В современной следственной практике ценность данных, извлечённых из веб-браузеров, трудно переоценить. Об извлечении паролей мы недавно писали, но паролями и даже историей посещений дело не ограничивается. Так, история поисковых запросов помогает установить и доказать умысел, а данные, синхронизированные через облако с мобильных устройств подозреваемого, позволяют получить доступ к его действиям, осуществлённым на других, более защищённых устройствах.

Данные из браузеров зачастую содержат критически важные доказательства умысла, необходимые для квалификации деяния. В отличие от вещественных доказательств, указывающих на присутствие подозреваемого на месте происшествия, история поисковых запросов способна выявить преступный умысел, подготовку к совершению деяния. Показательным примером служит дело Мелани Макгуайр, где обвинение строилось на цифровых доказательствах. Криминалистический анализ её настольного компьютера выявил поисковые запросы «как совершить убийство» и «необнаруживаемые яды», сделанные за несколько дней до гибели мужа. Эти цифровые следы разрушили линию защиты и сыграли ключевую роль в вынесении приговора.

Аналогичную роль история браузера сыграла в деле Джастина Росса Харриса, обвинявшегося в умышленном оставлении малолетнего ребёнка в раскалённом автомобиле. Следователи обнаружили поисковые запросы о гибели детей от теплового удара в машинах и посещения соответствующих обсуждений на форумах. Несмотря на доводы защиты, однозначность обнаруженных данных позволила обвинению выстроить картину умышленного деяния, а не халатности. В обоих случаях история браузера не просто дополнила вещественные доказательства — она обеспечила контекст умысла, который физические улики сами по себе предоставить не могли.

Для российской следственной практики подобные доказательства приобретают особое значение в контексте статей 73 УПК РФ, определяющей обстоятельства, подлежащие доказыванию, включая виновность лица и форму его вины, и статьи 75 УК РФ, определяющей наличие прямого или косвенного умысла. В этом контексте история браузера и поисковых запросов может служить косвенными доказательствами, подтверждающими наличие прямого умысла.

Браузер в компьютере и на смартфоне

Большинство пользователей чаще пользуются смартфонами, чем настольными компьютерами, однако мобильные устройства становятся всё менее доступными для исследования в силу развития и усиления средств безопасности. В этом контексте обычный компьютер превращается в критически важный актив. Современные браузеры проектируются с расчётом на бесшовную синхронизацию: поисковый запрос на смартфоне или чтение статьи в мобильном Chrome синхронизируются с браузером на настольном ПК.

Пока смартфон заблокирован, настольный компьютер — часто защищённый лишь паролем учётной записи Windows — выступает синхронизированным зеркалом мобильной активности. Проводя оперативную криминалистическую работу с ноутбуком или стационарным компьютером фигуранта, специалист фактически обходит защиту мобильного устройства, извлекая синхронизированные вкладки, историю и даже пароли, изначально введённые на телефоне. Таким образом, настольный компьютер нужно рассматривать не только и не столько в качестве изолированного устройства, но в качестве точки входа в облачную экосистему пользователя.

Статистика использования браузеров

На сегодняшний день на мировой арене доминируют браузере на движке Chromium. Это — проект с открытым исходным кодом, поддерживаемый Google. По состоянию на 2025 год Google Chrome занимает около 65% мирового рынка настольных браузеров. Однако экосистема Chromium простирается далеко за пределы Chrome. Microsoft Edge, в котором производитель отказался от движка собственной разработки, удерживает второе место с долей около 13% на настольных системах, используя те же базовые структуры Chromium, но с уникальными дополнениями от Microsoft.

В российском сегменте относительной популярностью пользуется Яндекс.Браузер, построенный на движке Chromium. Его специфика — интеграция с сервисами Яндекса, собственный менеджер паролей и система защиты. Для криминалиста это означает необходимость учитывать дополнительные артефакты, специфичные для данного браузера.

Оставшаяся доля рынка фрагментирована. Apple Safari чаще встречается на мобильных устройствах с долей 25-30% благодаря экосистеме iPhone; он занимает меньшую нишу на настольных системах благодаря среде macOS, где также является браузером по умолчанию. Mozilla Firefox сейчас занимает порядка 6-7%. Этот браузер сохраняет лояльную аудиторию, в которую часто попадают люди, озабоченные приватностью — категория, представляющая особый интерес в расследованиях. Всё это разнообразие означает, что какого-то одного подхода к извлечению данных нет; специалист должен быть готов к работе с нюансами каждого продукта.

