Elcomsoft Wireless Security Auditor(无线网络工具)

　　Elcomsoft Wireless Security Auditor是一一款无线网络工具，可以通过尝试检索用户使用的密码来帮助您确定无线网络的安全级别。该应用程序同时支持WPA和WPA2安全标准，并且可以尝试从捕获的网络数据中恢复密码。要审核无线网络的安全性，您需要导入或捕获网络数据包。该程序包括一个无线数据包嗅探器，可以捕获来自AirPCap设备的数据包。如果不使用这种类型的设备，则可以使用另一个数据包嗅探器并从文件中导入数据。创建新项目时，应用程序还可以从计算机的注册表或PCAP文件中导入密码哈希。作为最后的选择，如果可以访问，可以在程序列表中手动添加密码哈希。恢复过程可以使用不同的方法，具体取决于密码上已有的信息。如果您知道密码的一部分或密码使用的字符数，则可以使用掩码攻击或单词攻击来减少分析时间。词典方法使您可以快速处理自定义列表中的单词。您可以创建常用单词列表，然后使用它们执行自定义分析。但是，如果您没有足够的信息，则可以尝试结合这些方法的混合攻击。解密过程可能会花费很多时间，具体取决于密码和计算机配置的复杂性。为了最大程度地提高效率，您可以调整CPU的利用率，并在具有现代图形卡的计算机上使用硬件加速器。高度的自定义设置使Elcomsoft无线安全审核器成为可用于检查无线网络安全性的良好工具。

软件功能

　　通过攻击Wi-Fi密码来审核无线网络的安全性。内置的Wi-Fi嗅探器和GPU加速的恢复功能可确保对WPA / WPA2-PSK密码的最高性能攻击。 Elcomsoft无线安全审核器（EWSA）通过高级变体工具支持字典攻击。内置的无线嗅探器支持常规的Wi-Fi适配器和AirPCap棒。该工具还可以接受任何Wi-Fi嗅探器支持的标准tcpdump日志。

　　必须对网络安全策略进行定期审核，以确保安全的生产环境。只有正确配置无线网络，才能提供足够的安全性。 Elcomsoft Wireless Security Auditor同时支持WPA和WPA2安全标准，可以通过尝试恢复WPA-PSK（预共享密钥）和WPA2-PSK密码来审核各种Wi-Fi网络。

　　Elcomsoft Wireless Security Auditor带有一个定制的Wi-Fi嗅探器，该嗅探器可以通过定制的NDIS驱动程序（提供32位和64位版本）在普通Wi-Fi适配器上工作。还支持AirPCap适配器。内置的无线嗅探器拦截开始攻击所需的握手数据包。需要WinPCap驱动程序才能启用Wi-Fi嗅探。

　　ElcomSoft获得专利的GPU加速功能通过利用当今NVIDIA和AMD视频卡的强大计算能力，使Wi-Fi密码的恢复速度提高了数百倍。 GPU加速以最少的投资提供了超级计算机级的性能。多个视频卡可以一起使用，以进行更快的攻击。

　　Elcomsoft Wireless Security Auditor支持全自动和手动操作，允许手动输入密码哈希和网络的SSID。 Elcomsoft Wireless Security Auditor可以从握手数据包中检索所有SSID和密码散列，从而可以选择恢复哪一个。为了测试内部攻击的网络安全性，Elcomsoft Wireless Security Auditor可以自动导入通过Elcomsoft Proactive System Password Recovery检索到的保存的密码哈希。

软件特色

　　确定无线网络的安全性

　　测试保护您的无线网络的WPA / WPA2-PSK密码的强度

　　存在一个或多个兼容的NVIDIA或ATI视频卡时，使用正在申请专利的GPU加速技术节省时间

　　使用高度可配置的变体运行高级字典攻击

　　从网络内部或外部进行攻击

安装方法

　　1、下载并解压软件，双击安装程序进入Elcomsoft Wireless Security Auditor安装向导，单击【next】。

　　2、阅读许可协议，单击【accept】按钮同意并进入下一步的安装。

　　3、输入软件激活密匙，用户可以输入或者直接点击【next】，

　　4、选择安装组件，用户可以根据需要勾选（一般选择默认即可）。

　　5、选择安装位置，用户可以选择默认的安装路径，也可以自定义。

　　6、进入如下准备安装的界面，点击【install】按钮开始进行安装。

　　7、弹出如下的安装成功的提示，点击【finish】结束安装。

使用说明

　　捕获网络数据包

　　要开始捕获网络数据包，请选择[文件] | [开始]。 [Wireless Network Sniffer]菜单项。在使用AirPCap适配器之前，您需要安装程序附带的自定义NDIS驱动程序。当您第一次访问嗅探器时，就是这样做的：

