Обманчивые модули: форм-факторы накопителей NVMe

17 марта, 2026, Oleg Afonin

У вас в руках — печатная плата с микросхемами, похожая на SSD в формате M.2. Но что это на самом деле и как, к чему и через что её можно подключить? Если это M.2 — то это диск SATA или NVMe? А может, адаптер Wi-Fi/Bluetooth? Заработает ли накопитель, извлечённый из компьютера Apple, в простом механическом адаптере, или для доступа к данным понадобится оригинальное устройство Apple? Физический разъём — не гарантия совместимости. Проприетарные модули NAND в современных компьютерах Apple похожи на обычные NVMe накопители, но их содержимое не прочитается вне основной системы: в качестве контроллера используется основной чип компьютера. В этой статье мы разберём физические форм-факторы, в которых выпускаются современные NVMe-накопители.

Читать дальше »

Анализ папки C:\Users

12 марта, 2026, Oleg Afonin

Эта статья завершает нашу серию об артефактах Windows и их значении для криминалистики. В предыдущих публикациях мы рассмотрели системные артефакты: журналы событий Windows, реестр Windows, файловые артефакты в папках C:\Windows и C:\ProgramData. Без них не восстановить общую картину: запуск и завершение работы системы, активность служб, установку программ, механизмы закрепления и признаки компрометации на уровне машины. Однако системные артефакты показывают события, но не всегда указывают, кто за ними стоит. Сегодня мы рассмотрим артефакты, связанные с действиями конкретного пользователя.

Читать дальше »

Исследование содержимого C:\ProgramData

5 марта, 2026, Oleg Afonin

Мы продолжаем цикл статей об исследовании артефактов в компьютерах с ОС Windows. Сегодня мы разберём содержимое папки %ProgramData% (как правило, C:\ProgramData) — здесь расположены данные приложений и системных служб, относящиеся к системе в целом. Анализ этой директории помогает восстановить историю использования компьютера и работу встроенного антивируса, отследить факты передачи файлов и установки приложений, а также получить дополнительные подтверждения цифровых доказательств, найденных в других источниках.

Читать дальше »

Блокираторы записи: от жёстких дисков к современным стандартам

4 марта, 2026, Vladimir Katalov

Аппаратные блокираторы записи — базовый инструмент любого специалиста по цифровой криминалистике. Блокираторов — великое множество, как от именитых производителей, так и от безымянных китайских продавцов, со всеми промежуточными остановками. Отметилась и наша компания: в нашем портфолио — целый набор блокираторов записи, которые мы, конечно же, считаем лучшими в мире. Насколько мы объективны в своей оценке — вопрос открытый; сегодня же мы рассмотрим, как эволюционировал рынок такого оборудования, что сегодня предлагают производители из разных регионов мира, и проведём несколько тестов. Мы не станем зацикливаться на мегабайтах в секунду, а посмотрим на блокираторы глазами практика, оценив эргономику, стандарты питания и то, как старые инженерные подходы разбиваются о реалии современных накопителей.

Читать дальше »

Файловые артефакты в C:\Windows

4 марта, 2026, Oleg Afonin

Мы продолжаем цикл статей, посвящённых исследованию цифровых следов в компьютерах с ОС Windows. Если вы следите за нашими публикациями, наверняка заметили: с каждой новой темой анализ становится всё сложнее, ведь взятые по отдельности артефакты не дают всей картины. Современная криминалистика во многом опирается на сопоставление данных из разных источников. Собирая и сопоставляя данные из разных источников, специалисты восстанавливают целостную картину происшествия и формируют надёжную доказательную базу.

Читать дальше »

Поиск и анализ следов подключения USB-накопителей при расследовании утечек данных

26 февраля, 2026, Oleg Afonin

Не секрет, что внешние накопители — от обычных USB-флешек до ёмких жёстких дисков и смартфонов — нередко становятся каналом утечек данных и распространения шифровальщиков. Специалистам по цифровой криминалистике часто нужно восстановить точную хронологию: когда USB-устройство подключили, какие действия выполняли и когда его отключили. И в поиске первоисточника заражения сети, и при расследовании кражи данных уволенным сотрудником ответы нередко лежат в истории использования внешних носителей.

Читать дальше »

Проблемы питания в цифровой криминалистике

20 февраля, 2026, Oleg Afonin

Обеспечить правильным питанием как лабораторное оборудование, так и исследуемые устройства — задача нетривиальная. Современная лаборатория — это сложная система, где одновременно работают мощные рабочие станции, портативные мини-ПК, блокираторы записи и вещественные доказательства — устройства, которые нужно исследовать. С учётом того, что оборудование поступает из самых разных регионов — от КНР до Индии включительно, — возникает сильная фрагментация стандартов. Несмотря на попытки унификации вокруг USB Type-C, в сфере питания специализированных устройств порядка до сих пор нет.

Читать дальше »

Криминалистический анализ журнала событий Windows Event Log

18 февраля, 2026, Oleg Afonin

Цифровая криминалистика опирается на разнообразные артефакты — следы, которые оставляют как рядовые пользователи, так и злоумышленники. Журналы событий Windows (Windows Event Logs) выступают главной хронологической летописью работы операционной системы. Они фиксируют события безопасности, поведение приложений, активность служб и драйверов, а также данные о входе пользователей, включении и выключении компьютера. Поскольку Windows 10 и 11 генерируют огромный объем фоновых событий, поиск криминалистически значимых артефактов требует как специального ПО, так и навыков и чёткого понимания архитектуры и механизмов журналирования.

Читать дальше »

Perfect Acquisition — разблокировка и извлечение на физическом уровне

13 февраля, 2026, Vladimir Katalov

Эксплойт checkm8, появившийся несколько лет назад, произвёл переворот в мобильной криминалистике. Впервые специалисты получили верифицируемый доступ к файловой системе множества устройств Apple. В индустрии использование эксплойта загрузчика быстро стало стандартом низкоуровневого извлечения. На выходе получался архив tar с копией файловой системы устройства. Это удобно — с tar умеют работать почти все инструменты; но у этого метода есть недостатки. tar — довольно старый «ленточный» формат, разработанный задолго до появления современных файловых систем с их метаданными и разрежёнными файлами. Мы разработали более совершенный метод, который извлекает из устройства не копию файловой системы, а точный образ диска.

Читать дальше »

Криминалистический анализ реестра Windows

13 февраля, 2026, Oleg Afonin

Реестр Windows остаётся одним из важнейших для расследования источников информации. Анализ ключей и значений реестра позволяет реконструировать системную активность и поведение пользователя. Реестр содержит информацию о запущенных программах, доступе к данным и подключении внешних устройств. Без автоматизированных криминалистических инструментов исследование реестра малоэффективно, но даже с их использованием интерпретация результатов всегда остаётся задачей эксперта.

Читать дальше »