Elcomsoft System Recovery получил обновление до версии 8.34, и оно получилось довольно насыщенным. В этом релизе мы добавили множество новых возможностей, расширив объём собираемой информации, ускорив снятие образов дисков и добавив поддержку ключей шифрования BitLocker для компьютеров в Active Directory. Однако обо всём — по порядку.

Прежде чем перейти к нововведениям, напомним, что такое Elcomsoft System Recovery. Это портативный инструмент компьютерной криминалистики, предназначенный для анализа компьютеров непосредственно на месте — без необходимости изымать носители или запускать ОС. Продукт изначально разрабатывался как надёжное решение для быстрого сбора цифровых улик и проведения первичной экспертизы. Загрузочная среда на базе Windows обеспечивает мгновенный доступ к информации на накопителях, совместима со всеми основными файловыми системами Windows и поддерживает широкий спектр оборудования, ка современного, так и устаревшего. Благодаря этому ESR особенно полезен в ситуациях, когда время критично, а физический доступ к системе ограничен. В новой версии продукта — масса улучшений.

Более 800 новых файловых артефактов

Мы значительно расширили пул артефактов, которые Elcomsoft System Recovery может находить и анализировать. Что такое «артефакты»? Это следы активности пользователя, системные события, временные файлы, история запусков программ, разнообразные журналы и многое другое. Зачем это нужно? Чем больше данных вы можете извлечь с устройства, тем выше шанс получить ключевую информацию для восстановления системы, расследования инцидента или анализа действий пользователя. Всё это доступно сразу после загрузки с внешнего носителя — быстро, без необходимости установки ОС.

Вот лишь некоторые из добавленных артефактов:

• Журналы популярных антивирусов (AVG, ESET NOD32, Avira, MalwareBytes Anti-Malware, Symantec, Avast, TotalAV, F-Secure)
• Журналы и файлы мессенджеров (Skype, WhatsApp, Signal, Viber, MS Teams…)
• Журналы и файлы VPN клиентов (OpenVPN, Avira VPN, ProtonVPN)
• Журналы и файлы клиентов/сервисов удаленного доступа (AnyDesk, RAdmin)
• Журналы и файлы клиентов/сервисов FTP/SSH (Robo-FTP, Free Commander, Total Commander, OpenSSH)

Разумеется, мы улучшили поддержку и уже существующих форматов — таких, как полная информация всех браузеров, включая историю; историю запуска приложений; детальный список установленных программ, включая историю установки; и многих других важных данных.

Поскольку количество обнаруживаемых артефактов перевалило за ту планку, когда их можно комфортно просматривать в обычном списке, мы добавили возможность сортировки и фильтрации найденного. Выглядит это следующим образом:

Можно выбрать, какие типы артефактов должны отображаться в списке, и указать критерии сортировки.

Найденные артефакты можно сохранять напрямую на внешний накопитель. Поддерживаются режимы «как есть», в котором сохраняется оригинальная структура папок и имён файлов, и упрощённый режим, в котором каждому файлу присваивается имя, описывающее тип данных.

Далеко не все из этих артефактов существуют программы-просмотрщики; многие из них придётся анализировать вручную. Настолько подробный анализ нужен не всегда; в ряде случаев доступ ко всем извлекаемым данным не требуется.

Извлечение депонированных ключей BitLocker из Active Directory

Одно из самых полезных нововведений для корпоративных сред: теперь ESR может автоматически извлекать ключи восстановления BitLocker для всех пользователей, зарегистрированных в Active Directory. Это особенно актуально, когда нужно срочно расшифровать диск на ноутбуке сотрудника, забывшего пароль, или при анализе инцидента с зашифрованным диском.

Напомним, что при включении шифрования BitLocker система в обязательном порядке создаёт ключи восстановления доступа, позволяющие расшифровать диск в случае нештатной ситуации. Для домашних пользователей резервные ключи, как правило, сохраняются в облаке, в учётной записи пользователя Microsoft Account. Ключи корпоративных пользователей сохраняются на сервере Active Directory, которому назначена роль доменного контроллера. Соответственно, для извлечения ключей необходимо запустить ESR на компьютере, выполняющем роль доменного контроллера, после чего программа найдёт и проанализирует файл ntdis.dat и извлечёт все найденные ключи шифрования BitLocker.

Быстрое снятие образов дисков

В Elcomsoft System Recovery есть возможность создавать образы исследуемых накопителей с гарантией неизменности и аутентичности данных. До недавнего времени мы использовали классический инструментарий для доступа к дискам. В последнем обновлении мы существенно переработали и оптимизировали алгоритм снятия образов, существенно ускорив его работу: по нашим тестам, скорость снятия образов в формат E01 (со сжатием) возросла вдвое. Скорость снятия образа теперь вплотную приближается к физическим возможностям используемых накопителей.

Работа со скрытыми томами

В свежих сборках Windows 11 некоторые разделы могут помечаться системой как «скрытые». Доступ к таким разделам штатными средствами затруднён. В обновлении Elcomsoft System Recovery появилась возможность снять соответствующий атрибут. Внимание: модификация атрибута требует отключения режима «только для чтения», что нарушит криминалистическую чистоту исследования.

Просмотр журналов событий вне стандартных директорий

Просмотр системных журналов Windows — важная часть расследования. В ESR уже давно есть встроенный просмотрщик для файлов EVT/EVTX, но раньше он умел работать только с журналами из стандартных директорий. В последнем обновлении мы добавили возможность открыть любой файл EVT или EVTX независимо от того, где он находится.

Заключение

Версия 8.34 — это не просто набор мелких улучшений, а серьёзный шаг вперёд в удобстве, скорости и функциональности. Если вы используете Elcomsoft System Recovery — усиленно рекомендуем установить свежее обновление.