В статье Аппаратная блокировка записи мы рассказали о том, какие бывают блокировщики записи, как они работают и чем отличаются между собой. Сегодня мы подробно расскажем о блокираторе записи нашей собственной разработки и его преимуществах по сравнению с аналогами и о том, как добиться максимально возможной скорости снятия образа.
В нашем блоге опубликованы десятки статей о доступе к зашифрованным данным и взломе паролей. Многие из них сугубо технические, некоторые являются прямыми инструкциями; есть и ряд статей, объясняющих те или иные принципы. В то же время нам часто задают вопросы, ответы на которые приходится искать глубоко в недрах нашего блога. В результате мы решили написать одну статью, в которой будут не только ответы на большую часть вопросов, но и отсылки к ранее опубликованным материалам.
Извлечение данных с изъятых накопителей — важный шаг в процессе криминалистического исследования цифровых улик. В процессе исследования накопители извлекаются, после чего эксперт снимает с них полный образ. Вся последующая работа по извлечению и анализу собранной информации проводится не с физическим накопителем, а с образом диска. В этой статье мы расскажем о том, как обезопасить данные на оригинальном диске от случайной модификации с использованием аппаратной блокировки записи.
Низкоуровневое извлечение — единственный способ добраться до максимально полной информации, хранящейся в устройствах iOS/iPadOS. В очередном обновлении iOS Forensic Toolkit мы улучшили механизм установки агента, добавив установку с компьютеров Windows и Linux с использованием обычных учётных записей Apple ID.
О программе Apple для разработчиков в контексте мобильной криминалистики мы писали неоднократно. Учётная запись Apple ID нужна для установки на исследуемое устройство агента-экстрактора, позволяющего получить доступ к файловой системе и связке ключей. В руководстве к iOS Forensic Toolkit мы усиленно рекомендуем зарегистрировать учётную запись в качестве разработчика. В чём смысл этой регистрации, для чего эксперту-криминалисту нужно становиться «зарегистрированным разработчиком» и можно ли без этого обойтись?
iOS Forensic Toolkit поставляется в трёх редакциях — для компьютеров с операционными системами macOS, Windows и Linux. Между тремя редакциями есть масса различий, и далеко не только функциональных. В этой статье мы расскажем, в чём разница между редакциями, какую редакцию стоит выбрать и почему.
Ровно двенадцать лет назад мы разработали способ поставить Apple iCloud на стражу законности. Двенадцать лет назад наш новый продукт был встречен прохладно. В публичном поле превалировали два полярных мнения: первое — что мы не сделали ничего особенного; второе — что вот теперь хакеры взломают все аккаунты, а спецслужбы воспользуются новым инструментом, чтобы установить тотальную слежку за гражданами. Сколько правды в этих утверждениях и как изменилось общественное мнение по поводу облачной криминалистики — в этой статье.
При низкоуровневом извлечении данных из устройств под управлением iOS с использованием эксплойта checkm8 иногда может потребоваться удалить (сбросить) код блокировки экрана. Сброс кода блокировки приводит к ряду нежелательных последствий; по возможности данной процедуры желательно избегать. В этой статье мы расскажем, при каких обстоятельствах требуется сбрасывать код блокировки экрана, когда этого можно избежать, к каким последствиям это приводит и почему даже сброс пароля не всегда помогает извлечь данные.
Мы не раз и не два писали о паролях, которыми могут быть защищены резервные копии, создаваемые устройствами под управлением iOS и iPadOS. Из множества разрозненных статей трудно составить цельное впечатление о том, что из себя представляют эти пароли, на что влияют, как их восстановить, можно ли их сбросить и в каких случаях это нужно делать — а когда не нужно категорически. В этой статье мы подводим итог многолетних исследований этой области и даём конкретные рекомендации по работе с паролями.
В очередном обновлении Elcomsoft Distributed Password Recovery мы добавили новую функцию управления ресурсами, позволяющую выделять из доступных мощностей отдельные вычислительные кластеры. Выделенные кластеры можно использовать для параллельной работы над задачами по восстановлению паролей. О том, как работает новая функция — в этой статье.