No modo operacional em real time, as informações são decriptografadas em modo on-the-fly. O software oferece uma operação zero-footprint, sem alterações ou modificações de seu conteúdo original. Além disso, a plataforma Elcomsoft Forense Disk Decryptor adquire todas as chaves de decodificação necessárias, analisando os despejos de memória obtidos a partir do PC de destino. Um despejo de memória pode ser obtido a partir de um PC em execução, bloqueado ou desbloqueado, com volumes criptografados adequadamente alocados. Vale destacar que despejos de memória produzidas com qualquer produto forense ou obtidos por meio de um ataque FireWire, são suportados.
Um ataque FireWire exige uma ferramenta de terceiros, que seja livre, um cabo FireWire (IEEE 1394) e um outro PC para lançar o ataque. Chaves de descodificação podem também ser derivadas a partir de arquivos de hibernação, se um computador alvo for/estiver desligado.
Saiba Mais:
[1] Net Security - Forensic News http://www.net-security.org/secworld.php?id=14152