Passware Kit系列取证软件是全方位的加密电子证据发现解决方案,可报告和解密计算机和移动设备中所有受密码保护的项目。
Passware Kit Ultimate、Forensic、Business 和 Mobile 版本可将密码恢复任务分发到 Windows 和 Linux 计算机网络,以及云代理端上,实现线性扩展。每台运行 Passware Kit 代理端的计算机均可同时支持多个 CPU 和 GPU。本文将详细介绍如何部署和使用 Passware Kit 工具中的分布式密码恢复功能。
Passware Kit(服务器端)概述
Passware Kit 通过资源管理器设置密码恢复集群并管理本地和远程硬件。可在运行任何解密任务前,通过 Passware Kit 的"工具"菜单访问此功能,并在密码恢复过程中作为一个选项卡保持可用。
资源管理器显示已知的 Passware Kit 代理端列表,并可添加新的代理端。
资源管理器
过滤器会根据代理端状态动态显示。点击右侧按钮可隐藏或展开详细的硬件列表。
可以调整列的宽度,以显示如下实时信息:
- 代理端名称和配置
代理端名称、操作系统、IP 地址以及可用的 CPU 和 GPU。 - 状态
整个代理端或硬件设备的状态。 - °C
驱动程序报告的 CPU 或 GPU 温度 - 负载
攻击进行时 CPU 或 GPU 设备的负载。 - 当前速度
当前恢复过程的速度(每秒/分钟/小时检查的密码数)。 - 平均速度
当前恢复会话中贡献代理端的平均速度。 - 已检查密码数
会话期间每个代理端及其硬件检查的密码总数。
代理端列表
- 内置代理端指 Passware Kit(服务器端)所在的计算机硬件。可以启用或禁用。
- 触发器**"网络"**用于启用或禁用分布式密码恢复。
- "+ 添加代理端"按钮允许用户添加网络或云代理端。
网络列表显示两类 Passware Kit 代理端:已连接和已断开。代理端使用的名称是代理程序安装所在的计算机,用户可以在设置中进行修改。此外,资源管理器还显示操作系统及其版本、RAM 大小和 IP 地址。如果代理端从不同 IP 地址建立了多个连接,额外连接的数量会显示在主 IP 地址旁(如 +N)(见代理端网络日志选项卡)。
CPU 和 GPU 名称按操作系统报告的信息显示。
"已断开连接的代理端"可能包括以前使用过但现在已断开的代理端,以及从服务端发起的连接(例如仍在连接过程中的云代理端)。点击右侧的铅笔图标,可以更改此类连接的 IP 地址和/或密码,或将其移除。点击齿轮图标可打开代理端的设置。
右键菜单
所有代理端都支持右键菜单。可用选项取决于代理端的连接状态,包括:
- 禁用
从恢复过程中排除 Passware Kit 代理端,相当于切换开关选项。 - 重启
重启 Passware Kit 代理端。 - 分配给...
允许从下拉列表中选择要将代理端分配到的服务端(包括网络内可用的 Passware Kit Forensic 实例),或选择自动分配选项。 - 更新并分配给此服务端
将代理端版本更新或降级到与服务端版本匹配。 - 设置
打开代理端的设置。 - 保存日志
保存来自远程 Passware Kit 代理端的日志。 - 移除
仅适用于已断开连接和未发现的代理端,此选项将代理端从资源管理器中移除。
网络日志选项卡
网络日志显示网络事件以及相关的警告和错误。
攻击选项卡
根据其复杂性,可以同时运行多个密码恢复攻击。密码候选较少的简短攻击会先完成,从而允许更复杂的攻击开始,从而最大限度地减少 GPU 空闲时间。对于每个攻击,Passware Kit 会显示进度条和预计完成时间。
有两种攻击选项可用:
- 跳过
跳过该攻击。 - 重新启动
重新启动先前跳过的攻击或已停止的恢复过程。
正在运行的攻击按照启动顺序列在 Passware Kit 页脚处。如果同时运行三个以上的攻击,点击"查看全部",可以打开攻击选项卡获取更多信息。
状态改进
新的精简状态列表和改进的资源管理器界面,简化了获取集群性能和硬件问题详细概览的过程。
Passware Kit(代理端)概述
要访问已连接代理端的设置,可以从右键菜单中选择"设置",或点击代理端旁边的齿轮图标。
设置选项卡
左侧窗格列出了所有已连接和已断开连接的代理端。
代理端的名称、操作系统、可用 RAM 和 IP 地址显示在标题栏中。
每个代理端可进行以下设置:
- 显示名称
可以自定义为任何想要的名称。所选名称将保存在代理端设置中,并对网络上的所有计算机可见。 - 描述
使用此字段添加和监控有关代理端的重要信息。 - 分配给服务端
此下拉菜单允许手动选择要将代理端分配到的特定服务端。"未分配"消息表示代理端处于自动分配模式,对网络上的每个服务端都可用。 - 自动更新
此设置允许或限制代理端的自动更新。 - 自动发现端口
默认情况下,代理端向 10777 UDP 端口广播。 - 连接端口
默认情况下,代理端监听 10776 UDP 端口。 - 连接密码
云代理端需要密码。对于网络代理端,密码是可选的,但建议设置以增加安全性。
"自动更新允许"复选框旁边的图标可快速重启代理端。
