Снятие образов носителей: некоторые особенности

10 июля, 2025, Oleg Afonin

Ранее мы подробно тестировали скорость снятия образов с быстрых накопителей. Однако высокая скорость — это лишь часть задачи. Даже при идеальной, предельной для конкретного «железа» скорости, получить гарантированно корректный и полный образ не так просто, как кажется. Достичь максимальной скорости работы тоже получается не каждый раз: множество факторов могут привести как к существенному замедлению работы, так и искажениям итогового результата. В этой статье мы собрали ключевые факторы, которые могут повлиять на скорость и качество снятия образа.

Читать дальше »

Цифровые улики и повторяемость криминалистического анализа

1 февраля, 2023, Oleg Afonin

Что превращает извлечённые из телефона данные в цифровые улики, а улики — в доказательства? В рамках состязательного судебного процесса в роли доказательств могут выступать лишь такие улики, подлинность которых можно доказать, а корректность извлечения — проверить у независимого эксперта. О доказательстве подлинности цифровых данных и о том, как обеспечить повторяемость извлечения, мы и поговорим в сегодняшней статье.

Читать дальше »

Вышли iOS 12.5.7 и iOS 15.7.3. Что изменилось в низкоуровневом извлечении?

25 января, 2023, Oleg Afonin

Apple поддерживает свои устройства в течение длительного времени, иногда неожиданно выпуская патчи безопасности для давно и безнадёжно устаревших устройств. 23 января вместе с релизом iOS 16.3 компания выпустила обновления для старых устройств, не получивших поддержки iOS 16. Что изменилось с точки зрения эксперта-криминалиста с выходом iOS 12.5.7, iOS 15.7.3 и iPadOS 15.7.3?

Читать дальше »

Связка ключей в iOS 15.5

10 января, 2023, Oleg Afonin

В обновлённой версии iOS Forensic Toolkit появилась возможность расшифровки связки ключей из устройств под управлением всех версий iOS/iPadOS до 15.5 включительно. Что это означает для специалистов, работающих в области мобильной криминалистики?

Читать дальше »

Такой неполный полный перебор

3 января, 2023, Oleg Afonin

Из множества методов восстановления паролей полный перебор — наименее эффективный. Почему же мы продолжаем рассказывать о методе полного перебора? Дело в том, что именно скорость полного перебора позволяет оценить как время, потребное для гарантированного восстановления пароля той или иной сложности, так и оборудование, необходимое для гарантированного восстановления в течение заданного временного промежутка. Что означают цифры? Миллион паролей в секунду — много это или мало? И как быстро, в конце концов, вы сможете взломать этот пароль? Об этом и многом другом — в сегодняшнем материале.

Читать дальше »

Итоги 2022 года

30 декабря, 2022, Olga Koksharova

Новый год приближается стремительно, и нам конечно же интересно, что он готовит для нас в области цифровой криминалистики. Но пока он ещё не наступил, давайте на минутку вспомним, что интересного для нас было в уходящем 2022 году. В этот непростой год мы старались поддерживать и развивать контакты, проводить встречи и семинары. Исследования и разработки для нас оставались первостепенной задачей, как и во все предыдущие годы. Подводя итоги года, мы рады поделиться результатами нашей работы.

Читать дальше »

checkm8 для iOS 16.2 и возвращение агента-экстрактора в редакции для Windows

29 декабря, 2022, Oleg Afonin

В преддверии Нового Года мы обновляем iOS Forensic Toolkit, инструмент для низкоуровневого извлечения данных из мобильных устройств Apple. В обновлении добавлена поддержка checkm8 для iOS, iPadOS и tvOS 16.2. В отдельной ветке продукта восстановлена возможность установки агента-экстрактора на мобильные устройства Apple с компьютеров под управлением Windows, в поддержка агента расширена до версии iOS 15.5.

Читать дальше »

Установка агента-экстрактора без учётной записи разработчика

27 декабря, 2022, Oleg Afonin

Для полного извлечения файловой системы из устройств Apple крайне желательно иметь учётную запись разработчика, но с регистрацией в этой программе Apple уже давно существуют проблемы, а проблема с оплатой может стать нерешаемой. Мы разработали решение, позволяющее использовать обычные учётные записи — но только на компьютерах под управлением macOS. Использование учётной записи Apple ID, не принадлежащей разработчику, сопряжено с рисками и ограничениями. В этой статье мы расскажем, как установить агент-экстрактор и верифицировать подпись с обычного Apple ID относительно безопасным образом.

Читать дальше »

Пароли первой очереди: учётные записи Windows, NTLM и DPAPI

16 декабря, 2022, Oleg Afonin

За что браться в первую очередь: пароли к архивам, документам или учётным записям Windows? В этой статье мы расскажем о преимуществах стратегии, в рамках которой приоритет отдаётся именно паролю к учётной записи пользователя для входа в Windows. Спойлер: восстановив один лишь этот пароль, можно получить доступ к десяткам (а иногда — сотням) паролей, которые хранятся в браузере пользователя.

Читать дальше »

Извлечение данных из Apple TV 3, 4 и 4K посредством checkm8: шпаргалка

2 декабря, 2022, Oleg Afonin

В нескольких поколениях Apple TV, основанных на чипах A5, A8 и A10X, присутствует уязвимость загрузчика, позволяющая извлечь из этих устройств данные посредством эксплойта checkm8. Уязвимость присутствует в моделях Apple TV 3 (2012 и 2013), Apple TV HD (ранее известный как Apple TV 4) 2015 и 2021 и Apple TV 4K (2017). В более новых версиях приставки уязвимость загрузчика была исправлена, но для упомянутых выше устройств доступно полноценное извлечение данных, о чём и пойдёт речь в данной статье.

Читать дальше »

Извлечение данных из Apple Watch S3 посредством checkm8: шпаргалка

29 ноября, 2022, Oleg Afonin

Извлечение данных из часов Apple Watch S3 через эксплойт загрузчика checkm8 позволяет получить доступ к цифровым уликам, к которым невозможно подобраться никаким другим способом. В этой публикации мы подробно расскажем о том, как подключить часы Apple Watch S3 к компьютеру, как перевести часы в режим DFU и какие команды в инструментарии iOS Forensic Toolkit 8.0 использовать для доступа к данным.

Читать дальше »