Линейка криминалистических продуктов нашей компании только что получила новое дополнение. Встречайте Elcomsoft Quick Triage — инструмент для быстрого поиска, отбора и анализа цифровых улик. EQT создан для использования на ранних этапах расследования, когда время ограничено и решения нужно принимать быстро. Новый инструмент не заменяет «тяжёлые» криминалистические платформы; его задача — быстрое выявление, сбор и первичная оценка значимых улик на начальных этапах.

Что такое «криминалистический триаж»

В контексте цифровой криминалистики триаж — устоявшийся термин, обозначающий процесс первичной оценки и классификации данных в рамках расследования. В процессе триажа осуществляется быстрый анализ системы или устройства с целью определить, содержит ли оно улики, имеющие отношение к расследованию. На начальном этапе задача не в том, чтобы провести детальный анализ, а в том, чтобы принять обоснованное решение о дальнейшем направлении расследования. Триаж особенно важен, когда время ограничено: выездные мероприятия, оперативное реагирование на инциденты, а также случаи, когда нужно определить приоритеты для полноценной экспертизы. На данном этапе скорость и релевантность важнее полноты охвата.

Преимущества такого подхода очевидны. Во-первых, он позволяет быстрее принимать решения — за минуты или часы эксперт может определить, стоит ли продолжать работу с конкретной системой. Во-вторых, он снижает ненужную нагрузку, исключая нерелевантные устройства и данные из рабочего процесса до того, как они попадут в лабораторию. Триаж отвечает на важные вопросы: «что следует исследовать в первую очередь? На что нужно обратить внимание?»

Существующие решения

Разумеется, на рынке представлено множество решений, в которых — иногда «в том числе», в составе большого пакета, — доступны функции триажа. Мы изучили множество подобных продуктов, как коммерческих, так и с открытым исходным кодом, и нашли несколько достойных кандидатов. Однако ни одного идеального решения мы так и не нашли: некоторые инструменты слишком сложны, другие — чрезмерно дороги, у третьих триаж — побочная функция, реализованная по остаточному принципу. Какие-то инструменты собирают слишком мало данных, а какие-то — наоборот, извлекают всё, что можно (и не нужно), без попытки выделить действительно важное. Эти ограничения побудили нас разработать собственное решение. При создании Elcomsoft Quick Triage мы поставили цель — сделать триаж быстрее, проще и доступнее для экспертам в реальных условиях: быстрая работа, отбор только релевантных данных и минимум накладных расходов.

Отдельно отметим, что наш продукт не был «русифицирован»: интерфейс изначально проектировался на русском языке.

Анализ загруженной системы и холодный триаж

Сценарии триажа делятся на две большие категории: работающие системы и «холодный» триаж. Холодный триаж предполагает работу с выключенными дисками, криминалистическими образами или системами, к которым осуществляется доступ через загрузочную среду — например, Elcomsoft System Recovery (ESR). В этом случае акцент делается на сохранённых данных, с возможностью работать методично, без оглядки на особенности загруженной системы. Анализ авторизованной пользовательской сессии, напротив, имеет дело с работающими компьютерами под управлением Windows, где операционная система запущена и пользователь осуществил вход в систему. Такой подход даёт доступ к волатильным данным, которые могут не сохраниться после выключения компьютера, но накладывает на эксперта ряд ограничений. Для каждого сценария нужен свой, особый подход. Elcomsoft Quick Triage создан как раз для работы с последним случаем — сбором улик с работающей системы для их последующего исследования.

Elcomsoft Quick Triage

Elcomsoft Quick Triage предназначен для быстрого сбора цифровых доказательств и первичного анализа систем под управлением Windows. Инструмент собирает данные из множества источников и извлекает значимые с криминалистической точки зрения артефакты. Собираемые данные включают пользовательские документы, данные браузеров (историю посещений, поисковые запросы), электронную почту из популярных почтовых клиентов, системный реестр Windows, журналы событий и многое другое. Сбор охватывает как улики уровня пользователя — недавние файлы, сохранённые учётные данные, историю коммуникаций, так и системные артефакты — установленные приложения, историю подключения USB-устройств, запланированные задачи, запуски программ. Часть данных обрабатывается на лету с автоматическим индексированием, что позволяет экспертам искать и фильтровать результаты в процессе сбора.

