Цифровая криминалистика долго опиралась на простой принцип: отключить питание, снять образ диска, анализировать в лаборатории. Этот подход работал, пока объёмы данных измерялись гигабайтами, а расследование касалось одного-двух компьютеров. Сегодня эти условия выполняются редко. В расследованиях часто фигурируют десятки устройств с терабайтными накопителями, и классический подход порождает очереди в лабораториях, растянутые на недели и месяцы. Пока образы ждут своей очереди, оперативная ценность улик падает.

Именно так в практике расследований сформировался цифровой триаж. Вместо полного копирования всех секторов специалист быстро извлекает только те данные, которые критичны для расследования: переписку, историю браузеров, системные журналы, артефакты активных сессий. Это позволяет принимать процессуальные решения прямо на месте проведения следственного действия, не дожидаясь завершения полноценной лабораторной экспертизы. Таким образом, триаж в цифровых расследованиях — это предварительный этап сбора и отбора только важных данных с их последующим анализом либо на месте, либо в лаборатории.

Одна из ключевых задач триажа — расшифровка данных, защищённых DPAPI. Успешная расшифровка открывает доступ к широкому спектру артефактов, обладающих высокой ценностью. В первую очередь это системные данные: записи Windows Credential Manager, сохранённые пароли RDP-подключений, пользовательские сертификаты. Помимо этого, DPAPI защищает учётные данные сетевых сервисов — пароли настроенных VPN-подключений и профилей Wi-Fi, сохранённые пароли в браузерах. Впрочем, последнее — пароли в браузерах — сильно зависит от типа и версии самого браузера. В современных системах для защиты паролей могут использоваться альтернативные механизмы; о них — ниже. Наконец, через DPAPI защищены ключи и токены приложений: токены OAuth, API-ключи и токены авторизованных сессий.

Инструментарий триажа

Для предварительного сбора данных в ходе триажа мы разработали два инструмента: Elcomsoft Quick Triage (EQT) и Elcomsoft System Recovery (ESR). Несмотря на частичное пересечение функций, они рассчитаны на принципиально разные ситуации, и выбор между ними определяется состоянием исследуемого компьютера.

EQT предназначен для работы с включённой и разблокированной системой. Инструмент запускается непосредственно в среде работающей Windows и собирает оперативные данные: энергозависимые артефакты из памяти, активную переписку, чаты, журналы событий, важные файлы и документы.

ESR закрывает другой сценарий — когда исследуемый компьютер выключен или заблокирован, а снятие образа диска для последующего анализа штатными методами может быть осложнено по ряду причин технического характера (например, накопитель распаян непосредственно на системной плате). Программа загружается с внешнего носителя в собственной изолированной среде, независимой от установленной ОС. В этом режиме можно снять образ диска, извлечь хеши паролей, сбросить пароль учётной записи или повысить привилегии до администратора.

Оба инструмента дополняют друг друга. EQT максимально эффективен на работающей системе с авторизованной сессией, но поддерживает и другие сценарии использования, в том числе и с внешними дисками, и с подмонтированными образами дисков. ESR обеспечивает доступ к обесточенным компьютерам. Пограничные случаи (например, компьютер когда включён, но экран заблокирован) универсального решения не имеют: специалист выбирает тактику исходя из обстоятельств конкретного дела.

Наши публикации

В серии публикаций, посвящённых цифровому триажу, мы подробно и методично разобрали самые разные аспекты цифровых расследований. Мы рассмотрели, как выбор между загрузкой с внешнего носителя и работой с авторизованной сессией влияет на ход расследования, как запускать инструменты извлечения данных в обход активных антивирусных решений, на какие артефакты обращать внимание в первую очередь, а какие — цифровой шум, который должен быть отфильтрован.

Отдельного внимания заслуживает защитный механизм App-Bound Encryption, реализованный в современных браузерах. Этот механизм делает традиционный подход неприменимым: ключи расшифровки существуют исключительно в контексте активной пользовательской сессии. Извлечь такие данные можно только на работающей системе.

Наконец, мы детально разобрали работу с конкретными артефактами Windows: анализ записей из кустов реестра, анализ журналов событий в формате EVTX, восстановление истории подключения USB-накопителей, исследование системных файлов в каталогах C:\Windows и C:\ProgramData. Эти артефакты позволяют восстановить хронологию действий пользователя, установить факты работы с внешними носителями и выявить попытки уничтожения следов.

Эволюция цифровой криминалистики

• Elcomsoft Quick Triage — новый инструмент в арсенале криминалиста
• Цифровой триаж — это не только скорость
• Облачные файлы в загруженной системе и образе диска

Стратегия, доступ и рабочий процесс

• Начальный этап расследования: выбор стратегии экспресс-анализа
• Типы учётных записей Windows и восстановление паролей
• Анализ авторизованных сессий Windows и антивирусная защита
• Пароли в браузерах: привязка к приложению и анализ авторизованной сессии
• Криминалистический анализ данных из веб-браузеров в триаже

Анализ системных артефактов Windows

• Криминалистический анализ реестра Windows
• Криминалистический анализ журнала событий Windows Event Log
• Поиск и анализ следов подключения USB-накопителей при расследовании утечек данных
• Файловые артефакты в C:\Windows
• Исследование содержимого C:\ProgramData
• Анализ папки C:\Users