Мы неоднократно писали о том, как снимать образы современных накопителей, какие для этого нужны условия и аппаратное обеспечение, а также о том, как добиться максимальной скорости. На этот раз мы решили сосредоточиться исключительно на скоростях работы с E01 — самым распространённым форматом, который используется повсеместно. Поскольку полноценный криминалистический образ должен сопровождаться контрольными суммами, мы проверяли программы в реальных условиях с обязательным подсчётом хэш-сумм. В этой статье мы кратко разберём ключевые факторы, которые ускоряют или тормозят процесс снятия данных, а затем покажем сводные таблицы производительности со свежими результатами наших тестов популярных программ для снятия образов.

У вас в руках — печатная плата с микросхемами, похожая на SSD в формате M.2. Но что это на самом деле и как, к чему и через что её можно подключить? Если это M.2 — то это диск SATA или NVMe? А может, адаптер Wi-Fi/Bluetooth? Заработает ли накопитель, извлечённый из компьютера Apple, в простом механическом адаптере, или для доступа к данным понадобится оригинальное устройство Apple? Физический разъём — не гарантия совместимости. Проприетарные модули NAND в современных компьютерах Apple похожи на обычные NVMe накопители, но их содержимое не прочитается вне основной системы: в качестве контроллера используется основной чип компьютера. В этой статье мы разберём физические форм-факторы, в которых выпускаются современные NVMe-накопители.

Аппаратные блокираторы записи — базовый инструмент любого специалиста по цифровой криминалистике. Блокираторов — великое множество, как от именитых производителей, так и от безымянных китайских продавцов, со всеми промежуточными остановками. Отметилась и наша компания: в нашем портфолио — целый набор блокираторов записи, которые мы, конечно же, считаем лучшими в мире. Насколько мы объективны в своей оценке — вопрос открытый; сегодня же мы рассмотрим, как эволюционировал рынок такого оборудования, что сегодня предлагают производители из разных регионов мира, и проведём несколько тестов. Мы не станем зацикливаться на мегабайтах в секунду, а посмотрим на блокираторы глазами практика, оценив эргономику, стандарты питания и то, как старые инженерные подходы разбиваются о реалии современных накопителей.

Ровно восемнадцать лет назад, задолго до того, как термин «аппаратное ускорение на GPU» вошёл в повседневный обиход, а обычные видеокарты стали рассматривать в качестве мощных универсальных вычислителей, одна маленькая, но гордая компания изменила мир. По крайней мере, ту часть мира, в которой взламывают пароли. «А что, если видеокарту как-то приспособить для перебора паролей?» Сказано — сделано.

Как мы уже писали в предыдущей статье Образы дисков: как порты, хабы и питание влияют на скорость), лучше всего подключать внешние устройства с выходом USB-C к портам USB-C на компьютере, причём таким, которые могут работать с 10-гигабитными скоростями. Но что, если у вас нет свободного порта USB-C или компьютер и вовсе ими не оборудован? Приходится пользоваться тем, что есть, подключая устройства к портам USB-A. Казалось бы, в чём проблема? Взять любой кабель USB-C / USB-A, подключил — работает! Как бы не так.

Год от года плотность хранения информации растёт, как и скорость доступа к данным. В серверных стойках механические жёсткие диски постепенно уступают место твердотельным накопителям, ёмкость которых уже не только приближается, но и существенно превышает ёмкость традиционных накопителей. Если возникнет необходимость извлечь данные с серверного SSD в рамках экспертизы, вам придётся решить вопрос о способе его подключения. Перед нами — диск с маркировкой U.3, не самый очевидный формат для настольного компьютера. Разберёмся, что это такое и как с ним обращаться.

Когда накопитель попадает в лабораторию в качестве источника цифровых доказательсв, задача специалиста — обеспечить стабильную работу для снятия образа данных. Это означает, что накопитель, подключённый к компьютеру через блокиратор записи, должен получать питание такой мощности и с такими характеристиками, которые необходимы для его стабильной и бесперебойной работы. На практике это означает не просто «включить», а гарантировать, что питание покрывает как рабочие нагрузки, так и пиковые, возникающие в момент включения некоторых типов накопителей. Разберёмся, сколько потребляет каждый тип накопителей и какое питание для этого нужно — в тех условиях, в которых с ними сталкиваются эксперты.

Блокировка записи при работе с изъятыми цифровыми носителями — обязательное требование цифровой криминалистики. Использование блокиратора записи в  процессе исследования позволяет сохранить целостность данных, избежать любых модификаций оригинального носителя и обеспечить криминалистическую чистоту процесса. Подробнее о назначении и принципах работы блокировщиков записи мы рассказывали в статье Аппаратная блокировка записи при снятии образа диска. В этой публикации мы расскажем про универсальный аппаратный блокиратор записи для накопителей с интерфейсом SATA, который мы разработали для использования как на выездах, так и в лаборатории.

При работе с мобильными устройствами Apple важна правильная последовательность переходов в различные режимы. Особенно это касается режима DFU (Device Firmware Update), который необходим для извлечения данных с помощью эксплойта checkm8. Попасть в этот режим не так просто — нужна специфическая последовательность нажатий с точным соблюдением таймингов. Если что-то пойдет не так, устройство может просто перезагрузиться, что может привести к крайне нежелательным последствиям. В этой статье объясним, почему перевод в DFU лучше начать с режима восстановления Recovery Mode.

В предыдущей статье мы разобрались с основными принципами цифровой криминалистики — неизменностью, повторяемостью и проверяемостью данных, с законодательной базой и практикой правоприменения. Теперь пора перейти к конкретике: к тем устройствам и носителям, с которых эти данные извлекаются. Говорить о «чистоте» процесса и целостности данных — это одно, и совсем другое — обеспечить эту чистоту и гарантировать целостность и аутентичность извлечённых данных при работе с реальными источниками: смартфонами, накопителями, видеорегистраторами и прочими цифровыми устройствами.