Проблемы питания в цифровой криминалистике

20 февраля, 2026, Oleg Afonin

Обеспечить правильным питанием как лабораторное оборудование, так и исследуемые устройства — задача нетривиальная. Современная лаборатория — это сложная система, где одновременно работают мощные рабочие станции, портативные мини-ПК, блокираторы записи и вещественные доказательства — устройства, которые нужно исследовать. С учётом того, что оборудование поступает из самых разных регионов — от КНР до Индии включительно, — возникает сильная фрагментация стандартов. Несмотря на попытки унификации вокруг USB Type-C, в сфере питания специализированных устройств порядка до сих пор нет.

Читать дальше »

Немного археологии: работа с устаревшими носителями и интерфейсами

23 января, 2026, Oleg Afonin

Хотя индустрия движется в сторону быстрых NVMe и облачных хранилищ, в практике эксперта-криминалиста регулярно возникают ситуации, когда необходимо извлечь информацию из устройств, которые считаются безнадёжно устаревшими. Это могут быть архивные данные коммерческих структур, старые персональные компьютеры или промышленное оборудование, работающее десятилетиями. Пренебрегать такими носителями нельзя, поскольку именно на старых дискетах или магнитооптических дисках часто обнаруживаются критически важные доказательства, о существовании которых подозреваемый мог давно забыть.

Читать дальше »

Криминалистический анализ данных из веб-браузеров в триаже

16 января, 2026, Oleg Afonin

В современной следственной практике ценность данных, извлечённых из веб-браузеров, трудно переоценить. Об извлечении паролей мы недавно писали, но паролями и даже историей посещений дело не ограничивается. Так, история поисковых запросов помогает установить и доказать умысел, а данные, синхронизированные через облако с мобильных устройств подозреваемого, позволяют получить доступ к его действиям, осуществлённым на других, более защищённых устройствах.

Читать дальше »

Пароли в браузерах: привязка к приложению и анализ авторизованной сессии

14 января, 2026, Oleg Afonin

С момента появления интерфейса защиты данных DPAPI в Windows 2000 методика сбора цифровых доказательств при работе с веб-браузерами оставалась неизменной: изолировать компьютер, создать побитную копию накопителя, извлечь данные и расшифровать, используя пароль от учётной записи. В те времена пароля пользователя Windows было достаточно для расшифровки данных, но сегодня этот подход устарел. С внедрением технологии App-Bound Encryption компании Google и Microsoft закрыли возможность расшифровки данных из браузеров, даже если в распоряжении эксперта есть образ диска, а пароль от учётной записи известен. Для доступа к сохранённым в браузере паролям нужно действовать быстро — и однозначно перед тем, как обесточить компьютер.

Читать дальше »

Облачные файлы в загруженной системе и образе диска

9 января, 2026, Oleg Afonin

Всего несколько лет назад практически всё, что эксперт видел на экране компьютера, можно было найти на пластинах жёсткого диска. Найти, извлечь и внимательно исследовать. Сегодня же ситуация другая. Отключить компьютер, вынуть диски, снять образы… Подход — правильный, но почему, когда компьютер работал, на экране были видны сотни файлов, а в образе диска их нет?  Возможно, дело в частичной синхронизации, или синхронизации «по запросу», а сами файлы спокойно лежат в «облаке» Dropbox или OneDrive. Как добраться до этих данных, не затерев случайно другие улики? Попробуем разобраться.

Читать дальше »

Цифровой триаж — это не только скорость

6 января, 2026, Oleg Afonin

Современные криминалистические лаборатории сталкиваются с кризисом объёмов данных. Когда в ходе обыска изымаются десятки ноутбуков, серверов и накопителей, традиционный подход «снять образ, работать с копией данных» становится узким местом, которое тормозит расследование. Одно из возможных решений — методы цифрового триажа, в процессе которого в автоматическом или полуавтоматическом режиме отбираются наиболее важные для расследования данные, а неважные (как системные файлы или исполняемые файлы приложений) — отбрасываются.

Читать дальше »

Elcomsoft Quick Triage — новый инструмент в арсенале криминалиста

30 декабря, 2025, Oleg Afonin

Линейка криминалистических продуктов нашей компании только что получила новое дополнение. Встречайте Elcomsoft Quick Triage — инструмент для быстрого поиска, отбора и анализа цифровых улик. EQT создан для использования на ранних этапах расследования, когда время ограничено и решения нужно принимать быстро. Новый инструмент не заменяет «тяжёлые» криминалистические платформы; его задача — быстрое выявление, сбор и первичная оценка значимых улик на начальных этапах.

Читать дальше »

2025 год: итоги и планы

30 декабря, 2025, Oleg Afonin

2025 год подходит к концу, а значит, это удобный момент подвести итоги. Для нашей команды этот год прошёл в последовательной работе над продуктами нашей линейки, разработкой новых интересных функций и важных обновлений. Мы провели ряд исследований, в результате которых под конец года выпустили новый продукт — бесплатную утилиту для снятия образов дисков. Иными словами, мы продолжали делать то, что делаем лучше всего — исследовать, оптимизировать и внедрять. В 2025 году мы сделали много интересного; давайте вспомним самые запоминающиеся моменты.

Читать дальше »

Elcomsoft Disk Imager: бесплатный инструмент для снятия образов дисков

12 декабря, 2025, Oleg Afonin

Инструментов для снятия образов дисков существует множество. Зачем нужен ещё один? Мы изучили все популярные и несколько экзотических утилит — и не нашли ни одной идеальной. В результате мы решили разработать собственную — с учётом опыта и на основе длительных исследований различных носителей, аппаратных конфигураций и даже кабелей. Встречайте Elcomsoft Disk Imager — бесплатный инструмент для снятия образов дисков, разработанный с учётом нужд специалистов в области цифровой криминалистики.

Читать дальше »

Ускорению на GPU — восемнадцать

27 ноября, 2025, Oleg Afonin

Ровно восемнадцать лет назад, задолго до того, как термин «аппаратное ускорение на GPU» вошёл в повседневный обиход, а обычные видеокарты стали рассматривать в качестве мощных универсальных вычислителей, одна маленькая, но гордая компания изменила мир. По крайней мере, ту часть мира, в которой взламывают пароли. «А что, если видеокарту как-то приспособить для перебора паролей?» Сказано — сделано.

Читать дальше »

Перебор паролей: как профиль пользователя превращается в словарь

21 ноября, 2025, Oleg Afonin

Подавляющее большинство паролей — особенно таких, которые приходится вводить вручную, — как правило, не случайны. В состав паролей входят имена и фамилии, клички животных, части памятных дат, цифры из телефонных номеров и другие данные, которые можно охарактеризовать словом «персональные». В ряде случаев всё, что есть у специалиста — это зашифрованный диск или файл. Однако в реальной практике бывает доступен и профиль подозреваемого — набор данных, который, если его правильно обработать, превращается в структурированный инструмент для построения целевых атак.

Читать дальше »