При работе на выезде определяющим фактором является время, затраченное на поиск и первоначальный анализ улик. Elcomsoft System Recovery предлагает альтернативу традиционному подходу, ускоряет и упрощает процесс первоначального сбора улик, предоставляя эксперту удобный инструментарий, который можно запустить с загрузочного накопителя.

Для чего криминалисту загрузочный инструментарий

Первоначальный анализ и сбор улик при работе на выезде — важная и нетривиальная часть расследования. В рамках традиционного подхода практикуется отключение компьютеров от питания, извлечение и снятие образов накопителей с их последующим анализом. В то же время традиционный подход существенно замедляет расследование: компьютер требуется перевезти в лабораторию, вскрыть, извлечь и подключить диски, после чего ждать — иногда достаточно долго, — пока в процессе создания образов накопителей будут скопированы все данные. Мы предлагаем альтернативный способ исследования компьютеров на выезде, который поможет сэкономить время и мгновенно получить доступ к данным, для доступа к которым в рамках традиционного протокола потребуются многие часы работы.

Elcomsoft System Recovery – программный продукт, который позволяет загрузить исследуемый компьютер с внешнего USB-накопителя. В состав продукта входят как инструменты для быстрого анализа компьютеров, так и средства для снятия образов дисков и извлечения метаданных для восстановления паролей к дискам, если в системе использовалось шифрование.

В состав Elcomsoft System Recovery входит инструментарий для поиска цифровых улик в процессе анализа компьютеров в полевых условиях. Загрузив исследуемый компьютер с внешнего накопителя, эксперт сможет использовать новые функции инструментария для просмотра списка установленных в системе приложений и анализа действий пользователей на компьютере с привязкой к временной шкале. Кроме того, доступен инструмент, позволяющий узнать, к каким файлам и папкам пользователь недавно обращался. Важно отметить, что для проведения анализа эксперту не потребуются пароли пользователей.

В инструментарий вошли следующие функции:

• Временная шкала. Позволяет анализировать действия пользователей компьютера на основе данных Windows Timeline.
• Список последних открытых файлов. Позволяет узнать, к каким именно файлам обращался пользователь компьютера.
• Список установленных приложений. Показывает, какие приложения установлены в системе (например, программы мгновенного обмена сообщениями, почтовые клиенты, браузеры и т.п.)

Рассмотрим эти функции подробнее.

Использование загрузочного инструментария для первоначального сбора цифровых улик

Доступ к инструментарию Forensic Tools можно получить непосредственно из главного окна Elcomsoft System Recovery 8.20 или более новых версий, которое появляется после загрузки компьютера с USB-накопителя и принятия пользовательского соглашения. Создать загрузочный накопитель Elcomsoft System Recovery можно, воспользовавшись инструкциями в статье Elcomsoft System Recovery: загрузочный накопитель для исследования компьютеров.

После загрузки продукта вы увидите главное окно программы. Пункт Forensic Tools (напомним, он появился в версии Elcomsoft System Recovery 8.20) доступен в нижней части экрана.

На сегодняшний день доступны три утилиты: Installed Apps (список установленных в системе приложений), Timeline (временная шкала, на которой отображаются запущенные и закрытые пользователем приложения) и Recent files and folders (список файлов и папок, которые открывал пользователь).

Список приложений: Installed apps

Список установленных в системе приложений можно просмотреть, воспользовавшись утилитой Installed apps.

Вы можете просмотреть как список обычных приложений, так и список установленных пакетов, который доступен в Панели управления Windows. Для переключения между режимами используйте опцию «Display installation packages only (regular applications otherwise)». Список обычных приложений выглядит следующим образом:

Список установленных пакетов может выглядеть так:

Список приложений можно сохранить в текстовый файл (рекомендуем использовать в качестве устройства для сохранения внешний USB-накопитель).

Временная шкала — Timeline

Временная шкала Windows (Timeline) — это функция Windows 10, расширяющая возможности Диспетчера задач. Timeline позволяет просматривать историю взаимодействия с Windows, включая запущенные приложения, открытые документы и веб-страницы, и даже историю поисковых запросов. В определённый момент в Windows появилась возможность синхронизации Временной шкалы с облаком Microsoft, что позволило пользователям продолжить работу на другом устройстве с того самого места, на котором она была прервана на предыдущем устройстве. В апреле 2021 разработчики Microsoft отключили облачную синхронизацию временной шкалы, однако Windows продолжает собирать эти данные, которые теперь хранятся на локальном компьютере.

С точки зрения криминалистического анализа Timeline представляет серьёзный интерес в силу своей малоизвестности большинству пользователей. Так же, как и «jumplists» (список запущенных приложений и документов, который хранится локально), Timeline практически никогда не удаляют и не отключают в настройках системы.

Данные временной шкалы собираются по отдельности для каждого пользователя системы. При анализе временной шкалы потребуется указать путь к профилю пользователя; пароль пользователя для доступа к данным не требуется.

Если в системе зарегистрировано несколько пользователей, повторите процесс для каждого из них.

История доступа к файлам и папкам — Recent files and folders

Инструмент «Recent files and folders» предоставляет доступ к истории доступа пользователя к файлам и папкам на компьютере. Для доступа к данным потребуется указать путь к профилю пользователя; пароль пользователя не требуется.

По умолчанию в список попадают только файлы, к которым обращался пользователь. Вы можете включить отображение папок, выбрав опцию “Show recent folders”.

Результат сортируется по времени доступа в порядке убывания. Изменить порядок просмотра можно кликом на соответствующий заголовок. Так же, как и другие типы данных, историю доступа к файлам можно экспортировать в текстовый файл.