В июле 2025 года пятидесятилетняя Анджела Липпс из штата Теннесси стала жертвой полицейской ошибки. Расследуя серию банковских мошенничеств, полиция города Фарго (Северная Дакота) получила наводку от коллег: искусственный интеллект распознал лицо Липпс на поддельном удостоверении, использованном преступниками. В результате вооружённые федеральные маршалы ворвались в её дом и арестовали женщину на глазах её внуков, что положило начало длинной цепочке событий: Липпс провела за решёткой около шести месяцев, получив статус беглой преступницы в штате, в котором не была ни разу в жизни.

Классические материальные улики — отпечатки пальцев или микроскопические частицы ткани — всё чаще дополняются цифровыми следами, а судьбы людей решаются в пространстве нулей и единиц. В современном правосудии цифровая криминалистика выходит на первый план. В отличие от орудия убийства, которое нельзя незаметно переплавить прямо в сейфе вещдоков, виртуальную информацию можно подделать, исказить или стереть так искусно, что следы стороннего вмешательства будет трудно выявить без специальной проверки.

В новой версии Elcomsoft Distributed Password Recovery появилась поддержка видеокарт NVIDIA последнего поколения Blackwell. Небольшое обновление? Напротив: EDPR 5.0 — самое крупное обновление продукта за последние годы. Мы полностью пересобрали продукт, осуществив переход с 32-битного кода на 64-разрядный. Почему это важно и при чём здесь NVIDIA Blackwell? Подробности — в этой статье.

В двух статьях Алексиса Бригнони (оригинал и продолжение) поднимается очень интересная тема: а что, если модель искусственного интеллекта из криминалистического пакета залезет куда-то не туда, куда позволял залезть ордер, увидит что-то из того, на что не было разрешения, и обнаружит улики, которые не удалось бы найти, не выйдя за рамки оригинального ордера? Алексис делает сильный ход, утверждая: «Хотите, чтобы суд выбросил ваши цифровые улики на свалку? Просто спросите LLM, не ограничивая его правовыми рамками». И мне определённо есть что добавить.

Эта статья завершает нашу серию об артефактах Windows и их значении для криминалистики. В предыдущих публикациях мы рассмотрели системные артефакты: журналы событий Windows, реестр Windows, файловые артефакты в папках C:\Windows и C:\ProgramData. Без них не восстановить общую картину: запуск и завершение работы системы, активность служб, установку программ, механизмы закрепления и признаки компрометации на уровне машины. Однако системные артефакты показывают события, но не всегда указывают, кто за ними стоит. Сегодня мы рассмотрим артефакты, связанные с действиями конкретного пользователя.

Мы продолжаем цикл статей об исследовании артефактов в компьютерах с ОС Windows. Сегодня мы разберём содержимое папки %ProgramData% (как правило, C:\ProgramData) — здесь расположены данные приложений и системных служб, относящиеся к системе в целом. Анализ этой директории помогает восстановить историю использования компьютера и работу встроенного антивируса, отследить факты передачи файлов и установки приложений, а также получить дополнительные подтверждения цифровых доказательств, найденных в других источниках.

Мы продолжаем цикл статей, посвящённых исследованию цифровых следов в компьютерах с ОС Windows. Если вы следите за нашими публикациями, наверняка заметили: с каждой новой темой анализ становится всё сложнее, ведь взятые по отдельности артефакты не дают всей картины. Современная криминалистика во многом опирается на сопоставление данных из разных источников. Собирая и сопоставляя данные из разных источников, специалисты восстанавливают целостную картину происшествия и формируют надёжную доказательную базу.

Не секрет, что внешние накопители — от обычных USB-флешек до ёмких жёстких дисков и смартфонов — нередко становятся каналом утечек данных и распространения шифровальщиков. Специалистам по цифровой криминалистике часто нужно восстановить точную хронологию: когда USB-устройство подключили, какие действия выполняли и когда его отключили. И в поиске первоисточника заражения сети, и при расследовании кражи данных уволенным сотрудником ответы нередко лежат в истории использования внешних носителей.

Обеспечить правильным питанием как лабораторное оборудование, так и исследуемые устройства — задача нетривиальная. Современная лаборатория — это сложная система, где одновременно работают мощные рабочие станции, портативные мини-ПК, блокираторы записи и вещественные доказательства — устройства, которые нужно исследовать. С учётом того, что оборудование поступает из самых разных регионов — от КНР до Индии включительно, — возникает сильная фрагментация стандартов. Несмотря на попытки унификации вокруг USB Type-C, в сфере питания специализированных устройств порядка до сих пор нет.

Цифровая криминалистика опирается на разнообразные артефакты — следы, которые оставляют как рядовые пользователи, так и злоумышленники. Журналы событий Windows (Windows Event Logs) выступают главной хронологической летописью работы операционной системы. Они фиксируют события безопасности, поведение приложений, активность служб и драйверов, а также данные о входе пользователей, включении и выключении компьютера. Поскольку Windows 10 и 11 генерируют огромный объем фоновых событий, поиск криминалистически значимых артефактов требует как специального ПО, так и навыков и чёткого понимания архитектуры и механизмов журналирования.