Мы неоднократно писали о том, как снимать образы современных накопителей, какие для этого нужны условия и аппаратное обеспечение, а также о том, как добиться максимальной скорости. На этот раз мы решили сосредоточиться исключительно на скоростях работы с E01 — самым распространённым форматом, который используется повсеместно. Поскольку полноценный криминалистический образ должен сопровождаться контрольными суммами, мы проверяли программы в реальных условиях с обязательным подсчётом хэш-сумм. В этой статье мы кратко разберём ключевые факторы, которые ускоряют или тормозят процесс снятия данных, а затем покажем сводные таблицы производительности со свежими результатами наших тестов популярных программ для снятия образов.

У вас в руках — печатная плата с микросхемами, похожая на SSD в формате M.2. Но что это на самом деле и как, к чему и через что её можно подключить? Если это M.2 — то это диск SATA или NVMe? А может, адаптер Wi-Fi/Bluetooth? Заработает ли накопитель, извлечённый из компьютера Apple, в простом механическом адаптере, или для доступа к данным понадобится оригинальное устройство Apple? Физический разъём — не гарантия совместимости. Проприетарные модули NAND в современных компьютерах Apple похожи на обычные NVMe накопители, но их содержимое не прочитается вне основной системы: в качестве контроллера используется основной чип компьютера. В этой статье мы разберём физические форм-факторы, в которых выпускаются современные NVMe-накопители.

Аппаратные блокираторы записи — базовый инструмент любого специалиста по цифровой криминалистике. Блокираторов — великое множество, как от именитых производителей, так и от безымянных китайских продавцов, со всеми промежуточными остановками. Отметилась и наша компания: в нашем портфолио — целый набор блокираторов записи, которые мы, конечно же, считаем лучшими в мире. Насколько мы объективны в своей оценке — вопрос открытый; сегодня же мы рассмотрим, как эволюционировал рынок такого оборудования, что сегодня предлагают производители из разных регионов мира, и проведём несколько тестов. Мы не станем зацикливаться на мегабайтах в секунду, а посмотрим на блокираторы глазами практика, оценив эргономику, стандарты питания и то, как старые инженерные подходы разбиваются о реалии современных накопителей.

Эксплойт checkm8, появившийся несколько лет назад, произвёл переворот в мобильной криминалистике. Впервые специалисты получили верифицируемый доступ к файловой системе множества устройств Apple. В индустрии использование эксплойта загрузчика быстро стало стандартом низкоуровневого извлечения. На выходе получался архив tar с копией файловой системы устройства. Это удобно — с tar умеют работать почти все инструменты; но у этого метода есть недостатки. tar — довольно старый «ленточный» формат, разработанный задолго до появления современных файловых систем с их метаданными и разрежёнными файлами. Мы разработали более совершенный метод, который извлекает из устройства не копию файловой системы, а точный образ диска.

Линейка криминалистических продуктов нашей компании только что получила новое дополнение. Встречайте Elcomsoft Quick Triage — инструмент для быстрого поиска, отбора и анализа цифровых улик. EQT создан для использования на ранних этапах расследования, когда время ограничено и решения нужно принимать быстро. Новый инструмент не заменяет «тяжёлые» криминалистические платформы; его задача — быстрое выявление, сбор и первичная оценка значимых улик на начальных этапах.

Инструментов для снятия образов дисков существует множество. Зачем нужен ещё один? Мы изучили все популярные и несколько экзотических утилит — и не нашли ни одной идеальной. В результате мы решили разработать собственную — с учётом опыта и на основе длительных исследований различных носителей, аппаратных конфигураций и даже кабелей. Встречайте Elcomsoft Disk Imager — бесплатный инструмент для снятия образов дисков, разработанный с учётом нужд специалистов в области цифровой криминалистики.

Подавляющее большинство паролей — особенно таких, которые приходится вводить вручную, — как правило, не случайны. В состав паролей входят имена и фамилии, клички животных, части памятных дат, цифры из телефонных номеров и другие данные, которые можно охарактеризовать словом «персональные». В ряде случаев всё, что есть у специалиста — это зашифрованный диск или файл. Однако в реальной практике бывает доступен и профиль подозреваемого — набор данных, который, если его правильно обработать, превращается в структурированный инструмент для построения целевых атак.

Совсем скоро на экранах ваших телевизоров! Наши разработчики впервые успешно извлекли полный образ файловой системы из телеприставки Apple TV 4K, работающей под управлением последней версии tvOS 26. Это стало первым в истории низкоуровневым извлечением из операционной системы Apple 26-го поколения — семейства, в которое также входят iOS 26, iPadOS 26, watchOS 26 и audioOS 26. Ранее этого не удавалось добиться никому — даже крупнейшим игрокам на рынке цифровой криминалистики!

Наши клиенты часто спрашивают, какие именно версии iOS поддерживает iOS Forensic Toolkit. Формально поддерживаются все, но есть нюанс, и не один. Точный ответ на этот вопрос зависит от множества причин, но для начала нужно ответить на другой, более фундаментальный вопрос: а что такое, собственно, «поддержка»?

В недавнем обновлении iOS Forensic Toolkit мы добавили поддержку новых-старых версий ОС от Apple, работающих на ряде моделей с чипами, в которых существует уязвимость загрузчика checkm8. В список не вошёл ни один iPhone — просто потому, что Apple давно прекратил поддержку старых iPhone в новых версиях iOS. А вот старые iPad, Apple TV и HomePod получили и продолжают получать обновления. Об этом и о том, как извлечь данные из этих устройств — в сегодняшней статье.