Чем больше мы зависим от мобильных устройств, тем больше производители стараются обезопасить нас и наши данные от злоумышленников. Технически сложные методы разблокировки, надёжное шифрование, выделенные сопроцессоры безопасности с собственной ОС — лишь вершина айсберга. Но что происходит, когда защищаться приходится вовсе не от злоумышленников? Повсеместное использование шифрования всё чаще приводит к тому, что полиция упирается в глухую стену: получить доступ к данным без участия владельца часто невозможно технически. Этот технологический тупик спровоцировал конфликт между стремлением государства получить доступ к цифровым уликам и фундаментальным правом человека не свидетельствовать против самого себя.

В июле 2025 года пятидесятилетняя Анджела Липпс из штата Теннесси стала жертвой полицейской ошибки. Расследуя серию банковских мошенничеств, полиция города Фарго (Северная Дакота) получила наводку от коллег: искусственный интеллект распознал лицо Липпс на поддельном удостоверении, использованном преступниками. В результате вооружённые федеральные маршалы ворвались в её дом и арестовали женщину на глазах её внуков, что положило начало длинной цепочке событий: Липпс провела за решёткой около шести месяцев, получив статус беглой преступницы в штате, в котором не была ни разу в жизни.

Классические материальные улики — отпечатки пальцев или микроскопические частицы ткани — всё чаще дополняются цифровыми следами, а судьбы людей решаются в пространстве нулей и единиц. В современном правосудии цифровая криминалистика выходит на первый план. В отличие от орудия убийства, которое нельзя незаметно переплавить прямо в сейфе вещдоков, виртуальную информацию можно подделать, исказить или стереть так искусно, что следы стороннего вмешательства будет трудно выявить без специальной проверки.

В новой версии Elcomsoft Distributed Password Recovery появилась поддержка видеокарт NVIDIA последнего поколения Blackwell. Небольшое обновление? Напротив: EDPR 5.0 — самое крупное обновление продукта за последние годы. Мы полностью пересобрали продукт, осуществив переход с 32-битного кода на 64-разрядный. Почему это важно и при чём здесь NVIDIA Blackwell? Подробности — в этой статье.

В двух статьях Алексиса Бригнони (оригинал и продолжение) поднимается очень интересная тема: а что, если модель искусственного интеллекта из криминалистического пакета залезет куда-то не туда, куда позволял залезть ордер, увидит что-то из того, на что не было разрешения, и обнаружит улики, которые не удалось бы найти, не выйдя за рамки оригинального ордера? Алексис делает сильный ход, утверждая: «Хотите, чтобы суд выбросил ваши цифровые улики на свалку? Просто спросите LLM, не ограничивая его правовыми рамками». И мне определённо есть что добавить.

У вас в руках — печатная плата с микросхемами, похожая на SSD в формате M.2. Но что это на самом деле и как, к чему и через что её можно подключить? Если это M.2 — то это диск SATA или NVMe? А может, адаптер Wi-Fi/Bluetooth? Заработает ли накопитель, извлечённый из компьютера Apple, в простом механическом адаптере, или для доступа к данным понадобится оригинальное устройство Apple? Физический разъём — не гарантия совместимости. Проприетарные модули NAND в современных компьютерах Apple похожи на обычные NVMe накопители, но их содержимое не прочитается вне основной системы: в качестве контроллера используется основной чип компьютера. В этой статье мы разберём физические форм-факторы, в которых выпускаются современные NVMe-накопители.

Эта статья завершает нашу серию об артефактах Windows и их значении для криминалистики. В предыдущих публикациях мы рассмотрели системные артефакты: журналы событий Windows, реестр Windows, файловые артефакты в папках C:\Windows и C:\ProgramData. Без них не восстановить общую картину: запуск и завершение работы системы, активность служб, установку программ, механизмы закрепления и признаки компрометации на уровне машины. Однако системные артефакты показывают события, но не всегда указывают, кто за ними стоит. Сегодня мы рассмотрим артефакты, связанные с действиями конкретного пользователя.

Мы продолжаем цикл статей об исследовании артефактов в компьютерах с ОС Windows. Сегодня мы разберём содержимое папки %ProgramData% (как правило, C:\ProgramData) — здесь расположены данные приложений и системных служб, относящиеся к системе в целом. Анализ этой директории помогает восстановить историю использования компьютера и работу встроенного антивируса, отследить факты передачи файлов и установки приложений, а также получить дополнительные подтверждения цифровых доказательств, найденных в других источниках.

Мы продолжаем цикл статей, посвящённых исследованию цифровых следов в компьютерах с ОС Windows. Если вы следите за нашими публикациями, наверняка заметили: с каждой новой темой анализ становится всё сложнее, ведь взятые по отдельности артефакты не дают всей картины. Современная криминалистика во многом опирается на сопоставление данных из разных источников. Собирая и сопоставляя данные из разных источников, специалисты восстанавливают целостную картину происшествия и формируют надёжную доказательную базу.

Не секрет, что внешние накопители — от обычных USB-флешек до ёмких жёстких дисков и смартфонов — нередко становятся каналом утечек данных и распространения шифровальщиков. Специалистам по цифровой криминалистике часто нужно восстановить точную хронологию: когда USB-устройство подключили, какие действия выполняли и когда его отключили. И в поиске первоисточника заражения сети, и при расследовании кражи данных уволенным сотрудником ответы нередко лежат в истории использования внешних носителей.