Passware Kit Forensic可在定制PE环境中恢复加密文件密码,需预先集成软件、手动加载目标对象、合理配置字典与爆破参数后启动恢复。
如果您在PE环境中需要恢复被加密文件或系统的密码,Passware Kit Forensic可作为专业取证工具执行密码恢复任务。以下是具体操作步骤:
一、确认PE环境已加载Passware Kit Forensic
Passware Kit Forensic需预先集成至定制PE系统中,否则无法直接运行。标准WinPE默认不包含该软件,必须通过工具(如WinBuilder或DISM)将Passware Kit Forensic主程序、依赖库及证书文件注入PE镜像。
1、启动PE系统后,检查桌面或“Program Files”目录下是否存在Passware Kit Forensic文件夹。
2、打开资源管理器,导航至安装路径,确认PWKitForensic.exe可执行文件存在且未被标记为“不兼容”。
3、双击运行前,右键选择“以管理员身份运行”,避免因PE中UAC模拟限制导致权限不足而闪退。
二、加载目标加密对象并选择恢复模式
Passware Kit Forensic支持多种加密格式识别与攻击方式,需根据目标类型手动指定解析逻辑,而非自动侦测。PE环境下无网络验证通道,所有恢复均依赖本地算法模块。
1、启动PWKitForensic.exe后,在主界面点击“Add”按钮,浏览并导入目标文件(如BitLocker恢复密钥文件、Office文档、ZIP存档、TrueCrypt卷等)。
2、导入后,软件自动显示“Supported attacks”列表,勾选其中一项:例如对7-Zip加密压缩包启用“Dictionary attack”,对Windows SAM注册表启用“NTLM hash brute-force”。
3、若目标为磁盘镜像(.E01/.dd),需先使用内置的“Evidence Browser”提取出加密分区或用户配置文件(如NTUSER.DAT、SAM、SYSTEM)后再加载。
三、配置密码恢复参数并启动破解
参数设置直接影响恢复成功率与耗时,PE内存有限,需规避高内存占用策略。所有字典与规则文件须提前复制至PE本地磁盘,不可引用网络路径或外部USB设备(除非已映射为固定盘符)。
1、在攻击配置窗口中,点击“Wordlist”选项卡,点击“Browse”指向PE内已存放的字典文件(如rockyou.txt),确保路径不含中文或空格。
2、切换至“Brute-force settings”,将最大密码长度设为≤8,字符集限定为“Lowercase + Digits”,防止内存溢出导致PE崩溃。
3、勾选“Save recovery session”,指定保存路径为PE内存盘(X:\)根目录,以便中断后可重新载入进度。
4、点击“Start Recovery”,界面转为实时状态栏,显示当前尝试速率、已用时间及命中提示。
