Использование загрузочного накопителя для анализа компьютера – разумный компромисс между риском, связанным с анализом авторизованной пользовательской сессии, и затратами времени и усилий, необходимыми для создания и анализа образа дисков. В каких случаях анализ с использованием загрузочного накопителя окажется полезным и какой результат можно получить с его помощью? Попробуем разобраться.

Анализ с использованием загрузочного накопителя

Этот метод исследования используется экспертами достаточно часто, но устоявшегося названия так и не получил. В англоязычной среде используется термин «анализ методом холодной загрузки» (cold boot analysis), который противопоставляется анализу загруженной системы с авторизованной пользовательской сессией.

Для анализа компьютера производится его загрузка с внешнего накопителя, на котором содержится как загрузочная среда, так и инструменты, необходимые для анализа. Подавляющее большинство таких накопителей использует загрузочную среду на основе Linux и соответствующие инструменты. Безусловное преимущество таких сред – бесплатное лицензирование. Недостатков же гораздо больше: и не всегда очевидные проблемы с аппаратной совместимостью, и отсутствие полноценной поддержки проприетарных средств шифрования файловой системы (например, BitLocker), и не всегда актуальная поддержка различных типов учётных записей Windows, и многие другие проблемы и шероховатости, возникающие из-за разницы между операционными системами.

В Elcomsoft System Recovery предлагается решение, целиком основанное на актуальной версии Windows PE (Portable Environment), обеспечивающей полноценную поддержку любых систем и конфигураций, в том числе поддержку зашифрованных томов BitLocker.

Отличия от анализа авторизованной пользовательской сессии

В рамках анализа авторизованной пользовательской сессии, с одной стороны, можно получить доступ к важным цифровым уликам, которые могут быть недоступными посредством других способов анализа. В число таких улик входят, например, данные, защищённые системой DPAPI (в частности, сюда входят сохранённые в браузерах пароли); зашифрованные файлы и папки NTFS; любые смонтированные криптоконтейнеры и зашифрованные тома, пароли от которых неизвестны; наконец, виртуальные машины, в том числе волатильные.

С другой же стороны, анализ «живого» компьютера всегда рискован. На компьютере могут быть запущены любые программы; всегда есть риск повредить или безвозвратно удалить какие-то данные. Наконец, анализ «по живому» не даёт никакой гарантии целостности и неизменности данных; полученные таким образом улики может быть невозможно использовать в суде в качестве вещественных доказательств.

Другая сторона медали – работа с образами дисков в лабораторных условиях. Риск отсутствует, но затраты времени и усилий на снятие и анализ образа не всегда оправдывают результат.

Загрузка исследуемой системы с внешнего накопителя – разумный компромисс между двумя подходами. Основной контролируемый риск – случайная загрузка пользовательской операционной системы. Основные преимущества – практически мгновенный доступ к пользовательским данным и оперативный анализ содержимого диска без его извлечения.

Возможности анализа с использованием Elcomsoft System Recovery

Elcomsoft System Recovery (ESR) – наша реализация инструментария для анализа компьютеров, загружаемых с внешнего накопителя. В состав продукта входит как инструмент для создания загрузочного накопителя, так и сама загрузочная среда Windows PE и все необходимые для анализа криминалистические инструменты.

Для подготовки загрузочного накопителя достаточно запустить программу-установщик. После того, как накопитель будет создан, с него необходимо загрузить исследуемый компьютер. После принятия лицензионного соглашения и выбора режима работы (с блокировкой записи или без неё), будут доступны функции работы с дисками и с учётными записями.

Обратите внимание: в режиме «только для чтения» любые изменения как на дисках, так и в учётных записях невозможны.

Защита BitLocker

Зашифрованный системный раздел – одна из немногих вещей, которые могут эффективно противостоять как анализу с использованием загрузочного накопителя, так и анализу образа диска. Если системный раздел зашифрован, защиту необходимо будет снять до того, как приступать к анализу. Для снятия защиты необходимо подобрать пароль шифрования (если он используется).

Для подбора пароля используйте Elcomsoft System Recovery для извлечения метаданных шифрования системного раздела. Откройте метаданные в Elcomsoft Distributed Password Recovery и проведите атаку для восстановления оригинального пароля. Подробности – в статье Как получить доступ к BitLocker, загрузившись с USB накопителя.

Если у вас есть пароль или ключ восстановления BitLocker, ESR может разблокировать и подключить том с помощью встроенной в Windows PE поддержки BitLocker. Как только это будет сделано, вы можете продолжить анализ диска, что значительно сэкономит время по сравнению с традиционным процессом создания и расшифровки образа диска.

