天津鸿萌科贸发展有限公司从事数据安全服务二十余年，致力于为各领域客户提供专业的数据、数据备份、数据取证、数据迁移、网络安全、数据销毁等解决方案，并针对企业面临的数据安全风险，提供专业的相关数据安全培训。鸿萌提供 7×24 小时紧急数据救援服务。

天津鸿萌科贸发展有限公司是国际主流数据取证工具 Passware Kit、ElcomSoft 系列代理商。Passware Kit Ultimate、Passware Kit Mobile、ElcomSoft 解密软件仅提供给取证机构。

Passware Kit Business 和 Passware Kit Forensic 支持解锁使用以下方式加密的硬盘：

• BitLocker
• TrueCrypt
• VeraCrypt
• LUKS/LUKS 2
• FileVault2/APFS
• McAfee EPE
• DriveCrypt
• PGP WDE/Symantec
• Apple DMG disk
• Dell Data Protection
• SanDisk PrivateAccess、SecureAccess 及 ENC Data vaults 数据保险库

Passware Kit 扫描物理内存镜像文件（在挂载加密磁盘时获取，即使目标计算机被锁定），提取所有加密密钥，并对加密卷进行解密。可以使用第三方工具（如 ElcomSoft Disk Decryptor）获取此类内存镜像。

如果具有加密卷的目标计算机已关闭电源，则加密密钥不会存储在其内存中，但可能会从系统休眠时自动创建的 hiberfil.sys 文件中恢复加密密钥。

使用内存镜像解密硬盘的步骤

• 从目标计算机获取或获取 hiberfil.sys 文件的内存镜像。
• 创建加密磁盘镜像。
• 运行 Passware Kit 以恢复加密密钥并解密硬盘。

使用 Passware Kit 解密硬盘（VeraCrypt 容器）

Passware Kit 可以处理 VeraCrypt 卷文件（.HC，加密文件容器）或其镜像。对于 BitLocker/FileVault2/PGP 解密，Passware Kit 可处理加密磁盘的镜像文件。可以使用第三方工具创建磁盘卷镜像，例如 ElcomSoft System Recovery 等。

1. 单击 Passware Kit 起始页上的全盘加密。这将显示如下所示的屏幕：

2. 单击相应的加密类型，例如 VeraCrypt。这将显示如下所示的屏幕：

3. 在加密的 VeraCrypt 卷镜像文件字段中，单击浏览…，从文件名字段的下拉菜单中设置所有文件（*.*），然后找到文件 vc.hc。

解密后的卷镜像将保存在目标文件位置。

4. 在“物理内存镜像文件”字段中，单击“浏览…”，然后找到文件 .bin（或加密卷挂载到的计算机中的 hiberfil.sys 文件）单击 Decrypt 解密：

注意：如果目标计算机已关闭，并且加密卷在上次休眠期间已卸载，则内存镜像和 hiberfil.sys 文件都不会包含加密密钥。因此，无法立即解密卷。在这种情况下，切换到“我没有内存镜像”选项，Passware Kit 将分配暴力攻击来恢复卷的密码。

Passware Kit Forensic 还可以恢复使用密钥文件保护的 TrueCrypt 和 VeraCrypt 容器和卷的密码。在密码恢复设置中（“我没有内存镜像”选项卡上），Passware Kit 允许用户指定一个或多个密钥文件，以便与密码结合检查。因此，Passware Kit 会显示恢复的密码，该密码可用于使用指定的密钥文件挂载卷。

5. Passware Kit 提取 VeraCrypt 卷加密密钥并使用它来解密容器。该软件还显示用于保护卷的 VeraCrypt 加密算法：