Цифровая криминалистика опирается на разнообразные артефакты — следы, которые оставляют как рядовые пользователи, так и злоумышленники. Журналы событий Windows (Windows Event Logs) выступают главной хронологической летописью работы операционной системы. Они фиксируют события безопасности, поведение приложений, активность служб и драйверов, а также данные о входе пользователей, включении и выключении компьютера. Поскольку Windows 10 и 11 генерируют огромный объем фоновых событий, поиск криминалистически значимых артефактов требует как специального ПО, так и навыков и чёткого понимания архитектуры и механизмов журналирования.

Реестр Windows остаётся одним из важнейших для расследования источников информации. Анализ ключей и значений реестра позволяет реконструировать системную активность и поведение пользователя. Реестр содержит информацию о запущенных программах, доступе к данным и подключении внешних устройств. Без автоматизированных криминалистических инструментов исследование реестра малоэффективно, но даже с их использованием интерпретация результатов всегда остаётся задачей эксперта.

Perfect Acquisition — самый надёжный метод извлечения данных с устройств на iOS из всех, разработанных нашей компанией. Этот способ соответствует всем требованиям цифровой криминалистики: результат полностью повторяем, а при его использовании не изменяется ни один бит файловой системы. Если устройство поддерживает Perfect Acqsuition, то применять нужно именно этот метод — и только его. В данной статье описан весь процесс — от получения дампа данных до расшифровки и монтирования образа для анализа.

Начальный этап цифрового расследования всегда ставит эксперта перед выбором: обесточить компьютер и снять образ диска, выбрав безопасный, но долгий путь? Или же запустить утилиту для экспресс-анализа прямо на месте, на работающей системе, чтобы успеть перехватить пароли и ключи шифрования? Традиционные методики полагаются на офлайновый анализ копии данных, сохраняя неизменность оригинала, но повсеместное внедрение шифрования делает этот метод всё менее эффективным. Рассмотрим две основных стратегии экспресс-анализа: анализ авторизованной сессии и загрузку в чистую криминалистическую среду.

Windows Defender и инструменты для криминалистического анализа часто оказываются по разные стороны баррикад. Если задача систем защиты — заблокировать несанкционированный доступ, то криминалистическим утилитам для сбора доказательств, напротив, требуется доступ ко всем данным, включая заблокированные системные файлы. Этот конфликт несёт серьёзные неудобства и риски при проведении анализа на загруженной системе. Современные антивирусы с агрессивной эвристикой могут принять криминалистические инструменты за вредоносное ПО, прерывая процесс сбора данных или отправляя сам инструмент в карантин.

В статье «Защита украденного устройства» — новая проблема для криминалистов мы рассмотрели влияние системных настроек iOS на возможность извлечения данных из защищённых iPhone, и пришли к выводу, что даже известный код блокировки больше не является гарантией успеха. В качестве альтернативы мы предложили вариант с ручным осмотром устройства. Как его правильно проводить и какую информацию можно, а какую — нельзя получить таким образом?

Современные видеоускорители класса NVIDIA GeForce RTX 5090 способны многократно ускорить процесс восстановления паролей, однако их эксплуатация в режиме непрерывной нагрузки сопряжена с рисками, обусловленными как высоким энергопотреблением, так и конструктивными особенностями системы питания. Об этих рисках и о том, как их минимизировать — в сегодняшней статье.

За последнее десятилетие индустрия прошла долгий путь от множества конкурирующих стандартов зарядки к ещё большему множеству — но с общим знаменателем в виде USB Power Delivery. В этой статье мы проследим путь развития стандартов: от раннего Battery Charging 1.2 и многочисленных проприетарных протоколов до современных вариаций USB Power Delivery (PD), способных питать устройства мощностью до 240 Вт с гранулярным контролем напряжения.

Хотя индустрия движется в сторону быстрых NVMe и облачных хранилищ, в практике эксперта-криминалиста регулярно возникают ситуации, когда необходимо извлечь информацию из устройств, которые считаются безнадёжно устаревшими. Это могут быть архивные данные коммерческих структур, старые персональные компьютеры или промышленное оборудование, работающее десятилетиями. Пренебрегать такими носителями нельзя, поскольку именно на старых дискетах или магнитооптических дисках часто обнаруживаются критически важные доказательства, о существовании которых подозреваемый мог давно забыть.

В современной следственной практике ценность данных, извлечённых из веб-браузеров, трудно переоценить. Об извлечении паролей мы недавно писали, но паролями и даже историей посещений дело не ограничивается. Так, история поисковых запросов помогает установить и доказать умысел, а данные, синхронизированные через облако с мобильных устройств подозреваемого, позволяют получить доступ к его действиям, осуществлённым на других, более защищённых устройствах.