Продукт поддерживает как работу в рамках авторизованной пользовательской сессии, так и отдельные накопители, смонтированные в системе. Мы работаем над поддержкой образов дисков — например, популярного формата E01. В отличие от крупных криминалистических пакетов, наш инструмент позволяет сфокусироваться на самом важном на начальном этапе расследования — максимально быстром сборе релевантных данных для последующего анализа в лаборатории и начального анализа некоторых критически важных данных. Elcomsoft Quick Triage поможет отобрать только релевантные данные, что положительно влияет на скорость расследования.

Важно отметить, что на данный момент Elcomsoft Quick Triage поддерживает только работающие системы и смонтированные образы дисков. Мы работаем над добавлением поддержки распространённых форматов криминалистических образов, таких как E01. Пока же для работы с образами дисков используйте инструменты вроде OSFMount или FTK Imager (бесплатная версия) для монтирования образов как буквы диска.

Контейнер в открытом формате

Как мы уже упоминали, перед началом разработки EQT мы протестировали множество существующих решений. Одним из ограничений, с которым мы столкнулись, стал проприетарный, недокументированный формат, в котором большинство подобных решений сохраняет данные. Проприетарный формат — это привязка к конкретному продукту и невозможность использовать другой, возможно — более мощный или более подходящий к конкретному случаю продукт для анализа данных.

Мы выбрали другой путь. Все извлечённые улики сохраняются в единый контейнер на основе открытого формата VHDX, который сохраняет исходную структуру файлов и метаданные. В лаборатории контейнеры VHDX можно смонтировать как в «сыром» виде, так и с восстановленными путями к каждому источнику данных. Открытый, подробно документированный формат контейнера позволяет использовать для доступа к данным как сам EQT, так и сторонние инструменты.

Формат контейнера поддерживает немедленный поиск и просмотр с сохранением целостности данных для последующего анализа. EQT включает встроенные средства просмотра для распространённых типов файлов, глобальный поиск по нескольким категориям артефактов и фильтрацию по временным диапазонам. Полученный пакет улик можно передать для углублённого исследования с помощью других криминалистических инструментов или использовать непосредственно для быстрой оценки и составления отчётов.

Какие данные собираются?

EQT поддерживает несколько сотен типов данных, куда входят как системные, так и пользовательские артефакты, извлекаемые из файловой системы и реестра Windows. Ниже далеко не полный список поддерживаемых артефактов, которые извлекаются в процессе работы.

Системные артефакты (файловая система)

• Данные сторонних приложений (поддерживается несколько сотен приложений)
• Данные Active Directory
• Amcache, Shimcache
• Program Compatibility Assistant
• SRUM (System Resource Utilization Monitor)
• Корзина (Recycle Bin)
• Планировщик заданий (Scheduled Tasks)
• События Windows, Windows Prefetch, отчёты об ошибках Windows (Windows Error Reporting)
• Конфигурации Wi-Fi сетей и сохранённые пароли
• База данных поиска Windows
• DPAPI, системные учётные данные, Vault, криптографические ключи и сертификаты
• Системный реестр
• Уведомления Windows
• Различные журналы и логи

Системные артефакты (реестр)

• Список выполненных программ
• Список Bluetooth-устройств, дисплеев, ACPI-устройств, а также устройств PCI/SCSI/USB, когда-либо подключавшихся к системе
• Информация о батарее, BIOS, CPU, другом аппаратном обеспечении, накопителях и оперативной памяти
• Установленные приложения Microsoft Office и надстройки
• Полная конфигурация сети
• Список приложений, установленных из Windows Store
• Статус использования: службы геолокации, микрофон, веб-камера
• Список установленных драйверов, обновлений, пакетов драйверов, запущенных служб и библиотек DLL
• Список системных программ по умолчанию для открытия файлов
• Список задач в «Планировщике заданий»
• Пути к разрешённым файлам при контролируемом доступе к папкам
• Данные Windows Defender и Windows Firewall

Пользовательские артефакты (файловая система)

• Данные и журналы сторонних приложений
• Данные приложений Microsoft Office
• ActivitiesCache
• Уведомления
• Дампы сбоев (crash dumps)
• Файлы в папках Desktop / Documents / Downloads / Videos
• Кэш RDP
• Корзина (Recycle Bin)
• Недавние файлы
• Базы данных Windows Mail / календаря / телефона / контактов
• Пользовательские учётные данные, Vault, криптографические ключи и сертификаты
• Пользовательский реестр
• Данные браузеров (Chrome и все Chromium-based, Microsoft Edge, Mozilla и др.)

