Начальный этап цифрового расследования всегда ставит эксперта перед выбором: обесточить компьютер и снять образ диска, выбрав безопасный, но долгий путь? Или же запустить утилиту для экспресс-анализа прямо на месте, на работающей системе, чтобы успеть перехватить пароли и ключи шифрования? Традиционные методики полагаются на офлайновый анализ копии данных, сохраняя неизменность оригинала, но повсеместное внедрение шифрования делает этот метод всё менее эффективным. Рассмотрим две основных стратегии экспресс-анализа: анализ авторизованной сессии и загрузку в чистую криминалистическую среду.

Плюсы и минусы двух подходов разберём на примере инструментов Elcomsoft Quick Triage и Elcomsoft System Recovery. С одной стороны, использование Elcomsoft Quick Triage на работающем ПК позволяет использовать преимущества активной сессии пользователя: это даёт шанс обойти шифрование, получить доступ к данным немедленно, без длительных (и не всегда успешных) попыток расшифровки, а также извлечь пароли, которые будут недоступны после выключения. С другой стороны, загрузка в чистую среду с помощью Elcomsoft System Recovery обеспечивает неизменность данных и независимость от фоновых процессов установленной ОС. Обратная сторона — утрата доступа к оригинальному содержимому оперативной памяти и возможная потеря доступа к данным, если диск зашифрован BitLocker, а в вашем распоряжении нет ключа восстановления доступа.

Экспресс-анализ методом триажа (Elcomsoft Quick Triage)

Если в вашем распоряжении включённый компьютер с авторизованной пользовательской сессией, считайте, что вам повезло: активная сессия — важнейший актив. Авторизованный пользователь фактически уже выполнил самую сложную часть работы специалиста: зашифрованные тома (например, контейнеры BitLocker) — смонтированы, ключи шифрования — загружены в оперативную память, а экран устройства — разблокирован. Запуская процесс триажа в этой среде, специалист получает доступ к данным, извлечь которые из  образа диска зачастую невозможно. Речь идёт не только об артефактах из оперативной памяти, таких как список запущенных процессов, активные сетевые соединения или ключи шифрования от того же зашифрованного системного раздела; не менее важен и доступ к данным, защищённым учётными данными пользователя. Работая в активной сессии, инструмент может обойти механизмы защиты DPAPI и App-Bound encryption, которыми защищены хранилища паролей в современных веб-браузерах, извлекая сохранённые учётные данные, сессионные cookie и токены аутентификации. Сделать это в режиме офлайн, не зная пароля пользователя, было бы практически невозможно.

Помимо обхода шифрования, ключевое преимущество триажа — скорость и фокус на самом важном. Задача триажа — не собрать всё подряд, а отфильтровать информационный шум и отобрать то, что критически важно для принятия решений «здесь и сейчас». Elcomsoft Quick Triage спроектирован так, чтобы за считанные минуты собрать историю браузера, системные журналы и базы паролей. Это позволяет эксперту быстро оценить ситуацию на месте или присвоить устройству повышенный приоритет для последующего лабораторного исследования.

Однако у метода есть и свои недостатки. Запуск любого исполняемого файла на исследуемой машине неизбежно меняет состояние системы и оставляет следы в памяти. Кроме того, вы работаете на «вражеской территории»: фоновые процессы, резидентные антивирусы и системы защиты могут заблокировать работу криминалистического приложения, отправить его компоненты в карантин или даже увести подозрительные файлы прямо «из-под носа» сканирующего процесса ещё до того, как вы успеете сохранить доказательства.

Экспресс-анализ методом чистой загрузки (Elcomsoft System Recovery)

Если работа с авторизованной сессией слишком рискованна или компьютер уже выключен, альтернативой становится обход установленной операционной системы. Загрузка с внешнего носителя в криминалистическую среду Elcomsoft System Recovery запускает гарантированно чистую систему Windows PE, не используя ОС, установленную на исследуемом компьютере. В этом режиме защитные механизмы компьютера (такие как антивирусные процессы, системы защиты от утечек или руткиты) не запускаются. Это даёт эксперту возможность работать с данными в безопасной среде: процесс сбора данных не будет заблокирован или замедлен фоновыми процессами. После загрузки с внешнего накопителя специалист получает неограниченный доступ к файловой системе в режиме «только для чтения», в котором можно как создавать образы внутренних накопителей, так и быстро извлечь ряд значимых файлов и веток реестра без проблем с блокировками или изменением временных меток.

