FTK Guide

AccessData Support Portal
You can access the Chat, Knowledge Base, Discussion Boards, White Papers and more
through the
AccessData Support Portal:
https://support.accessdata.com
E-Mail Support:
support@accessdata.com
Telephone:
Americas/Asia-Pacific:
800-658-5199 (North America)
Support Hours: Mon-Fri, 7:00 AM – 6:00 PM (MST), except corporate holidays.
NOTE: Emergency support is available on weekends:
Saturday and Sunday 8:00am – 6:00pm MST via support@accessdata.com
AccessData Mailing Address, Hours, and Department Phone Numbers
Corporate Headquarters: AccessData Group, Inc.
588 West 400 South Suite 350
Lindon, UT 84042 USA
Voice: 801.377.5410; Fax: 801.377.5426
General Corporate Hours: Monday through Friday, 8:00 AM – 5:00 PM (MST)
AccessData is closed on US Federal Holidays
State and Local
Law Enforcement Sales:
Voice: 800.574.5199, option 1; Fax: 801.765.4370
Email: Sales@AccessData.com
Federal Sales: Voice: 800.574.5199, option 2; Fax: 801.765.4370
Corporate Sales: Voice: 801.377.5410, option 3; Fax: 801.765.4370
Training: Voice: 801.377.5410, option 6; Fax: 801.765.4370
Email: Training@AccessData.com
Accounting: Voice: 801.377.5410, option 4
AccessData Legal and Contact Information | 6
Documentation
Please email AccessData regarding any typos, inaccuracies, or other problems you
find with the documentation:
documentation@accessdata.com
Professional Services
The AccessData Professional Services staff comes with a varied and extensive
background in digital
investigations including law enforcement, counter-intelligence, and corporate
security. Their collective
experience in working with both government and commercial entities, as well as in
providing expert testimony,
enables them to provide a full range of computer forensic and eDiscovery services.
At this time, Professional Services provides support for sales, installation,
training, and utilization of Summation,
FTK, FTK Pro, Enterprise, eDiscovery, Lab and the entire Resolution One platform.
They can help you resolve
any questions or problems you may have regarding these solutions.
Contact Information for Professional Services
Contact AccessData Professional Services in the following ways:
AccessData Professional Services Contact Information
Contact Method Number or Address
Phone North America Toll Free: 800-489-5199, option 7
International: +1.801.377.5410, option 7
Email services@accessdata.com
Table of Contents | 7
Table of Contents
AccessData Legal and Contact
Information . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Table of Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . 7
Chapter 1:
Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . 12
Audience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . .12
PRTK and DNA Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . .13
Features Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. .13
Other AccessData Decryption Products. . . . . . . . . . . . . . . . . . . . . . . .
. .14
PRTK / DNA Add-
Ons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Chapter 2: Installing PRTK & DNA. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . 15
Before Installing PRTK or DNA . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . .15
Planning the Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . .15
PRTK or DNA Installation
Prerequisites . . . . . . . . . . . . . . . . . . . . . . .16
Starting the PRTK or DNA Installation
Page . . . . . . . . . . . . . . . . . . . . .17
Installing CodeMeter and License Manager . . . . . . . . . . . . . . . . . . . . .
17
Installing
PRTK. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.18
Installing
DNA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.19
Supervisor Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . .19
DNA Worker Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. .20
After Installing PRTK or
DNA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
Uninstalling PRTK or
DNA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Uninstalling
PRTK. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Uninstalling the DNA Supervisor . . . . . . . . . . . . . . . . . . . . . . . . . .
.26
Uninstalling the DNA Worker . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.27
Uninstalling a Mac Worker . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. .28
Chapter 3: Getting
Started . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . 29
Starting PRTK or
DNA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Using the USB Security Device . . . . . . . . . . . . . . . . . . . . . . . . . . .
.30
Running PRTK or DNA in Demo Mode . . . . . . . . . . . . . . . . . . . . . . . .30
Right-Click
Menus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Viewing Module
Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Customizing the User
Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Showing or Hiding
Elements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
The Menu
Bar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.33
Changing
Preferences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
The Toolbar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . .41
The Job Queue
Pane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
Job
Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. .42
Changing Columns Order in the Job Queue Pane . . . . . . . . . . . . . . . . .43
Sizing Column Headings in The Job Queue Pane. . . . . . . . . . . . . . . . . .43
The Properties Pane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . .44
DNA User
Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.46
Priority Groups
Pane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46