页脚显示代理端的版本和当前状态。要保存对代理端设置所做的更改,点击"应用"按钮。
硬件选项卡
- 计算单元
此处列出了系统可用的硬件单元。可以启用或禁用它们。 - 用户活动时禁用 GPU 加速
启用后,此功能会在计算机使用时限制 GPU 用于密码恢复。 - 过热时禁用 GPU
启用后,如果 GPU 温度超过设定阈值,此选项将关闭 GPU,以防止潜在的损坏。- 过热温度阈值: 此参数默认为 80°C,但可根据 GPU 规格手动调整。- **GPU 利用率:**此选项允许用户限制 GPU 负载以防止系统冻结。
- 系统信息
关于代理端操作系统和 RAM 大小的信息,可供复制。
网络选项卡
网络选项卡显示代理端连接的 IP 地址及其状态,无论是由服务端发起(使用资源管理器中的 +添加代理端按钮)还是由代理端通过自动发现或手动分配发起。可以使用 X 图标终止任何连接。
性能选项卡
此选项卡复制了 Passware Kit 在密码恢复会话期间的性能选项卡,显示代理端实现的当前、平均和最高速度,以及图形表示。
日志选项卡
此选项卡列出与代理端相关的所有事件。过滤器便于查看同一类型的事件。点击"保存日志"可将详细信息保存为 CSV 格式。
状态报告选项卡
此选项卡显示有关攻击的技术信息,这对于故障排除至关重要。
安装 Passware Kit 代理端
Passware Kit 代理端可从网站或 Passware 账户下载,适用于 Windows 和 Linux 系统(64 位)。
Linux 代理端
有关在 Linux 上安装和运行 Passware Kit 代理端的说明,请参阅下载的 TAR 存档中的 README 文件。
云代理端
代理端也可用于 Amazon EC2 和 Microsoft Azure 云。有关代理端设置和 CLI 使用的更多信息可在此处找到。
Windows 代理端
说明如下:
- 运行 Passware Kit 代理端安装文件,将其安装在节点计算机上。同一安装文件可用于在多台计算机上安装代理端。
- 配置 Passware Kit 代理端以连接到特定的服务端,或选择自动分配选项。
- 启动 Passware Kit 代理端,随后将出现以下屏幕:
在"设置"选项卡上,选择"自动分配"或"手动分配"选项:
- 在自动分配模式下,代理端会被分配给第一个参与其进行恢复的 Passware Kit(服务端)。
- 在手动分配模式下,指定运行 Passware Kit(服务端)的计算机名称或 IP 地址,或从下拉列表中选择。
代理端连接的默认网络规则:
Passware Kit 代理端使用默认广播 IP 255.255.255.255 和端口 10777 向 Passware Kit 广播。确保相应计算机上以下默认端口已打开:
- Passware Kit(服务端):UDP 端口 10777(入站,用于自动发现)
- Passware Kit 代理端:UDP 端口 10776(入站,用于连接),UDP 端口 10555 用于自动发现(出站)
- Passware Kit(服务端)端口可以在 Passware Kit 的"工具" | "选项" | "硬件"菜单中更改。如果使用自定义端口,在 Passware Kit 代理端的"手动分配"模式中指定,例如:192.168.0.10:10789。
- 网络内从代理端到服务端的手动连接工作方式如下:
- 代理端:10555 -> 服务端:10777 - 数据包包含服务端应用于连接代理端的端口- 服务端:RND -> 代理端:端口 - 服务端从一个随机端口连接到代理端(自动发现数据包源 IP,端口是数据包中包含的端口)。默认情况下此端口是 10776。
4.在"硬件"选项卡上,选择用于攻击贡献的硬件,并按如下所示限制 GPU 使用:
安装 Passware Kit 代理端后,即可使用 Passware Kit 恢复密码。
运行 Passware Kit 并恢复密码
安装 Passware Kit 代理端后,按照以下步骤恢复密码:
- 启动 Passware Kit 并选择要恢复密码的一个或多个文件。确保在"工具" | "资源管理器"菜单中启用了"网络"。
- 选择三个选项之一来配置密码恢复设置,或为多个文件设置批处理模式恢复。点击"恢复"。
- 资源管理器选项卡显示网络上所有检测到和保存的 Passware Kit 代理端。在"状态"列中监控代理端的状态:
"正在运行当前攻击"状态表示 Passware Kit 代理端已连接到 Passware Kit(服务端)并且正在运行当前的密码恢复任务。
注意:内置代理端指的是安装 Passware Kit(Server 端)的计算机。
**4.**当 Passware Kit 代理端连接到 Passware Kit(服务端)时,其"设置"选项卡会显示 Passware Kit(服务端)的 IP 地址和端口。"性能"选项卡显示资源使用情况图:
在密码恢复过程中,代理端的状态显示为"已连接并忙碌..."。
5.Passware Kit 和 Passware Kit 代理端的详细活动显示在"日志"和"网络"选项卡上。