Лаборатория Элкомсофт: не все SSD одинаково полезны

10 июня, 2025, Oleg Afonin

Рынок твердотельных накопителей претерпевает серьёзные изменения. Благодаря удешевлению NAND-памяти и наличию решений «под ключ» (контроллеры, прошивки, даже полностью готовые платформы), SSD стали массовым товаром. Сегодня твердотельный накопитель можно купить на любом крупном маркетплейсе, зачастую — по подозрительно низкой цене. Вместе с этим возник новый феномен: обилие безымянных SSD, в том числе из Китая, которые внешне выглядят как полноценные устройства, но на деле представляют собой непредсказуемую комбинацию комплектующих, временами — поддельных. В этой статье мы рассмотрим, что из себя представляют такие устройства и можно ли на них положиться.

Читать дальше »

Блокираторы записи для накопителей NVMe и карт памяти SD и NM

6 июня, 2025, Oleg Afonin

Блокиратор записи — это устройство, которое позволяет считывать данные с накопителя, полностью исключая возможность их изменения. Такие блокираторы применяются в цифровой криминалистике, где критически важно сохранить информацию в исходном виде: даже случайная запись может повредить или уничтожить доказательства. Недавно мы писали о блокираторах для дисков SATA; сегодня мы расскажем о блокираторах, которые мы разработали для защиты от записи накопителей NVMe и карт памяти SD и NM.

Читать дальше »

Универсальный блокиратор записи SATA: надёжный инструмент для выезда и лаборатории

3 июня, 2025, Oleg Afonin

Блокировка записи при работе с изъятыми цифровыми носителями — обязательное требование цифровой криминалистики. Использование блокиратора записи в  процессе исследования позволяет сохранить целостность данных, избежать любых модификаций оригинального носителя и обеспечить криминалистическую чистоту процесса. Подробнее о назначении и принципах работы блокировщиков записи мы рассказывали в статье Аппаратная блокировка записи при снятии образа диска. В этой публикации мы расскажем про универсальный аппаратный блокиратор записи для накопителей с интерфейсом SATA, который мы разработали для использования как на выездах, так и в лаборатории.

Читать дальше »

TRIM, DRAT, DZAT: что должен знать криминалист о поведении SSD

2 июня, 2025, Oleg Afonin

Цифровая криминалистика давно вышла за пределы жестких дисков. Современные SSD — быстрые, компактные, но при этом коварные с точки зрения сохранности данных. Особое внимание заслуживает команда TRIM, напрямую влияющая на то, сможет ли криминалист получить доступ к удалённым данным. В этой статье мы расскажем, почему контрольные суммы при снятии образов с некоторых SSD могут не совпадать — и почему на современных дисках так не происходит.

Читать дальше »

Ввод в режим DFU через Recovery

30 мая, 2025, Oleg Afonin

При работе с мобильными устройствами Apple важна правильная последовательность переходов в различные режимы. Особенно это касается режима DFU (Device Firmware Update), который необходим для извлечения данных с помощью эксплойта checkm8. Попасть в этот режим не так просто — нужна специфическая последовательность нажатий с точным соблюдением таймингов. Если что-то пойдет не так, устройство может просто перезагрузиться, что может привести к крайне нежелательным последствиям. В этой статье объясним, почему перевод в DFU лучше начать с режима восстановления Recovery Mode.

Читать дальше »

Цифровые носители в криминалистике: типы устройств и риски извлечения

29 мая, 2025, Oleg Afonin

В предыдущей статье мы разобрались с основными принципами цифровой криминалистики — неизменностью, повторяемостью и проверяемостью данных, с законодательной базой и практикой правоприменения. Теперь пора перейти к конкретике: к тем устройствам и носителям, с которых эти данные извлекаются. Говорить о «чистоте» процесса и целостности данных — это одно, и совсем другое — обеспечить эту чистоту и гарантировать целостность и аутентичность извлечённых данных при работе с реальными источниками: смартфонами, накопителями, видеорегистраторами и прочими цифровыми устройствами.

Читать дальше »

Цифровая криминалистика и криминалистическая чистота: в правовом поле и в реальном мире

26 мая, 2025, Vladimir Katalov

Мы часто говорим о важности неизменности данных при любых действиях с ними со стороны правоохранительных органов. Неизменность важна на протяжении всей цепочки — от первичного осмотра, изъятия и хранения цифровых доказательств до извлечения и анализа включительно. Но помимо этого, не менее важны повторяемость и проверяемость — чтобы другой специалист, используя те же инструменты или точно задокументированные условия, мог воспроизвести процесс и прийти к тем же результатам. В цифровой криминалистике эти качества формируют основу доверия к доказательной базе.

Читать дальше »

Оснащение лаборатории: USB-хаб

23 мая, 2025, Oleg Afonin

USB-хаб — незаменимый инструмент в лаборатории цифровой криминалистики. Он позволяет подключать накопители, донглы и исследуемые устройства к современным ноутбукам, где часто всего один-два порта USB-C, но его роль этим не ограничивается. Хаб решает проблемы совместимости с адаптерами и кабелями, повышает стабильность работы эксплойта checkm8 при извлечении данных с iPhone. Хороший хаб может упростить и ускорить работу в ряде сценариев. В этой статье мы подробно расскажем, для чего и когда нужно использовать USB-хабы и какую модель стоит выбрать.

Читать дальше »

Установка iOS Forensic Toolkit для Linux

21 мая, 2025, Oleg Afonin

Долгое время сборка iOS Forensic Toolkit для macOS оставалась самой функциональной. Только в ней можно было использовать извлечение через эксплойт загрузчика, только из macOS можно было установить приложение агента-экстрактора с обычной учётной записью, и только в ней поддерживались беспроводные адаптеры для часов Apple Watch. Все эти возможности теперь доступны как в сборке для macOS, так и в версии для Linux, что избавляет специалистов от необходимости иметь компьютер Apple. В этой статье мы расскажем о том, как правильно установить продукт на компьютер с Linux.

Читать дальше »

Загрузочная версия iOS Forensic Toolkit в редакции Live Linux

20 мая, 2025, Oleg Afonin

Для извлечения данных из устройств с iOS с использованием эксплойта загрузчика традиционно требовался компьютер с macOS. Версии iOS Forensic Toolkit для Windows и Linux не поддерживали checkm8, что являлось одним из ограничений продукта. В редакции для Linux это ограничение было снято, и у экспертов появился выбор: macOS или Linux. Если же под рукой нет ни Linux, ни macOS, на помощь придёт новая версия инструментария, доступная в виде полностью интегрированного загрузочного образа.

Читать дальше »