Если системные раздел зашифрован BitLocker, а в операционной системе используется модуль TPM, то использование ключа восстановления доступа — самый простой способ смонтировать зашифрованный диск. Если доступа к ключу нет, то возможные альтернативы рассматриваются в статье Модули TPM: что нужно знать эксперту-криминалисту.

Быстрая предварительная атака

После загрузки в Elcomsoft System Recovery инструмент проверит найденные учётные записи на предмет слабых паролей. Если пароль обнаружен, он будет показан на главном окне программы.

Восстановление паролей к учётным записям

Что делать, если пароли неизвестны? В этом случае нужно запустить атаку, чтобы попытаться восстановить исходные пароли. Для этого требуется извлечь метаданные (хэши) шифрования и использовать эти данные в Elcomsoft Distributed Password Recovery для запуска атаки.

Зашифрованные диски

Если компьютер не был выключен, но находился в состоянии гибридного сна или гибернации, вы можете попытаться оперативно извлечь ключи шифрования дисков BitLocker, TrueCrypt, VeraCrypt или PGP из файлов гибернации или подкачки. Сохраните эти файлы для дальнейшего анализа с помощью Elcomsoft Forensic Disk Decryptor. (Возможность работает, если системный раздел не был зашифрован).

Поиск зашифрованных дисков

ESR обладает функцией автоматического поиска зашифрованных дисков в таких форматах, как BitLocker, TrueCrypt, VeraCrypt, PGP, LUKS и др.

Поиск зашифрованных виртуальных машин

Так же, как и шифрование дисков, шифрование виртуальных машин часто используется в криминальной среде. Elcomsoft System Recovery позволяет автоматизировать поиск зашифрованных виртуальных машин. При их обнаружении продукт сохраняет метаданные шифрования, необходимые для восстановления пароля посредством Elcomsoft Distributed Password Recovery.

Создание образов дисков

Анализ системы с использованием загрузочного накопителя позволяет многое, но для подробного лабораторного исследования чаще всего используются образы дисков. Обычно для создания образа жёсткие диски извлекают из корпуса компьютера, однако в Elcomsoft System Recovery предлагается альтернативный подход, позволяющий создавать образы дисков, не извлекая накопители.

Обратите внимание: для создания образа вам потребуется подключить внешний накопитель достаточного объёма.

Лазейки и обходные пути

Анализ системы методом загрузки с внешнего накопителя – достаточно «чистый» с криминалистической точки зрения процесс. Однако в некоторых ситуациях в лабораторной чистоте исследования необходимости нет, а доступ к системе нужен прямо на месте.

Для таких случаев предназначен дополнительный функционал ESR, позволяющий разблокировать доступ к компьютеру.

Разблокировка учётных записей

При помощи ESR вы можете сбросить или изменить пароль от любой учётной записи в исследуемой системе. Однако делать это стоит с оглядкой: сбросив пароль от учётной записи, вы автоматически лишаетесь доступа к зашифрованным в рамках EFS файлам, паролям пользователя из браузеров Edge и Chrome, паролей к сетевым папкам и некоторых других данных, защищённых Windows DPAPI.

Поддерживаются как обычные учётные записи, так и «облачные», привязанные к Microsoft Account, для входа в которые используется не пароль, а PIN-код. Такие учётные записи также можно разблокировать; в процессе они будут сконвертированы в стандартный формат.

Назначение административных привилегий

В некоторых случаях вам может понадобиться назначить обычной учётной записи права администратора для низкоуровневого доступа к компьютеру. Вы можете назначить привилегии администратора любой учётной записи, в том числе такой, пароль к которой был сброшен или изменён в ESR.

Защита Syskey

Скорее всего, вы даже не слышали о функции Syskey, кочующей из одной версии Windows в другую. Тем не менее, компьютер может быть заблокирован посредством этой функции как случайно, так и умышленно – например, вирусом-вымогателем. ESR позволяет удалить пароль Syskey и разблокировать доступ к системе буквально за несколько кликов; подробности в статье How to Reset or Recover Windows SYSKEY Passwords.

Заключение

Подведём итог. Анализ с использованием загрузочного накопителя позволяет избежать рисков, связанных с изменением данных на исследуемом компьютере, которые могут возникнуть при анализе авторизованной пользовательской сессии. Использование специального загрузочного накопителя экономит время и ресурсы, поскольку не требует создания и анализа образа дисков, что может быть затруднительно в случае больших объёмов данных или сложных конфигураций дисков. Доступ к зашифрованным данным возможен, если известен пароль или ключ шифрования. Если не ставится цель сохранения криминалистической чистоты исследования, то с загрузочного накопителя можно сбросить или изменить пароль к различным типам учётных записей Windows,  назначить выбранной учётной записи административные привилегии и получить таким образом доступ ко всем данным.