Уязвимости TPM: как защитить данные BitLocker, когда TPM скомпрометирован
27 мая, 2026, Oleg Afonin
Основной целью «защиты устройства» по версии Microsoft была полностью прозрачная защита данных: системный диск зашифрован, а пользователю об этом не нужно даже знать. Шифрование на современных сборках Windows может происходить автоматически, ключи восстановления — так же автоматически загружаются в облако Microsoft (или в корпоративную сеть, Entra ID); пользователь никогда (по мнению Microsoft) не должен сталкиваться с паролями или ключами шифрования.
Скачивание резервных копий iPhone и iPad из iCloud
26 мая, 2026, Oleg Afonin
Извлечение резервных копий из iCloud — одна из самых технически сложных задач в облачной криминалистике. В iCloud резервные копии не создаются в виде единого файла в фиксированном формате; они собираются из множества отдельных фрагментов, которые нужно сначала извлечь, а затем собрать из них цельную резервную копию в стандартном формате, который можно будет открыть и проанализировать стандартными средствами. Какое-то время назад разработчики Apple изменили протоколы обмена данными, и старые методы извлечения перестали работать у всех, кроме самой Apple. Нам пришлось адаптировать внутренние механизмы; подробно об этом мы писали в материале Elcomsoft Phone Breaker 11: возвращение iCloud.
YellowKey: критическая уязвимость BitLocker и доступ к «холодным» данным
19 мая, 2026, Oleg Afonin
12 мая 2026 года исследователь, известный под никами Chaotic Eclipse и Nightmare-Eclipse, выложил на GitHub рабочий PoC для уязвимости нулевого дня в Windows под названием YellowKey. Эксплойт позволяет выйти в командную строку и получить доступ к зашифрованному BitLocker системному диску любому, у кого есть физический доступ к компьютеру с Windows 11, Windows Server 2022 или Windows Server 2025. Без пароля, ключа восстановления или сложного оборудования для перехвата данных TPM. Достаточно USB-накопителя и комбинации клавиш во время перезагрузки.
Агент-экстрактор: актуальная инструкция (2026)
12 мая, 2026, Oleg Afonin
Мы часто пишем про разные способы извлечения данных, и особенно часто — про извлечение методом агента-экстрактора, нашу собственную разработку. Технологии постоянно меняются, и со временем накапливаются мелкие изменения, в результате чего ранние статьи устаревают и теряют релевантность. Начиная с прошлого года мы начали выпускать своеобразные дайджесты — первым стал материал Агент-экстрактор: самая подробная инструкция (2025). За год накопилось достаточно изменений, чтобы написать очередной дайджест. В сегодняшнем материале мы собрали актуальную информацию об агенте-экстракторе на май 2026 года.
Elcomsoft Phone Breaker 11: возвращение iCloud
30 апреля, 2026, Oleg Afonin
Мы обновили Elcomsoft Phone Breaker до версии 11. Главной причиной масштабного обновления стали недавние фундаментальные изменения протоколов доступа к iCloud со стороны Apple, которые «сломали» доступ в облако для всех предыдущих версий программы. Для решения этой проблемы мы полностью переработали механизмы аутентификации и загрузки данных из iCloud, восстановив работоспособность облачного функционала. Впрочем, полностью решить проблему нам пока не удалось. В этой статье — о том, что случилось с облаком, как мы решили проблему, какие остались нюансы и ограничения и как их можно обойти.
iOS 26: низкоуровневое извлечение и аппаратная защита памяти
29 апреля, 2026, Oleg Afonin
В последнем обновлении iOS Forensic Toolkit мы добавили поддержку низкоуровневого извлечения iOS 26 и 26.0.1. В новой версии инструментария доступно извлечение полного образа файловой системы и связки ключей, где хранятся пароли и токены авторизации. Не обошлось и без подводных камней: метод работает на всех моделях iPhone и iPad, на которых можно запустить iOS 26, за исключением семейства iPhone 17 и планшетов iPad на процессоре M5. Почему так получилось? Ответ — в новом методе аппаратной защиты целостности памяти, который появился в чипах A19 и M5.
Методология цифрового триажа
28 апреля, 2026, Oleg Afonin
Цифровая криминалистика долго опиралась на простой принцип: отключить питание, снять образ диска, анализировать в лаборатории. Этот подход работал, пока объёмы данных измерялись гигабайтами, а расследование касалось одного-двух компьютеров. Сегодня эти условия выполняются редко. В расследованиях часто фигурируют десятки устройств с терабайтными накопителями, и классический подход порождает очереди в лабораториях, растянутые на недели и месяцы. Пока образы ждут своей очереди, оперативная ценность улик падает.
Типы учётных записей Windows и восстановление паролей
23 апреля, 2026, Oleg Afonin
Раньше получить доступ к системе Windows было несложно: достаточно было лишь извлечь хэши NT из локальной базы данных и запустить атаку, которая на данных NTLM работала очень быстро. В последние годы Microsoft всё дальше отходит от традиционных механизмов аутентификации, используя более стойкие альтернативы. Microsoft активно отучает пользователей от локальных учётных записей, продвигая облачные идентификаторы (например, учётные записи Microsoft для частных лиц) и модели безопасности, завязанные на аппаратные средства защиты (например, вход через Windows Hello).
Агент-экстрактор для iPad на чипах M-серии
21 апреля, 2026, Oleg Afonin
В предыдущей версии iOS Forensic Toolkit агент-экстрактор научился работать с iOS 18.7.1 — на iPhone и iPad на чипах А, а сегодня мы добавили поддержку планшетов с iPadOS на архитектуре M (Apple M1, M2, M3, M4). Работу немного затормозили особенности распределения памяти в старших моделях iPad Pro на 1 и 2 ТБ, оснащённых 16 ГБ оперативной памяти, но нам удалось обойти и эту проблему.
Низкоуровневое извлечение iOS 17 и 18
14 апреля, 2026, Oleg Afonin
iOS Forensic Toolkit обновился до десятой версии. Мы заметно расширили возможности низкоуровневого извлечения как для агента-экстрактора, так и для checkm8. Агент-экстрактор получил поддержку всех версий iOS/iPadOS 16 и 17, а также поддержку ряда версий iOS 18; для checkm8 теперь есть поддержка всех последних обновлений ОС от Apple на уязвимых устройствах. Наконец, мы улучшили расширенное логическое извлечение для iOS/iPadOS 26 — теперь этот метод вытягивает гораздо больше данных из категории shared files.