Однако за безопасность и криминалистическую чистоту приходится платить высокую цену: при холодной загрузке теряются ключи шифрования, хранящиеся в оперативной памяти; перезагрузка уничтожает все волатильные данные. Более того, специалист лишается возможности прозрачной расшифровки данных, которую обеспечивала авторизованная сессия пользователя. Если системный диск зашифрован BitLocker, что является стандартом для многих современных устройств, холодная загрузка оставит специалиста один на один с зашифрованным томом. Без 48-значного ключа восстановления доступа стратегия «чистого листа» заходит в тупик: диск останется доступным, но данные — нечитаемыми.

Проблемы холодной загрузки: шифрование и доступ к секретам

Загрузка в чистую криминалистическую среду далеко не всегда решает проблему доступа: данные могут оказаться недоступными из-за шифрования системного раздела. В авторизованной сессии том BitLocker прозрачно расшифровывается системой, но при загрузке с внешнего носителя диск предстаёт в заблокированном состоянии, поскольку ключи шифрования надёжно защищены аппаратным модулем TPM и привязаны к целостности цепочки загрузки основной ОС. Если у вас нет на руках ключа восстановления доступа для монтирования тома (этот функционал поддерживается в Elcomsoft System Recovery), исследование заканчивается, не успев начаться.

Проблема сохраняется даже при наличии доступа к файловой системе. Современные механизмы защиты Windows, такие как Data Protection API (DPAPI) и App-Bound encryption, используют пароль входа пользователя для шифрования чувствительных данных — например, сохранённых в браузере паролей и токенов аутентификации. В авторизованной сессии необходимые ключи находятся в оперативной памяти, но при анализе в режиме офлайн эксперт сталкивается с тем, что файлы баз данных извлечь можно, но расшифровать записи — нельзя. Без пароля пользователя для генерации мастер-ключей расшифровка этих секретов невозможна.

Выбор стратегии: анализ авторизованной сессии или холодная загрузка

На начальном этапе расследования важно выбрать оптимальную стратегию экспресс-анализа — анализ авторизованной сессии, загрузку криминалистической среды с внешнего накопителя или комбинацию этих подходов.

Elcomsoft Quick Triage стоит использовать, если доступен включённый компьютер с активной сессией пользователя, особенно если на компьютере используется BitLocker или другой способ шифрования диска. В этой ситуации риск выключения питания недопустимо высок: будет утрачен доступ к ключам для расшифровки диска и доступа к секретам. Анализ авторизованной сессии — единственный рабочий вариант, если нужно собрать артефакты из оперативной памяти, активные сетевые подключения или пароли браузеров. Это также предпочтительный выбор, когда критична скорость.

В то же время, Elcomsoft System Recovery имеет смысл использовать, если компьютер выключен, пароль пользователя неизвестен или есть подозрение на заражение вредоносным ПО, которое может скомпрометировать результаты работы инструментов анализа авторизованной сессии. Однако помните о рисках: если системный раздел зашифрован BitLocker, получить доступ к данным на этом диске не удастся без ключа восстановления. Метод холодной загрузки лучше всего подходит для создания криминалистически чистых образов диска или сбора доступных для анализа данных (в частности, метаданных зашифрованных разделов, которые могут быть использованы для последующей попытки восстановления пароля).

В некоторых случаях лучшей стратегией может оказаться гибридная: если система работает, может иметь смысл в первую очередь выполнить быстрый сбор ключевых данных с помощью Elcomsoft Quick Triage, а затем загрузиться в среду Elcomsoft System Recovery для создания полного образа диска и его последующего глубокого анализа в лаборатории.