　　该驱动程序已由证书正确签名，但是您仍然会收到如下警告（因此需要确认）：

　　请注意，如果未正确安装NDIS驱动程序，则嗅探将不起作用。要检查驱动程序是否已安装（以及安装日期）或重新安装驱动程序，请选择[选项] | [安装]。 [常规选项] | [无线嗅探器]。如果程序由于某种原因未检测到适配器，请重新启动它；否则，请重新启动适配器。如果这样做没有帮助，请重新引导系统（驱动程序安装例程应通知需要重新引导，但由于某些原因，这种情况并非总是如此。

　　如果在安装驱动程序时遇到任何错误，建议执行以下步骤：

　　·开放网络共享中心

　　·更改适配器设置

　　·右键单击所需的适配器，然后选择[属性]

　　·单击[安装]，然后单击[服务]和[添加]

　　·单击[从磁盘安装]，选择程序随附的.inf文件的路径（在程序文件夹中的“ Drivers”文件夹下；确保选择正确的操作系统版本和32或64）

　　另请注意，某些选项仅在选项仅接受正确的帧选项下有效，因此您可能必须进行试验。另外，有一个选项可以在嗅探器工作时禁用WLAN服务。某些程序（或系统本身）可能会自行禁用设备监视模式。这可能会导致EWSA停止正常工作，挂起甚至是BSOD。不过，默认情况下不要启用该选项（不建议使用），而仅在遇到上述问题时才使用它。

　　至于适配器的兼容性，实际上取决于其驱动程序的质量。简单来说：

　　大多数Alfa适配器通常都能正常工作

　　英特尔适配器（许多笔记本电脑上使用的适配器通常根本无法工作）

　　TP-Link适配器：混合思想；通常与非供应商的驱动程序配合使用时效果最佳，但对于所需的芯片组

　　Atheros：通常工作正常（经过测试：AR9002WB，AR9485，AR5BW222，AR56x），但是某些特定的问题存在不同的问题，从无法捕获数据包到BSOD

　　通常，即使大多数“ noname”适配器也可以正常工作，但是您可能需要花一些时间来找到合适的驱动程序，直到找到不会导致程序（或系统）失败的驱动程序为止。

　　一旦安装了所有驱动程序（适配器驱动程序和NDIS），选择正确的设备（对于AipPCap适配器，通常列为\\。\ airpcap00设备）并进行频道选择，然后按[OK]。如果不确定频道，请按[检测网络]按钮，程序将开始监视所有频道：

　　选择（突出显示）接入点，然后按[使用所选内容]。该程序将开始监视选定的通道（而不仅仅是该特定网络！），并显示捕获的握手：

　　获得所需的密码后，按[停止嗅探]，然后按[确定]，现在就可以进行恢复了。但是请注意，如果您使用的是产品的试用版或标准版，数据包仍会被捕获，但是您将无法导入它们以进行进一步的密码恢复；此功能仅在专业版中可用（有关更多详细信息，请参见未注册版本的限制和注册章节）。

　　如果您没有兼容的AirPCap适配器，则有一些替代方法。 tcpdump是一种常见的数据包嗅探器，它使用户可以拦截和显示TCP / IP以及通过计算机所连接的网络发送或接收的其他数据包。它最初是由在劳伦斯伯克利实验室工作的几个人撰写的；现在已获得许可的免费软件许可分发，并且可以在大多数类Unix操作系统上使用。 Windows也有tcpdump的一些端口。

　　现有数据包嗅探器的示例可以以tcpdump格式导出数据包：airodump-ng，OmniPeek。

　　捕获的数据应包含来自真实客户端和访问点的完整身份验证握手。请注意，该程序不适用于链接类型为LINKTYPE_ETHERNET的数据包（它们来自有线网络，而不是无线网络）。