範囲を設定します。このラボのデモの目的では、[すべての数字 (0-9)]オプションをオンにし、他のすべてのオプションはオフのままにします。ラボをリアルタイムで実行しているときに、要件に応じてこれらのオプションをチェックできます。
15,
ツール ウィンドウのツールバーから[開く]をクリックして、クラックする WinRAR ファイルを追加します。
16,
ファイルCompressed_files.rarをダウンロード・選択して、「開く」をクリックします。
17,
このツールはパスワードを解読し、スクリーンショットに示すように、他の詳細とともにパスワードを表示します。
18,
実際のシナリオでは、通常、ファイルを保護するパスワードに関する手がかりがないため、すべてのオプションを設定する必要があります。したがって、パスワードが複雑な場合、このツールはパスワードを解析するのに多大な時間がかかります。
アプリケーションを閉じます。
パスワードで保護された PDFファイルのパスワードを解析
1,
パスワードを解析するには、Advanced PDF Password Recoveryツールを使用します。
インストールするには、apdfpr_setup_en.msiをダブルクリックします。
2,
「次へ」をクリックし、ウィザードによるインストール手順に従ってツールのインストールを完了します。
3,
インストールの最後のステップで、「Run Advanced PDF Password Recovery」がチェックされていることを確認し、「Finish」をクリックします。
※インストールの完了後、Elcomsoft Updaterウィンドウが表示された場合は、ウィンドウを閉じます。
4,
次のスクリーンショットに示すように、Advanced PDF Password Recovery GUI が表示されます。
5,
もう一度、 [範囲]タブのオプションをチェックして、ブルート フォース攻撃の範囲を設定します。このラボの実証目的では、[All small latin (a-z)]オプションをオンにし、他のオプションはオフのままにします。ラボをリアルタイムで実行しているときに、要件に応じてオプションを確認できます。
6,
ツール ウィンドウのツールバーから[開く]をクリックして、クラックする PDF ファイルを追加します。
7,
ファイルConfidential.pdfをダウンロード・選択して、「開く」をクリックします。
8,
APDFPRポップアップが表示され、ドキュメントのパスワードの入力を求めるメッセージが表示されます。「回復の開始」ボタンをクリックします。
9,
分析の実行後、次のスクリーンショットに示すように、ツールはConfidential.pdfファイルのパスワードを示すウィンドウを表示します。
10,
実際のシナリオでは、通常、ファイルを保護するパスワードに関する手がかりがないため、すべてのオプションを設定する必要があります。したがって、パスワードが複雑な場合、このツールはパスワードを解析するのに多大な時間がかかります。
開いているウィンドウをすべて閉じます。