Chain of Custody: роль цепочки хранения доказательств в цифровой криминалистике
27 марта, 2026, Oleg Afonin
Классические материальные улики — отпечатки пальцев или микроскопические частицы ткани — всё чаще дополняются цифровыми следами, а судьбы людей решаются в пространстве нулей и единиц. В современном правосудии цифровая криминалистика выходит на первый план. В отличие от орудия убийства, которое нельзя незаметно переплавить прямо в сейфе вещдоков, виртуальную информацию можно подделать, исказить или стереть так искусно, что следы стороннего вмешательства будет трудно выявить без специальной проверки.
Distributed Password Recovery: поддержка видеокарт NVIDIA Blackwell
26 марта, 2026, Oleg Afonin
В новой версии Elcomsoft Distributed Password Recovery появилась поддержка видеокарт NVIDIA последнего поколения Blackwell. Небольшое обновление? Напротив: EDPR 5.0 — самое крупное обновление продукта за последние годы. Мы полностью пересобрали продукт, осуществив переход с 32-битного кода на 64-разрядный. Почему это важно и при чём здесь NVIDIA Blackwell? Подробности — в этой статье.
Эффективное создание образов в формате E01
23 марта, 2026, Vladimir Katalov
Мы неоднократно писали о том, как снимать образы современных накопителей, какие для этого нужны условия и аппаратное обеспечение, а также о том, как добиться максимальной скорости. На этот раз мы решили сосредоточиться исключительно на скоростях работы с E01 — самым распространённым форматом, который используется повсеместно. Поскольку полноценный криминалистический образ должен сопровождаться контрольными суммами, мы проверяли программы в реальных условиях с обязательным подсчётом хэш-сумм. В этой статье мы кратко разберём ключевые факторы, которые ускоряют или тормозят процесс снятия данных, а затем покажем сводные таблицы производительности со свежими результатами наших тестов популярных программ для снятия образов.
ИИ в криминалистике: анализ улик или необоснованный обыск?
19 марта, 2026, Oleg Afonin
В двух статьях Алексиса Бригнони (оригинал и продолжение) поднимается очень интересная тема: а что, если модель искусственного интеллекта из криминалистического пакета залезет куда-то не туда, куда позволял залезть ордер, увидит что-то из того, на что не было разрешения, и обнаружит улики, которые не удалось бы найти, не выйдя за рамки оригинального ордера? Алексис делает сильный ход, утверждая: «Хотите, чтобы суд выбросил ваши цифровые улики на свалку? Просто спросите LLM, не ограничивая его правовыми рамками». И мне определённо есть что добавить.
Обманчивые модули: форм-факторы накопителей NVMe
17 марта, 2026, Oleg Afonin
У вас в руках — печатная плата с микросхемами, похожая на SSD в формате M.2. Но что это на самом деле и как, к чему и через что её можно подключить? Если это M.2 — то это диск SATA или NVMe? А может, адаптер Wi-Fi/Bluetooth? Заработает ли накопитель, извлечённый из компьютера Apple, в простом механическом адаптере, или для доступа к данным понадобится оригинальное устройство Apple? Физический разъём — не гарантия совместимости. Проприетарные модули NAND в современных компьютерах Apple похожи на обычные NVMe накопители, но их содержимое не прочитается вне основной системы: в качестве контроллера используется основной чип компьютера. В этой статье мы разберём физические форм-факторы, в которых выпускаются современные NVMe-накопители.
Анализ папки C:\Users
12 марта, 2026, Oleg Afonin
Эта статья завершает нашу серию об артефактах Windows и их значении для криминалистики. В предыдущих публикациях мы рассмотрели системные артефакты: журналы событий Windows, реестр Windows, файловые артефакты в папках C:\Windows и C:\ProgramData. Без них не восстановить общую картину: запуск и завершение работы системы, активность служб, установку программ, механизмы закрепления и признаки компрометации на уровне машины. Однако системные артефакты показывают события, но не всегда указывают, кто за ними стоит. Сегодня мы рассмотрим артефакты, связанные с действиями конкретного пользователя.
Исследование содержимого C:\ProgramData
5 марта, 2026, Oleg Afonin
Мы продолжаем цикл статей об исследовании артефактов в компьютерах с ОС Windows. Сегодня мы разберём содержимое папки %ProgramData% (как правило, C:\ProgramData) — здесь расположены данные приложений и системных служб, относящиеся к системе в целом. Анализ этой директории помогает восстановить историю использования компьютера и работу встроенного антивируса, отследить факты передачи файлов и установки приложений, а также получить дополнительные подтверждения цифровых доказательств, найденных в других источниках.
Блокираторы записи: от жёстких дисков к современным стандартам
4 марта, 2026, Vladimir Katalov
Аппаратные блокираторы записи — базовый инструмент любого специалиста по цифровой криминалистике. Блокираторов — великое множество, как от именитых производителей, так и от безымянных китайских продавцов, со всеми промежуточными остановками. Отметилась и наша компания: в нашем портфолио — целый набор блокираторов записи, которые мы, конечно же, считаем лучшими в мире. Насколько мы объективны в своей оценке — вопрос открытый; сегодня же мы рассмотрим, как эволюционировал рынок такого оборудования, что сегодня предлагают производители из разных регионов мира, и проведём несколько тестов. Мы не станем зацикливаться на мегабайтах в секунду, а посмотрим на блокираторы глазами практика, оценив эргономику, стандарты питания и то, как старые инженерные подходы разбиваются о реалии современных накопителей.
Файловые артефакты в C:\Windows
4 марта, 2026, Oleg Afonin
Мы продолжаем цикл статей, посвящённых исследованию цифровых следов в компьютерах с ОС Windows. Если вы следите за нашими публикациями, наверняка заметили: с каждой новой темой анализ становится всё сложнее, ведь взятые по отдельности артефакты не дают всей картины. Современная криминалистика во многом опирается на сопоставление данных из разных источников. Собирая и сопоставляя данные из разных источников, специалисты восстанавливают целостную картину происшествия и формируют надёжную доказательную базу.
Поиск и анализ следов подключения USB-накопителей при расследовании утечек данных
26 февраля, 2026, Oleg Afonin
Не секрет, что внешние накопители — от обычных USB-флешек до ёмких жёстких дисков и смартфонов — нередко становятся каналом утечек данных и распространения шифровальщиков. Специалистам по цифровой криминалистике часто нужно восстановить точную хронологию: когда USB-устройство подключили, какие действия выполняли и когда его отключили. И в поиске первоисточника заражения сети, и при расследовании кражи данных уволенным сотрудником ответы нередко лежат в истории использования внешних носителей.