Chapter 4: Configuring PRTK and DNA . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . 47
Managing PRTK
Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
Managing DNA System
Configurations . . . . . . . . . . . . . . . . . . . . . . . . . .48
Connecting To the DNA Service . . . . . . . . . . . . . . . . . . . . . . . . . . .
.48
Backing Up and Restoring
Keys. . . . . . . . . . . . . . . . . . . . . . . . . . . .50
Viewing Worker Information From the Worker Machine. . . . . . . . . . . . . . .51
Managing and Monitoring Workers . . . . . . . . . . . . . . . . . . . . . . . . . .
53
Managing Worker
Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
Deleting a
Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
Configuring the Management of Hyper-threaded Cores on Workers . . . . . . . .64
Configuring Ports to Avoid
Conflicts . . . . . . . . . . . . . . . . . . . . . . . . . . . .64
Accelerating Password Recovery using GPU Hardware . . . . . . . . . . . . . . .65
Jobs that Utilize GPU
Acceleration . . . . . . . . . . . . . . . . . . . . . . . . . .65
GPU Hardware
Supported . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66
About GPU Acceleration and RDP sessions . . . . . . . . . . . . . . . . . . . . .67
Chapter 5: Recovering Passwords . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . 68
Recovery Process Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . .68
Best Practices for Adding
Jobs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69
Adding
Jobs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . .70
Selecting Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . .70
Dragging and Dropping Files . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.72
Monitoring Jobs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . .73
Managing the Recovery Process . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
Specifying Recovery Preferences . . . . . . . . . . . . . . . . . . . . . . . . . .
.74
Displaying Job Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. .74
Printing Recovery Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. .81
Managing Jobs in
DNA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .82
Allocating Resources for a
Job . . . . . . . . . . . . . . . . . . . . . . . . . . . .82
Copying Recovered Passwords to the Windows Clipboard . . . . . . . . . . . . . .84
Opening Files Using Recovered Passwords and Keys . . . . . . . . . . . . . . . .85
Manually Decrypting Files with a Password or Key . . . . . . . . . . . . . . . . .
85
Chapter 6: Managing
Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . 88
About
Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . .88
Default
Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . .88
Setting a Default Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . .89
Creating a
Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89
Editing a Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . .92
Deleting a
Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92
Chapter 7: Managing Password Recovery Rules . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . 93
Understanding Rule Categories . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . .93
Default Rule
Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93
Modifying the Password Rule Order . . . . . . . . . . . . . . . . . . . . . . . . .
94
Understanding a User-defined
Rule. . . . . . . . . . . . . . . . . . . . . . . . . .95
Creating a User-Defined
Rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Editing a User-defined Rule . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 101
Removing a User-defined Rule . . . . . . . . . . . . . . . . . . . . . . . . . . .
101
Chapter 8: Using the Dictionary
Utility. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . 103
Dictionary Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . 103
PRTK & DNA Dictionary Utility . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 105
Starting the Dictionary Utility . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 105
Browse
Dictionaries. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Dictionary
Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Standard Dictionary Generator . . . . . . . . . . . . . . . . . . . . . . . . . . .
107
Biographical Dictionary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . 108
Merge Golden
Dictionaries. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Chapter 9: Specialized Password
Recoveries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 115
Recovering Login
Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Accessing the SAM File and the System File . . . . . . . . . . . . . . . . . . .
115
Recovering Login Passwords from Windows NT . . . . . . . . . . . . . . . . . 115
Recovering Passwords from Win 9x Files . . . . . . . . . . . . . . . . . . . . .
118
Recovering Login Passwords on Windows 2000 and XP Systems . . . . . . . 118
Recovering Passwords Using a Boot Disk to Access the Files . . . . . . . . . 119
Processing the Protected System Files in PRTK or DNA. . . . . . . . . . . . . 119
Recovering Passwords from the Windows Registry . . . . . . . . . . . . . . . . .
122
Recovering Passwords from the Current Registry. . . . . . . . . . . . . . . . . 122
Recovering AOL Communicator Account Passwords . . . . . . . . . . . . . . . 123
Recovering AOL Instant Messenger Passwords. . . . . . . . . . . . . . . . . . 123
Recovering AOL Sign-on Passwords . . . . . . . . . . . . . . . . . . . . . . . .
124
Recovering MSN Messenger Login Passwords . . . . . . . . . . . . . . . . . . 124
Recovering Netscape .W and .S Files . . . . . . . . . . . . . . . . . . . . . . .
125
