Типы учётных записей Windows и восстановление паролей

23 апреля, 2026, Oleg Afonin

Раньше получить доступ к системе Windows было несложно: достаточно было лишь извлечь хэши NT из локальной базы данных и запустить атаку, которая на данных NTLM работала очень быстро. В последние годы Microsoft всё дальше отходит от традиционных механизмов аутентификации, используя более стойкие альтернативы. Microsoft активно отучает пользователей от локальных учётных записей, продвигая облачные идентификаторы (например, учётные записи Microsoft для частных лиц) и модели безопасности, завязанные на аппаратные средства защиты (например, вход через Windows Hello).

Читать дальше »

Агент-экстрактор для iPad на чипах M-серии

21 апреля, 2026, Oleg Afonin

В предыдущей версии iOS Forensic Toolkit агент-экстрактор научился работать с iOS 18.7.1 — на iPhone и iPad на чипах А, а сегодня мы добавили поддержку планшетов с iPadOS на архитектуре M (Apple M1, M2, M3, M4). Работу немного затормозили особенности распределения памяти в старших моделях iPad Pro на 1 и 2 ТБ, оснащённых 16 ГБ оперативной памяти, но нам удалось обойти и эту проблему.

Читать дальше »

Низкоуровневое извлечение iOS 17 и 18

14 апреля, 2026, Oleg Afonin

iOS Forensic Toolkit обновился до десятой версии. Мы заметно расширили возможности низкоуровневого извлечения как для агента-экстрактора, так и для checkm8. Агент-экстрактор получил поддержку всех версий iOS/iPadOS 16 и 17, а также поддержку ряда версий iOS 18; для checkm8 теперь есть поддержка всех последних обновлений ОС от Apple на уязвимых устройствах. Наконец, мы улучшили расширенное логическое извлечение для iOS/iPadOS 26 — теперь этот метод вытягивает гораздо больше данных из категории shared files.

Читать дальше »

Когда отказ от признания — преступление

2 апреля, 2026, Oleg Afonin

Чем больше мы зависим от мобильных устройств, тем больше производители стараются обезопасить нас и наши данные от злоумышленников. Технически сложные методы разблокировки, надёжное шифрование, выделенные сопроцессоры безопасности с собственной ОС — лишь вершина айсберга. Но что происходит, когда защищаться приходится вовсе не от злоумышленников? Повсеместное использование шифрования всё чаще приводит к тому, что полиция упирается в глухую стену: получить доступ к данным без участия владельца часто невозможно технически. Этот технологический тупик спровоцировал конфликт между стремлением государства получить доступ к цифровым уликам и фундаментальным правом человека не свидетельствовать против самого себя.

Читать дальше »

Цена ошибки: полгода в заключении из-за алгоритма

30 марта, 2026, Oleg Afonin

В июле 2025 года пятидесятилетняя Анджела Липпс из штата Теннесси стала жертвой полицейской ошибки. Расследуя серию банковских мошенничеств, полиция города Фарго (Северная Дакота) получила наводку от коллег: искусственный интеллект распознал лицо Липпс на поддельном удостоверении, использованном преступниками. В результате вооружённые федеральные маршалы ворвались в её дом и арестовали женщину на глазах её внуков, что положило начало длинной цепочке событий: Липпс провела за решёткой около шести месяцев, получив статус беглой преступницы в штате, в котором не была ни разу в жизни.

Читать дальше »

Chain of Custody: роль цепочки хранения доказательств в цифровой криминалистике

27 марта, 2026, Oleg Afonin

Классические материальные улики — отпечатки пальцев или микроскопические частицы ткани — всё чаще дополняются цифровыми следами, а судьбы людей решаются в пространстве нулей и единиц. В современном правосудии цифровая криминалистика выходит на первый план. В отличие от орудия убийства, которое нельзя незаметно переплавить прямо в сейфе вещдоков, виртуальную информацию можно подделать, исказить или стереть так искусно, что следы стороннего вмешательства будет трудно выявить без специальной проверки.

Читать дальше »

Distributed Password Recovery: поддержка видеокарт NVIDIA Blackwell

26 марта, 2026, Oleg Afonin

В новой версии Elcomsoft Distributed Password Recovery появилась поддержка видеокарт NVIDIA последнего поколения Blackwell. Небольшое обновление? Напротив: EDPR 5.0 — самое крупное обновление продукта за последние годы. Мы полностью пересобрали продукт, осуществив переход с 32-битного кода на 64-разрядный. Почему это важно и при чём здесь NVIDIA Blackwell? Подробности — в этой статье.

Читать дальше »

Эффективное создание образов в формате E01

23 марта, 2026, Vladimir Katalov

Мы неоднократно писали о том, как снимать образы современных накопителей, какие для этого нужны условия и аппаратное обеспечение, а также о том, как добиться максимальной скорости. На этот раз мы решили сосредоточиться исключительно на скоростях работы с E01 — самым распространённым форматом, который используется повсеместно. Поскольку полноценный криминалистический образ должен сопровождаться контрольными суммами, мы проверяли программы в реальных условиях с обязательным подсчётом хэш-сумм. В этой статье мы кратко разберём ключевые факторы, которые ускоряют или тормозят процесс снятия данных, а затем покажем сводные таблицы производительности со свежими результатами наших тестов популярных программ для снятия образов.

Читать дальше »

ИИ в криминалистике: анализ улик или необоснованный обыск?

19 марта, 2026, Oleg Afonin

В двух статьях Алексиса Бригнони (оригинал и продолжение) поднимается очень интересная тема: а что, если модель искусственного интеллекта из криминалистического пакета залезет куда-то не туда, куда позволял залезть ордер, увидит что-то из того, на что не было разрешения, и обнаружит улики, которые не удалось бы найти, не выйдя за рамки оригинального ордера? Алексис делает сильный ход, утверждая: «Хотите, чтобы суд выбросил ваши цифровые улики на свалку? Просто спросите LLM, не ограничивая его правовыми рамками». И мне определённо есть что добавить.

Читать дальше »

Обманчивые модули: форм-факторы накопителей NVMe

17 марта, 2026, Oleg Afonin

У вас в руках — печатная плата с микросхемами, похожая на SSD в формате M.2. Но что это на самом деле и как, к чему и через что её можно подключить? Если это M.2 — то это диск SATA или NVMe? А может, адаптер Wi-Fi/Bluetooth? Заработает ли накопитель, извлечённый из компьютера Apple, в простом механическом адаптере, или для доступа к данным понадобится оригинальное устройство Apple? Физический разъём — не гарантия совместимости. Проприетарные модули NAND в современных компьютерах Apple похожи на обычные NVMe накопители, но их содержимое не прочитается вне основной системы: в качестве контроллера используется основной чип компьютера. В этой статье мы разберём физические форм-факторы, в которых выпускаются современные NVMe-накопители.

Читать дальше »