Elcomsoft Phone Breaker чаще всего упоминается в контексте извлечения информации из Apple iCloud и расшифровки резервных копий iTunes. Возможности продукта, однако, не ограничиваются платформой Apple. Продукт позволяет извлекать информацию из учётных записей Microsoft, включая такие данные, как активности пользователя на локальном компьютере (за это отвечает синхронизация Timeline), переписку в Skype и файлы из OneDrive. Не так давно мы добавили извлечение данных из защищённого хранилища Microsoft Personal Vault. О том, что это такое и как работает — в этой статье.

Windows Timeline

Timeline (в русскоязычном варианте — «Временная шкала») — это функция Windows 10, расширяющая возможности Диспетчера задач. Timeline позволяет просматривать историю взаимодействия с Windows, включая запущенные приложения, открытые документы и веб-страницы, и даже историю поисковых запросов. В определённый момент в Windows появилась возможность синхронизации Временной шкалы с облаком Microsoft, что позволило пользователям продолжить работу на другом устройстве с того самого места, на котором она была прервана на предыдущем устройстве.

С точки зрения криминалистического анализа Timeline представляет серьёзный интерес в силу своей малоизвестности большинству пользователей. Так же, как и «jumplists» (список запущенных приложений и документов, который хранится локально), Timeline практически никогда не удаляют и не отключают в настройках системы. Отметим, что облачная синхронизация Timeline была отключена в июльском обновлении Windows 10. Тем не менее, на момент написания этой статьи данные всё ещё доступны для скачивания.

Для доступа к данным Timeline вам потребуется Elcomsoft Phone Breaker 9.70 (или более новый), а для просмотра — Elcomsoft Phone Viewer 5.30 или более новая версия.

Анализ Временной шкалы позволяет получить информацию о запуске приложений, открытых веб-сайтах и поисковых запросах пользователя. Кроме того, EPB может извлечь данные Account Activities, позволяющие узнать, когда и откуда пользователь входил в учётную запись Microsoft.

OneDrive и «личный сейф» Personal Vault

Файловое хранилище OneDrive не нуждается в представлении, но недавно появившееся расширение «личный сейф» (Personal Vault) пока не получило широкой известности. Личный сейф OneDrive — специальная папка в сетевом хранилище OneDrive, дополнительно защищённая средствами проверки личности и двухфакторной аутентификации. В маркетинговых материалах Microsoft упоминается возможность «сохранять в облаке самые важные файлы, не беспокоясь о возможности несанкционированного доступа к ним». Насколько это соответствует действительности?

Фактически, «личный сейф» (Personal Vault) — и в самом деле папка в составе основного хранилища. Для доступа к этой папке недостаточно получить доступ к компьютеру с авторизованной пользовательской сессией: при попытке открыть Personal Vault система потребует полной аутентификации по логину и паролю (либо посредством приложения Microsoft Authenticator, установленного на смартфоне пользователя). При аутентификации посредством логина и пароля система дополнительно затребует одноразовый код двухфакторной аутентификации.

Что это означает на практике? Фактически, сторонние инструменты для доступа к OneDrive не смогут получить доступ к файлом, которые пользователь хранит в «личном сейфе», если в них нет явной поддержки новой возможности OneDrive; но даже в этом случае для доступа к защищённому хранилищу потребуется дополнительная аутентификация. Мы же не только обновили Elcomsoft Phone Breaker, добавив поддержку OneDrive Personal Vault, но и сделали так, чтобы повторной авторизации при скачивании файлов из «личного сейфа» не потребовалось: при использовании EPB вполне достаточно обычной аутентификации в Microsoft Account стандартными средствами.

Пошаговое руководство

Извлечение данных OneDrive, Personal Vault и Timeline при помощи Elcomsoft Phone Breaker проделать достаточно несложно.

1. Установите последнюю версию EPB (требуется версия 9.70 или более новая).
2. Выберите пункт «Download data from Microsoft account»
3. Авторизуйтесь в учётной записи Microsoft при помощи логина и пароля; пройдите проверку двухфакторной аутентификации.
4. Выберите категории для скачивания (включая OneDrive, Personal Vault и Timeline).
   
5. Нажмите Continue. Данные будут скачаны.

Для просмотра данных воспользуйтесь следующей инструкцией.

1. Скачайте и установите Elcomsoft Phone Viewer (требуется версия не ниже 5.30).
2. Выберите пункт «Microsoft account data»
3. Выберите данные:
4. Проведите их анализ

Заключение

Благодаря поддержки расширения OneDrive, Windows Timeline и статистики входа в учётную запись Elcomsoft Phone Breaker становится незаменимым помощником в облачном анализе. Обновления бесплатны для существующих пользователей с актуальной лицензией.