Самые важные артефакты

Из браузера можно извлечь несколько сотен артефактов от простых и понятных (вроде истории посещений, паролей или закладок) до совершенно неочевидных. Какие из них действительно ценные, а какие — простой шум? Чаще всего в расследовании играет роль ограниченное число артефактов. История браузера и places.sqlite — достаточно очевидно. Пароли (о них мы уже писали) можно использовать не только для анализа других учётных записей пользователя, но и для составления целевого словаря (wordlist), который можно и нужно использовать для атаки на зашифрованные файлы и учётные записи, найденные на устройствах того же пользователя. Источник Network Action Predictor в браузерах Chromium представляет особый интерес: он фиксирует не только посещённые ресурсы, но и намерения пользователя, записывая предиктивный текст, который пользователь вводил в адресную строку, но, возможно, так и не выполнил соответствующий запрос. Здесь, возможно, имеется косвенное доказательство умысла, следов которого в других местах можно не обнаружить.

Источники Login Data и signons.sqlite критически важны для того, чтобы установить, где у пользователя есть учётные записи. Извлечение зашифрованных токенов из Network\Cookies позволяет воспроизвести сессию фигуранта на другой машине, получив доступ к облачным аккаунтам (Gmail, Яндекс.Почта, Облако Mail.ru) без знания пароля или прохождения двухфакторной аутентификации. Доступ к этим токенам требует выполнения извлечения в рамках авторизованной сессии из-за механизма App-Bound Encryption; подробнее об этом — в статье Пароли в браузерах: привязка к приложению и анализ авторизованной сессии.

Elcomsoft Quick Triage

Огромное разнообразие браузеров, сложность и разнообразие их структур данных, частые обновления, иногда меняющие всю модель безопасности целиком, — сущий кошмар для специалистов. Ручной поиск файлов и баз данных среди десятков профилей или попытки вспомнить конкретный путь для экзотического браузера вроде «CocCoc» или «Спутник» — напрасное расходование времени и усилий.

Здесь незаменимы специализированные инструменты криминалистического триажа, такие как Elcomsoft Quick Triage (EQT). Разработанный с учётом реалий работы на месте, EQT автоматизирует идентификацию и извлечение огромного количества артефактов и самых разнообразных источников. Специалисту не требуется знать заранее, использовал ли фигурант Chrome, Яндекс.Браузер, Brave или устаревшую версию Edge; инструмент автоматически просканирует, идентифицирует и извлечёт релевантные базы данных и конфигурационные файлы по всем поддерживаемым браузерам.

Заключение

Криминалистическая ценность данных веб-браузера выходит далеко за рамки истории и закладок. Современные браузеры на движках Chromium и Gecko функционируют как цельные экосистемы, сохраняя детализированную активность пользователя и синхронизируя через облако артефакты, которые могут возникать на мобильных устройствах. Извлечение этих артефактов предоставляет специалистам механизм обхода защиты мобильных устройств, обнаружения цифровых следов и выявления доказательств умысла.

По мере развития механизмов защиты окно возможностей для извлечения полезных данных всё крепче привязывается к авторизованной пользовательской сессии. Соответственно, методика расследования должна эволюционировать от традиционного снятия образов дисков к приоритетной работе с загруженной системой. Для правоохранительных органов это означает необходимость пересмотра традиционных подходов к изъятию компьютерной техники: в ряде случаев выключение устройства до завершения первичного анализа может привести к безвозвратной утрате критически важных доказательств.

Приложение: техническая часть

Ниже приведён исчерпывающий перечень веб-браузеров и артефактов, извлекаемых Elcomsoft Quick Triage.

Поддерживаемые веб-браузеры

Elcomsoft Quick Triage поддерживает все основные браузеры и ряд специализированных решений, охватывая не только «большую тройку», но и многочисленные версии браузеров, ориентированных на приватность, а также специфических нишевых и региональных продуктов.