Recovering QuickBooks Passwords . . . . . . . . . . . . . . . . . . . . . . . . 126
Recovering Yahoo! Messenger Login Passwords . . . . . . . . . . . . . . . . . 126
Recovering WinZip Archive Files . . . . . . . . . . . . . . . . . . . . . . . . . .
126
Recovering IE Protected (Intelliforms)
Files . . . . . . . . . . . . . . . . . . . . . . 128
Collecting Necessary Files for IE 7, 8, and
9. . . . . . . . . . . . . . . . . . . . 128
Collecting Necessary Files for IE
10 . . . . . . . . . . . . . . . . . . . . . . . . 132
PRTK/DNA and Diacritics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 132
Chapter 10: Managing Security Devices and
Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
NLS Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . 133
Virtual CmStick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . 133
Installing and Managing Security
Devices . . . . . . . . . . . . . . . . . . . . . . . 134
Installing the Security
Device . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Installing LicenseManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . 142
Managing Licenses with LicenseManager . . . . . . . . . . . . . . . . . . . . . . .
144
Starting LicenseManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 145
The LicenseManager Interface . . . . . . . . . . . . . . . . . . . . . . . . . . .
146
Opening and Saving Dongle Packet
Files . . . . . . . . . . . . . . . . . . . . . . . 150
Adding and Removing Product
Licenses . . . . . . . . . . . . . . . . . . . . . . . . 151
Adding and Removing Product Licenses Remotely . . . . . . . . . . . . . . . . 152
Updating Products . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 153
Chapter 11: Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . 155
PRTK and DNA
Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
PRTK Installation
Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Password Recovery Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
156
DNA Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . 157
Add Job Processing
Results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Appendix A: Recognized Applications and File Formats. . . . . . . . . . . . . . . .
. . . . . . . . . . . 159
Decryption Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . 159
Dictionary Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . 163
Keyspace
Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
167
Reset Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . 168
Multiple
Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 169
Appendix B: Password Recovery
Attacks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 172
Languages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . 172
Character
Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
172
Default
Dictionaries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . 174
Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . 176
Default Rule
Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . 182
English Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 182
Arabic
Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
184
European
Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Russian Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . 188
Pass-
phrases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
189
FTK Import. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . 190
PRTK Profile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . 190
DNA Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . 192
Character Replacements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 194
Common Prefixes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . 194
Common Suffixes (a.k.a.
Postfixes) . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Prepositional and Verb
Phrases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Appendix C: Encryption Technology . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . 196
Understanding Encrypted Files . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . 196
Understanding the PRTK & DNA Decryption Process . . . . . . . . . . . . . . . . 197
Decryption Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . 197
Dictionary Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . 197
Keyspace Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 198
Reset
Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
198
Current Encryption Standards. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 199
Symmetric
Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
RC4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 199
Asymmetric Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 199
Hashing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . 200
Secure Hash Algorithm (SHA) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
200
Message Digest 5 (MD5). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
200
Appendix D: Program Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . 201
PRTK
Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 201
DNA Supervisor
Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
DNA Worker
Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Appendix E: Recovering EFS
Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . 206
Recovering EFS on Windows XP Service Pack 1 or Later . . . . . . . . . . . . . 206
Other Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . 207
AccessData PRTK/DNA
Glossary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Overview Audience | 12
Chapter 1
Overview
This

FTK Guide

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

FTK Guide

Caricato da

Copyright:

Formati disponibili

AccessData Support Portal

Potrebbero piacerti anche