Perfect Acquisition — самый надёжный метод извлечения данных с устройств на iOS из всех, разработанных нашей компанией. Этот способ соответствует всем требованиям цифровой криминалистики: результат полностью повторяем, а при его использовании не изменяется ни один бит файловой системы. Если устройство поддерживает Perfect Acqsuition, то применять нужно именно этот метод — и только его. В данной статье описан весь процесс — от получения дампа данных до расшифровки и монтирования образа для анализа.

Начальный этап цифрового расследования всегда ставит эксперта перед выбором: обесточить компьютер и снять образ диска, выбрав безопасный, но долгий путь? Или же запустить утилиту для экспресс-анализа прямо на месте, на работающей системе, чтобы успеть перехватить пароли и ключи шифрования? Традиционные методики полагаются на офлайновый анализ копии данных, сохраняя неизменность оригинала, но повсеместное внедрение шифрования делает этот метод всё менее эффективным. Рассмотрим две основных стратегии экспресс-анализа: анализ авторизованной сессии и загрузку в чистую криминалистическую среду.

Windows Defender и инструменты для криминалистического анализа часто оказываются по разные стороны баррикад. Если задача систем защиты — заблокировать несанкционированный доступ, то криминалистическим утилитам для сбора доказательств, напротив, требуется доступ ко всем данным, включая заблокированные системные файлы. Этот конфликт несёт серьёзные неудобства и риски при проведении анализа на загруженной системе. Современные антивирусы с агрессивной эвристикой могут принять криминалистические инструменты за вредоносное ПО, прерывая процесс сбора данных или отправляя сам инструмент в карантин.

В статье «Защита украденного устройства» — новая проблема для криминалистов мы рассмотрели влияние системных настроек iOS на возможность извлечения данных из защищённых iPhone, и пришли к выводу, что даже известный код блокировки больше не является гарантией успеха. В качестве альтернативы мы предложили вариант с ручным осмотром устройства. Как его правильно проводить и какую информацию можно, а какую — нельзя получить таким образом?

Современные видеоускорители класса NVIDIA GeForce RTX 5090 способны многократно ускорить процесс восстановления паролей, однако их эксплуатация в режиме непрерывной нагрузки сопряжена с рисками, обусловленными как высоким энергопотреблением, так и конструктивными особенностями системы питания. Об этих рисках и о том, как их минимизировать — в сегодняшней статье.

За последнее десятилетие индустрия прошла долгий путь от множества конкурирующих стандартов зарядки к ещё большему множеству — но с общим знаменателем в виде USB Power Delivery. В этой статье мы проследим путь развития стандартов: от раннего Battery Charging 1.2 и многочисленных проприетарных протоколов до современных вариаций USB Power Delivery (PD), способных питать устройства мощностью до 240 Вт с гранулярным контролем напряжения.

Хотя индустрия движется в сторону быстрых NVMe и облачных хранилищ, в практике эксперта-криминалиста регулярно возникают ситуации, когда необходимо извлечь информацию из устройств, которые считаются безнадёжно устаревшими. Это могут быть архивные данные коммерческих структур, старые персональные компьютеры или промышленное оборудование, работающее десятилетиями. Пренебрегать такими носителями нельзя, поскольку именно на старых дискетах или магнитооптических дисках часто обнаруживаются критически важные доказательства, о существовании которых подозреваемый мог давно забыть.

В современной следственной практике ценность данных, извлечённых из веб-браузеров, трудно переоценить. Об извлечении паролей мы недавно писали, но паролями и даже историей посещений дело не ограничивается. Так, история поисковых запросов помогает установить и доказать умысел, а данные, синхронизированные через облако с мобильных устройств подозреваемого, позволяют получить доступ к его действиям, осуществлённым на других, более защищённых устройствах.

С момента появления интерфейса защиты данных DPAPI в Windows 2000 методика сбора цифровых доказательств при работе с веб-браузерами оставалась неизменной: изолировать компьютер, создать побитную копию накопителя, извлечь данные и расшифровать, используя пароль от учётной записи. В те времена пароля пользователя Windows было достаточно для расшифровки данных, но сегодня этот подход устарел. С внедрением технологии App-Bound Encryption компании Google и Microsoft закрыли возможность расшифровки данных из браузеров, даже если в распоряжении эксперта есть образ диска, а пароль от учётной записи известен. Для доступа к сохранённым в браузере паролям нужно действовать быстро — и однозначно перед тем, как обесточить компьютер.

Всего несколько лет назад практически всё, что эксперт видел на экране компьютера, можно было найти на пластинах жёсткого диска. Найти, извлечь и внимательно исследовать. Сегодня же ситуация другая. Отключить компьютер, вынуть диски, снять образы… Подход — правильный, но почему, когда компьютер работал, на экране были видны сотни файлов, а в образе диска их нет?  Возможно, дело в частичной синхронизации, или синхронизации «по запросу», а сами файлы спокойно лежат в «облаке» Dropbox или OneDrive. Как добраться до этих данных, не затерев случайно другие улики? Попробуем разобраться.