Пользовательские артефакты (реестр)

• Список устройств, когда-либо подключавшихся к компьютеру (смартфоны, планшеты и т. д.)
• Информация о регистрации пользователя в Microsoft Office
• Список файлов, недавно открывавшихся с использованием приложений Microsoft Office
• Список программ, настроенных на автозапуск
• Статус использования: службы геолокации, микрофон и веб-камера
• Список пользовательских программ по умолчанию для открытия файлов
• Панель задач: список закреплённых приложений, события правого клика, переключения между приложениями
• Список файлов, открытых или сохранённых через диалоговое окно, недавние файлы, недавно выполненные команды
• Список поисковых запросов в Проводнике
• Имя пользователя, вошедшего в систему последним
• Список имён архивов, которые были недавно созданы

Холодный триаж: Elcomsoft System Recovery

В ситуациях «холодного» триажа, когда нет доступа к загруженной системе с авторизованной пользовательской сессией, можно воспользоваться другим решением нашей компании — Elcomsoft System Recovery. Elcomsoft System Recovery — это загрузочная криминалистическая среда на основе Windows PE, которая обеспечивает контролируемый доступ к компьютеру без загрузки установленной на нём операционной системы. ESR может использоваться в сценариях холодного триажа, когда экспертам нужно получить доступ к системе, которую не следует загружать в установленную ОС. Загрузочная среда гарантирует, что исходная ОС остаётся нетронутой, при этом сохраняется доступ к локальным дискам и пользовательским данным. ESR и EQT дополняют друг друга в процессах триажа: ESR обеспечивает доступ к системе из заведомо чистой загрузочной среды, создание образов доступных дисков и разделов, а EQT выполняет непосредственный сбор улик, индексирование и анализ в уже загруженной системе или из смонтированных дисков. Такая комбинация позволяет экспертам сохранять криминалистическую чистоту процесса, достигая при этом скорости, необходимой для эффективного триажа.

Elcomsoft Disk Imager — утилита для снятия образов дисков

Говоря о триаже, нельзя не упомянуть и новый инструмент нашей разработки — Elcomsoft Disk Imager, компактный и быстрый инструмент для снятия образов дисков, работающий из командной строки и разработанный для нужд цифровой криминалистики. Утилита поддерживает любые носители и совместима со всеми популярными блокираторами записи, включая модели нашей собственной разработки. Поддержка выходных форматов RAW и E01 и автоматический подсчёт контрольных сумм MD5 и SHA1 во время работы превращают Elcomsoft Disk Imager из «ещё одной бесплатной утилиты» в полноценный инструмент криминалистической лаборатории.

Продукт позволяет создавать образы внешних накопителей (их предварительно необходимо извлечь из компьютера) через блокиратор записи. Если такой образ впоследствии смонтировать посредством OSFMount или FTK Imager (в бесплатной редакции) либо Arsenal Image Mounter (в большинстве случаев достаточно бесплатной версии), то получившийся смонтированный диск можно проанализировать при помощи Elcomsoft Quick Triage.

Заключение

Elcomsoft Quick Triage будет активно развиваться; уже запланирован целый ряд улучшений. В будущих обновлениях мы планируем расширить охват извлекаемых данных, увеличить поддержку приложений и источников данных, добавить расширенные возможности анализа и отчёты. Мы работаем над прямой поддержкой распространённых форматов образов дисков (например, E01), что позволит исследовать такие образы напрямую, без промежуточного монтирования.

Наше подход остаётся неизменным: EQT — не замена комплексным криминалистическим платформам, а инструмент для начального этапа расследования. Наш продукт призван помочь экспертам сосредоточить усилия там, где это они нужны больше всего. По мере развития и совершенствования EQT станет важной частью экосистемы Elcomsoft, работая совместно с нашими и сторонними продуктами.