Анализ событий из системной базы SRUM
15 августа, 2025, Oleg Afonin
В Windows существуют такие источники цифровых артефактов, о которых обычные пользователи не имеют представления. Многим известно о существовании журнала событий Windows Event Log, но мало кто знает о существовании другой базы данных, в которой хранятся данные о запущенных приложениях и сетевой активности. Эта база данных носит название SRUM (System Resource Usage Monitor). О её содержимом и о способах добраться до него мы и поговорим в сегодняшней статье.
iOS Forensic Toolkit 8.0: извлечение через эксплойт загрузчика для 76 устройств Apple
22 сентября, 2022, Oleg Afonin
Бета-тестирование iOS Forensic Toolkit 8.0 завершено: восьмая версия инструментария представлена официально! В новом релизе появилась поддержка криминалистически чистого извлечения данных из нескольких десятков моделей Apple с использованием эксплойта загрузчика checkm8 и добавлена поддержка командной строки.
iOS 16: извлечение файловой системы и связки ключей через эксплойт загрузчика
22 сентября, 2022, Oleg Afonin
Извлечение данных через эксплойт загрузчика — единственный способ получить полный набор данных и точный, повторяемый результат. Этот же способ пока единственный, позволяющий получить полный доступ к информации в устройствах, работающих под управлением iOS 16 — но с такими оговорками, которые делают процесс фактически бесполезным для практического применения. В этой статье мы расскажем о том, для каких устройств Apple доступен этот метод, как и когда его можно использовать и какие есть ограничения.
Ввод в DFU: iPhone 8, 8 Plus и iPhone X
13 сентября, 2022, Oleg Afonin
DFU (Device Firmware Update) — особый сервисный режим работы смартфона, предназначенный для восстановления прошивки устройства в случаях, когда это невозможно сделать штатным способом. С точки зрения мобильной криминалистики DFU используют для извлечения данных через эксплойт загрузчика (Elcomsoft iOS Forensic Toolkit). Режим DFU плохо документирован; не облегчает задачи и то, что существует несколько вариантов DFU, но эксплойт надёжно срабатывает лишь в одном из них. В этой статье мы расскажем, как правильно ввести в режим DFU устройства iPhone 8, 8 Plus и iPhone X.
Низкоуровневый анализ iOS 15.2-15.3.1
25 августа, 2022, Oleg Afonin
В свежей версии инструментария iOS Forensic Toolkit 7.60 появилась поддержка низкоуровневого анализа iOS 15.2-15.3.1 для устройств на процессорах Apple A11-A15 и M1.
Шифрование дисков в Linux: LUKS2, Argon2 и аппаратное ускорение
16 августа, 2022, Oleg Afonin
Шифрование по стандарту LUKS широко используется в Linux. LUKS2 – новая версия стандарта, которая делает шифрование более надёжным и безопасным. Как выяснилось, даже слишком безопасным: скорость перебора паролей к дискам LUKS2, зашифрованным с новыми установками по умолчанию, в несколько сот раз медленнее атак на оригинальную версию LUKS2. Почему так получилось и что с этим можно сделать? Читайте в сегодняшней статье.
LM, NTLM и PIN-коды Windows Hello: сравнение безопасности
16 августа, 2022, Oleg Afonin
В современных версиях Windows используется несколько типов учётных записей, каждый из которых может быть защищён своим неповторимым образом. Сегодня мы сравним безопасность учётных записей, защищённых механизмами LM, NTLM и PIN-кодами Windows Hello (на компьютерах без TPM).
Учётные записи Windows: PIN без TPM — дыра в безопасности
4 августа, 2022, Oleg Afonin
В системных требованиях Windows 11 появилось обязательное наличие в компьютере модуля безопасности TPM, но в Windows 10 этого требования нет. В то же время обязательного шифрования системного раздела настольных компьютерах по-прежнему не наблюдается. Для чего в Windows 11 используется TPM, как именно усилена безопасность и можно ли обойти эти меры в процессе криминалистического исследования компьютера? Об этом — в нашей новой статье.
Новое в Elcomsoft System Recovery: новые фильтры, поддержка LUKS2 и учётных записей Microsoft Azure
4 августа, 2022, Oleg Afonin
В обновлении Elcomsoft System Recovery появилась возможность восстанавливать PIN-коды к учётным записям Windows 10 и Windows 11 на компьютерах, не оборудованных TPM, о чём мы недавно рассказали в нашем блоге. На этом, однако, нововведения не заканчиваются: в обновлении анонсировано несколько интересных и полезных новинок, о которых мы расскажем в этой статье.
checkm8, iPhone 7 и эксплойт SEP: обновлённый механизм низкоуровневого извлечения данных
28 июля, 2022, Vladimir Katalov
Низкоуровневый анализ посредством checkm8 доступен в бета-версиях Elcomsoft iOS Forensic Toolkit для всей линейки устройств Apple, на которых работает эксплойт. В свежем обновлении инструментария мы избавились от подводного камня, нарушавшего криминалистическую чистоту извлечения iPhone 7 и 7 Plus, работающих под управлением iOS 14 и 15.
Рабочая станция для перебора паролей: охлаждение и теплоотвод
15 июля, 2022, Oleg Afonin
В этой статье мы продолжаем тему энергопотребления видеокарт, использующихся для ускорения перебора паролей. На сей раз мы поговорим о выборе компонентов и о том, как организовать охлаждение и теплоотвод в системах, спроектированных для работы в режиме 24х7, а также поговорим о целесообразности использования профессиональных и серверных видеокарт вместо бытовых моделей.
