Агент-экстрактор: самая подробная инструкция (2025)

2 июля, 2025, Oleg Afonin

В течение многих лет с момента появления в составе iOS Forensic Toolkit агента-экстрактора для низкоуровневого доступа к данным мы публиковали материалы о том, как правильно установить агент на устройство и что делать, если возникли проблемы. Со временем наш продукт эволюционировал; постепенно менялось и окружение. Мы старались реагировать, публикуя всё новые и новые статьи. В результате самые старые статьи частично бесполезны, а в обилии обновлений легко запутаться. Сегодня мы решили собрать и актуализировать всю доступную информацию в одном большом материале.

Читать дальше »

Журналы событий: как извлечь и чем анализировать логи Apple

27 июня, 2025, Oleg Afonin

Многочисленные устройства Apple собирают подробную информацию о работе устройств и взаимодействиях с пользователем. Формат журналов неизменен независимо от того, создаются они на устройствах с iOS, iPadOS, watchOS или tvOS, хотя тип и количество записей, конечно же, будет отличаться. В цифровой криминалистике журналы событий играют важную роль. Запись в журнале событий может помочь установить факт физического присутствия или факт осознанного использования устройства, рассказать о том, что пользователь делал с устройством в тот или иной момент времени и даже в каких условиях оно находилось.

Читать дальше »

Скандальные утечки: есть ли польза в миллиардах паролей?

23 июня, 2025, Oleg Afonin

В новостях снова бьют тревогу: в сеть «утекли» 16 миллиардов паролей, включая доступы к Apple, Google и другим крупным сервисам. Волна публикаций моментально вызвала панику; посыпались дежурные советы срочно сменить пароль. Однако уже через пару дней профильные источники уточнили: «утечка» — это всего лишь агрегат старых баз, логов инфостилеров и множества дубликатов. По сути, давно известные данные просто собрали «до кучи». У специалистов, занимающихся подбором паролей к зашифрованным документам и контейнерам, закономерно возникает вопрос: можно ли использовать такие «мегасборники» с реальной пользой в лабораторной практике? Краткий ответ — скорее нет, чем да. Но в перспективе ситуация может измениться.

Читать дальше »

Цифровые доказательства — это не только iPhone

18 июня, 2025, Oleg Afonin

Когда речь заходит о цифровых доказательствах, внимание почти всегда приковано к смартфонам. Иногда — к планшетам. Всё остальное из экосистемы — Apple Watch, Apple TV, HomePod, даже старые iPod Touch — часто остаётся за кадром. Между тем, такие устройства вполне могут хранить полезную информацию: журналы активности, сетевые пароли, остатки переписок, ключи, логи и даже фотографии. Однако даже если данные в таких устройствах есть, далеко не всегда их удастся извлечь быстро и с минимальными усилиями. Где-то поможет checkm8, где-то — только логический доступ, а в каких-то случаях все усилия будут напрасны. В этой статье — практический разбор: что реально можно получить с таких «второстепенных» устройств Apple, насколько это сложно и когда вообще стоит за них браться.

Читать дальше »

Экзотические накопители: стандарт U.3 и как с ним работать

16 июня, 2025, Oleg Afonin

Год от года плотность хранения информации растёт, как и скорость доступа к данным. В серверных стойках механические жёсткие диски постепенно уступают место твердотельным накопителям, ёмкость которых уже не только приближается, но и существенно превышает ёмкость традиционных накопителей. Если возникнет необходимость извлечь данные с серверного SSD в рамках экспертизы, вам придётся решить вопрос о способе его подключения. Перед нами — диск с маркировкой U.3, не самый очевидный формат для настольного компьютера. Разберёмся, что это такое и как с ним обращаться.

Читать дальше »

Энергопотребление накопителей — и почему это важно для лаборатории

13 июня, 2025, Oleg Afonin

Когда накопитель попадает в лабораторию в качестве источника цифровых доказательсв, задача специалиста — обеспечить стабильную работу для снятия образа данных. Это означает, что накопитель, подключённый к компьютеру через блокиратор записи, должен получать питание такой мощности и с такими характеристиками, которые необходимы для его стабильной и бесперебойной работы. На практике это означает не просто «включить», а гарантировать, что питание покрывает как рабочие нагрузки, так и пиковые, возникающие в момент включения некоторых типов накопителей. Разберёмся, сколько потребляет каждый тип накопителей и какое питание для этого нужно — в тех условиях, в которых с ними сталкиваются эксперты.

Читать дальше »

Лаборатория Элкомсофт: не все SSD одинаково полезны

10 июня, 2025, Oleg Afonin

Рынок твердотельных накопителей претерпевает серьёзные изменения. Благодаря удешевлению NAND-памяти и наличию решений «под ключ» (контроллеры, прошивки, даже полностью готовые платформы), SSD стали массовым товаром. Сегодня твердотельный накопитель можно купить на любом крупном маркетплейсе, зачастую — по подозрительно низкой цене. Вместе с этим возник новый феномен: обилие безымянных SSD, в том числе из Китая, которые внешне выглядят как полноценные устройства, но на деле представляют собой непредсказуемую комбинацию комплектующих, временами — поддельных. В этой статье мы рассмотрим, что из себя представляют такие устройства и можно ли на них положиться.

Читать дальше »

Блокираторы записи для накопителей NVMe и карт памяти SD и NM

6 июня, 2025, Oleg Afonin

Блокиратор записи — это устройство, которое позволяет считывать данные с накопителя, полностью исключая возможность их изменения. Такие блокираторы применяются в цифровой криминалистике, где критически важно сохранить информацию в исходном виде: даже случайная запись может повредить или уничтожить доказательства. Недавно мы писали о блокираторах для дисков SATA; сегодня мы расскажем о блокираторах, которые мы разработали для защиты от записи накопителей NVMe и карт памяти SD и NM.

Читать дальше »

Универсальный блокиратор записи SATA: надёжный инструмент для выезда и лаборатории

3 июня, 2025, Oleg Afonin

Блокировка записи при работе с изъятыми цифровыми носителями — обязательное требование цифровой криминалистики. Использование блокиратора записи в  процессе исследования позволяет сохранить целостность данных, избежать любых модификаций оригинального носителя и обеспечить криминалистическую чистоту процесса. Подробнее о назначении и принципах работы блокировщиков записи мы рассказывали в статье Аппаратная блокировка записи при снятии образа диска. В этой публикации мы расскажем про универсальный аппаратный блокиратор записи для накопителей с интерфейсом SATA, который мы разработали для использования как на выездах, так и в лаборатории.

Читать дальше »

TRIM, DRAT, DZAT: что должен знать криминалист о поведении SSD

2 июня, 2025, Oleg Afonin

Цифровая криминалистика давно вышла за пределы жестких дисков. Современные SSD — быстрые, компактные, но при этом коварные с точки зрения сохранности данных. Особое внимание заслуживает команда TRIM, напрямую влияющая на то, сможет ли криминалист получить доступ к удалённым данным. В этой статье мы расскажем, почему контрольные суммы при снятии образов с некоторых SSD могут не совпадать — и почему на современных дисках так не происходит.

Читать дальше »