В обновлении Elcomsoft System Recovery появилась возможность восстанавливать PIN-коды к учётным записям Windows 10 и Windows 11 на компьютерах, не оборудованных TPM, о чём мы недавно рассказали в нашем блоге. На этом, однако, нововведения не заканчиваются: в обновлении анонсировано несколько интересных и полезных новинок, о которых мы расскажем в этой статье.

Учётные записи Microsoft Azure

В Windows есть несколько типов учётных записей: локальные, доменные и онлайновые учётные записи Microsoft Account. Локальные учётные записи традиционно использовались на домашних компьютерах пользователей. Вплоть до восьмой версии Windows они были практически единственным вариантом для домашнего пользователя, но в Windows 8 появился новый вариант учётных записей, использующий логин и пароль пользователя от онлайновой учётной записи Microsoft Account. Для корпоративных пользователей компания предлагала использовать доменные учётные записи.

В Elcomsoft System Recovery поддерживаются все эти типы учётных записей. Для них доступны возможности по сбросу паролей, назначению административных привилегий и изменению типа учётной записи (к примеру, с Microsoft Account на локальную). Не так давно мы добавили и поддержку учётных записей Windows 11, для которых используется новая система аутентификации, не использующая пароль. Об этом мы писали в статье Windows 11: TPM, новый тип учётных записей и логин без пароля.

Однако в Windows существует и ещё один тип учётных записей, привязанный к Microsoft Azure. Учётные записи Microsoft Azure относятся к типу Microsoft Works and School Accounts. Их наличие не определяется штатными средствами; учётные записи Microsoft Azure не отображаются в списке пользователей в настройках системы. В обновлении Elcomsoft System Recovery мы добавили возможность определения наличия учётных записей этого типа на компьютере пользователя.

Определение шифрования LUKS2

Elcomsoft System Recovery можно использовать не только для анализа компьютеров под управлением Windows, но и для загрузки систем с другими ОС — например, macOS и Linux. Разумеется, функционал продукта для Windows наиболее широк, но и для других операционных систем доступны некоторые функции. В частности, поддерживается работа с зашифрованными дисками — определение типа шифрования и извлечение метаданных для дальнейшего перебора при помощи Elcomsoft Distributed Password Recovery. В предыдущих версиях продукта поддерживался длинный список систем шифрования, включающий TrueCrypt, VeraCrypt, BitLocker, FileVault (HFS+/APFS), PGP Disk и LUKS. Последний является самой распространённой системой шифрования дисков практически во всех сборках Linux. В обновлении мы добавили Elcomsoft System Recovery определение дисков, зашифрованных новой версией этой системы — LUKS2. В сравнении с оригинальным LUKS, LUKS2 является ещё более безопасным, поддерживая большее число алгоритмов и увеличенное число итераций.

Мы работаем над обновлением Elcomsoft Distributed Password Recovery, в котором будет поддерживаться восстановление паролей к зашифрованным дискам LUKS2 с максимальной производительностью на современных видеокартах. В то же время извлечь метаданные шифрования для последующей атаки вы сможете уже сегодня — нужный функционал появился в Elcomsoft System Recovery 8.30.

Новые фильтры криминалистического инструментария

Мы активно развиваем в Elcomsoft System Recovery функционал, предназначенный для экспертов, работающих на выезде. Не так давно мы добавили возможность быстрого просмотра данных об использовании компьютера, привязанных к временной шкале. Подробно об этом мы писали в статье Загрузочный инструментарий криминалиста для первоначального исследования компьютеров. Разумеется, загрузочный инструментарий не может являться полноценной заменой традиционному подходу, в рамках которого предполагается извлечение носителей информации и их последующий анализ в лаборатории, однако при работе на выезде определяющим фактором является время, затраченное на поиск и первоначальный анализ улик. Наш подход позволяет быстро извлечь самую важную для расследования информацию, а чаще всего это именно временная шкала активности пользователя.

Elcomsoft System Recovery предлагает альтернативу традиционному подходу, ускоряет и упрощает процесс первоначального сбора улик, предоставляя эксперту удобный инструментарий, который можно запустить с загрузочного накопителя. Напомним, в инструментарий вошли следующие функции:

• Временная шкала. Позволяет анализировать действия пользователей компьютера на основе данных Windows Timeline.
• Список последних открытых файлов. Позволяет узнать, к каким именно файлам обращался пользователь компьютера.
• Список установленных приложений. Показывает, какие приложения установлены в системе (например, программы мгновенного обмена сообщениями, почтовые клиенты, браузеры и т.п.)

Мощность загрузочного инструментария и количество возвращаемых данных могут оказаться избыточными: собираются и выводятся огромные массивы информации, обработать которые эксперту на выезде может оказаться непросто. Более того, большая часть данных может оказаться не относящейся к расследованию вовсе — например, это касается информации о доступе к файлам самой операционной системы (в отличие от доступа к файлам, которые хранятся в пользовательском «домашнем» каталоге). Именно эту проблему мы решили в последнем обновлении продукта.

Напомним: доступ к инструментарию Forensic Tools можно получить непосредственно из главного окна Elcomsoft System Recovery, которое появляется после загрузки компьютера с USB-накопителя и принятия пользовательского соглашения. Создать загрузочный накопитель Elcomsoft System Recovery можно, воспользовавшись инструкциями в статье Elcomsoft System Recovery: загрузочный накопитель для исследования компьютеров. Вам будут доступны три утилиты: Installed Apps (список установленных в системе приложений), Timeline (временная шкала, на которой отображаются запущенные и закрытые пользователем приложения) и Recent files and folders (список файлов и папок, которые открывал пользователь).

Список установленных в системе приложений можно просмотреть, воспользовавшись утилитой Installed apps. По умолчанию выводятся все установленные в системе приложения:

Если этот список избыточен или если необходимо узнать, установлено ли на компьютере конкретное приложение, можно настроить фильтры:

Один из наиболее мощных инструментов анализа — так называемая Временная шкала Windows (Timeline). Timeline позволяет просматривать историю взаимодействия с Windows, включая запущенные приложения, открытые документы и веб-страницы, и даже историю поисковых запросов. Данные временной шкалы собираются по отдельности для каждого пользователя системы. При анализе временной шкалы потребуется указать путь к профилю пользователя; пароль пользователя для доступа к данным не требуется. Так же, как и в предыдущем случае, информации в Timeline может оказаться слишком много:

Вы можете настроить фильтры, ограничивающие вывод исключительно релевантной информацией:

Отфильтрованный вариант выглядит следующим образом:

Наконец, инструмент «Recent files and folders» предоставляет доступ к истории доступа пользователя к файлам и папкам на компьютере. Для доступа к данным потребуется указать путь к профилю пользователя; пароль пользователя не требуется. В то же время в этот список может попадать информация, не относящаяся к расследованию — например, доступ к файлам операционной системы. Такие данные можно исключить из выдачи, настроив фильтрацию:

Заключение

Elcomsoft System Recovery изначально разрабатывался как простой инструмент для сброса паролей к учётным записям Windows. Сегодня инструмент предлагает продвинутый функционал, позволяющий использовать продукт для сбора и анализа цифровых улик как на выезде, так и в лаборатории. Мы продолжим развивать и улучшать Elcomsoft System Recovery, добавляя новый функционал, который сделает его ещё более мощным и удобным для экспертов-криминалистов.