В мире цифровых расследований ситуация, когда перед вами стоит огромное количество компьютеров, а сразу неясно, какие из них содержат ценную информацию, а какие заставляют пожалеть о напрасно потраченном времени, далеко не редкость. Оптимизация этого процесса становится вопросом первостепенной важности. Как быстро и эффективно определить, где находятся ценные для расследования данные? Лаборатории уже переполнены компьютерами и дисками, до которых руки не доходят месяцами. Но что если мы скажем вам, что есть решение?
В ситуации, когда в лаборатории накапливается большое количество устройств с огромным объёмом данных, часть из которых представляет собой критически важные улики, возникает вопрос: что делать? Очереди на цифровое расследование растут, экспертам не хватает времени и ресурсов, чтобы тщательно исследовать каждый диск и каждый компьютер. В таких случаях важно применять методы оптимизации и эффективно выделять приоритетные задачи.
Классический подход подразумевает извлечение накопителей, снятие полного образа и его последующий вдумчивый анализ в лаборатории. При этом часто оказывается, что большая часть информации на этих носителях является бесполезной, и время, потраченное на анализ (а в ряде случаев — и на борьбу со средствами шифрования диска) оказывается потраченным впустую. Как понять, какие носители содержат критически важную информацию без лишних затрат времени и усилий? Наше решение предлагает именно это: быстро и оперативно определить наиболее важные и перспективные устройства для дальнейшего анализа, сэкономив время и ресурсы. Это помогает уменьшить нагрузку на лабораторию и позволяет экспертам сосредоточиться на более значимых и сложных случаях, обеспечивая более эффективное проведение цифрового расследования.
Принцип “низко висящего фрукта” в цифровых расследованиях предполагает первоочередной анализ наиболее доступных и важных данных. Это могут быть такие элементы, как пароли, документы, ключи шифрования или журналы пользовательской активности. Быстрое и эффективное получение этой информации позволяет установить отправную точку для дальнейшего анализа. Применение принципа «фруктовой» стратегии не только сэкономит время, но и позволит сделать важные начальные шаги прямо на месте, сокращая или устраняя потенциальные задержки.
Elcomsoft System Recovery разработан с учётом стратегии “низко висящего фрукта”, позволяя следователям быстро собирать наиболее важные и легко доступные доказательства вместе с ключами к зашифрованным дискам и хранилищам. Поскольку Elcomsoft System Recovery работает как загрузочный диск, следователи могут извлекать критически важные данные и принимать обоснованные решения о дальнейших действиях на месте. Основываясь на собранных данных, следователи могут определить, необходимо ли создавать образ диска и транспортировать его в лабораторию для более глубокого анализа.
В заключение отметим, что Elcomsoft System Recovery не просто извлекает некоторое количество цифровых артефактов. С использованием нового функционала эксперт сможет получить всестороннее представление об активности пользователя онлайн, так и офлайн. Так, с использованием нового инструментария можно быстро извлечь пароли пользователя, важные документы, информацию о запущенных приложениях и файлах, к которым обращался пользователь. Полный список собираемых данных включает несколько десятков категорий и постоянно расширяется. Сбор и исследование наиболее важных данных прямо на месте сэкономит время и ресурсы, обеспечивая возможность проведения расследования в кратчайшие сроки.
Elcomsoft System Recovery поможет восстановить доступ к учётным записям к локальным учётным записям Windows и универсальной учётной записи Microsoft Account и создать образ диска для последующего анализа. Поддерживается как моментальный сброс, так и восстановление оригинального пароля. С помощью Elcomsoft System Recovery можно предоставить административные привилегии любому пользователю. Продукт поставляется вместе с лицензионной загрузочной средой Windows PE.