Браузеры на основе Chromium

Инструмент поддерживает следующие производные Chromium:

• Основные: Google Chrome, Microsoft Edge, Opera (Standard, GX, Crypto, Neon), Brave, Vivaldi.
• Приватность/безопасность: SRWare Iron, Epic Privacy, GhostBrowser, Iridium, Avast Secure Browser, AVG Secure Browser, Comodo Dragon.
• Региональные/нишевые: Яндекс.Браузер, UCBrowser, Амиго, Хром, Комета, Nichrome, Torch, Blisk, Orbitum, Slimjet, QIP Surf, Kinza, BlackHawk, Superbird, Sidekick, CentBrowser, Xvast, Chedot, SalamWeb, Elements, CocCoc, QQBrowser, 360Browser (и 360), Citrio, Uran, Coowon, 7Star, CoolNovo, Спутник, Atom, CCleaner Browser, CryptoTab, Maxthon, Netbox, Swing, UR, ViaSat.

Браузеры на основе Mozilla

EQT работает со следующими браузерами на движке Gecko:

• Основные: Mozilla Firefox, Thunderbird (гибрид почтового клиента и браузера).
• Приватность/устаревшие: Waterfox, Pale Moon, Cyberfox, IceCat, SeaMonkey, K-Meleon, Basilisk.
• Нишевые: Slim, BlackHawk (вариант Mozilla), PostboxApp, Comodo IceDragon, BitTube, Cliqz, Falkon.

Microsoft Edge (Legacy) и Internet Explorer

Современные версии Microsoft Edge собраны на движке Chromium, однако EQT поддерживает и артефакты, относящиеся к устаревшему движку EdgeHTML и инфраструктуре Internet Explorer, которые иногда встречаются при анализе старых образов или корпоративных сред.

Поддерживается устаревшая версия Apple Safari для Windows, которая иногда встречается на старых машинах.

Криминалистические артефакты по категориям

Elcomsoft Quick Triage может извлечь ряд данных, позволяющих реконструировать поведение пользователя.

• Артефакты Chromium
  Для Chrome и его производных (Edge, Brave, Opera и др.): стандартные базы данных SQLite и конфигурационные файлы JSON, расположенные в каталогах User Data.
  • Активность и навигация:
    • History (URL-адреса, посещения, временные метки)
    • Visited Links
    • Media History (воспроизведение аудио/видео)
    • Network Action Predictor (данные предиктивной загрузки)
  • Идентификация и безопасность:
    • Login Data (сохранённые имена пользователей и зашифрованные пароли)
    • EncryptedStorage
    • Network\Cookies (сессионные куки)
    • Secure Preferences
  • Конфигурация и сессия:
    • Preferences (пользовательские настройки)
    • Local State
    • Web Data (автозаполнение, история форм)
    • Sessions и Session Storage
  • Хранилища:
    • Local Storage\leveldb\*
    • IndexedDB\**
    • WebStorage (CacheStorage)
  • Специфические расширения (Яндекс):
    • Ya Credit Cards, Ya Passman Data, Ya Login Data
• Артефакты Mozilla
  Для Firefox и родственных браузеров: фокус на корневом каталоге профиля и конкретных файлах баз данных, отвечающих за безопасность и историю.
  • Учётные данные и шифрование:
    • key3.db / key4.db (ключи шифрования хранилища паролей)
    • signons.sqlite / logins.json (сохранённые учётные данные)
  • Пользовательские данные:
    • places.sqlite (закладки и история)
    • formhistory.sqlite
    • cookies.sqlite
    • downloads.sqlite
  • Конфигурация:
    • prefs.js (пользовательские настройки)
    • *.json (файлы восстановления сессии, расширения)
  • Хранилища:
    • storage\default\*.sqlite (объекты локального хранилища)
• Microsoft Edge (Legacy)
  Хотя артефакты современного Edge соответствуют списку Chromium, поддерживаемые источники включают базу данных устаревшего движка EdgeHTML и Internet Explorer.
  • База данных веб-кеша: Edge WebcacheV01.dat (расположен в \microsoft\windows\webcache)
  • Данные Internet Explorer:
    • index.dat (история, куки, UserData — специфично для устаревших систем/XP)
    • Папки кеша и куки IE 9/10/11
• Артефакты Safari
  Для Safari под Windows поддерживаются как двоичные файлы баз данных, так и конфигурационные файлы Property List (plist).
  • Навигация и данные:
    • History.plist / History
    • Downloads.plist / Downloads
    • Cookies.plist / Cookies
    • Bookmarks.plist / Bookmarks
  • Сессия и кеш:
    • LastSession.plist / LastSession
    • cache.db
  • Безопасность:
    • keychain.plist / keychain