Типы учётных записей Windows и восстановление паролей

23 апреля, 2026, Oleg Afonin

Раньше получить доступ к системе Windows было несложно: достаточно было лишь извлечь хэши NT из локальной базы данных и запустить атаку, которая на данных NTLM работала очень быстро. В последние годы Microsoft всё дальше отходит от традиционных механизмов аутентификации, используя более стойкие альтернативы. Microsoft активно отучает пользователей от локальных учётных записей, продвигая облачные идентификаторы (например, учётные записи Microsoft для частных лиц) и модели безопасности, завязанные на аппаратные средства защиты (например, вход через Windows Hello).

Читать дальше »

Анализ папки C:\Users

12 марта, 2026, Oleg Afonin

Эта статья завершает нашу серию об артефактах Windows и их значении для криминалистики. В предыдущих публикациях мы рассмотрели системные артефакты: журналы событий Windows, реестр Windows, файловые артефакты в папках C:\Windows и C:\ProgramData. Без них не восстановить общую картину: запуск и завершение работы системы, активность служб, установку программ, механизмы закрепления и признаки компрометации на уровне машины. Однако системные артефакты показывают события, но не всегда указывают, кто за ними стоит. Сегодня мы рассмотрим артефакты, связанные с действиями конкретного пользователя.

Читать дальше »

Исследование содержимого C:\ProgramData

5 марта, 2026, Oleg Afonin

Мы продолжаем цикл статей об исследовании артефактов в компьютерах с ОС Windows. Сегодня мы разберём содержимое папки %ProgramData% (как правило, C:\ProgramData) — здесь расположены данные приложений и системных служб, относящиеся к системе в целом. Анализ этой директории помогает восстановить историю использования компьютера и работу встроенного антивируса, отследить факты передачи файлов и установки приложений, а также получить дополнительные подтверждения цифровых доказательств, найденных в других источниках.

Читать дальше »

Блокираторы записи: от жёстких дисков к современным стандартам

4 марта, 2026, Vladimir Katalov

Аппаратные блокираторы записи — базовый инструмент любого специалиста по цифровой криминалистике. Блокираторов — великое множество, как от именитых производителей, так и от безымянных китайских продавцов, со всеми промежуточными остановками. Отметилась и наша компания: в нашем портфолио — целый набор блокираторов записи, которые мы, конечно же, считаем лучшими в мире. Насколько мы объективны в своей оценке — вопрос открытый; сегодня же мы рассмотрим, как эволюционировал рынок такого оборудования, что сегодня предлагают производители из разных регионов мира, и проведём несколько тестов. Мы не станем зацикливаться на мегабайтах в секунду, а посмотрим на блокираторы глазами практика, оценив эргономику, стандарты питания и то, как старые инженерные подходы разбиваются о реалии современных накопителей.

Читать дальше »

Файловые артефакты в C:\Windows

4 марта, 2026, Oleg Afonin

Мы продолжаем цикл статей, посвящённых исследованию цифровых следов в компьютерах с ОС Windows. Если вы следите за нашими публикациями, наверняка заметили: с каждой новой темой анализ становится всё сложнее, ведь взятые по отдельности артефакты не дают всей картины. Современная криминалистика во многом опирается на сопоставление данных из разных источников. Собирая и сопоставляя данные из разных источников, специалисты восстанавливают целостную картину происшествия и формируют надёжную доказательную базу.

Читать дальше »

Поиск и анализ следов подключения USB-накопителей при расследовании утечек данных

26 февраля, 2026, Oleg Afonin

Не секрет, что внешние накопители — от обычных USB-флешек до ёмких жёстких дисков и смартфонов — нередко становятся каналом утечек данных и распространения шифровальщиков. Специалистам по цифровой криминалистике часто нужно восстановить точную хронологию: когда USB-устройство подключили, какие действия выполняли и когда его отключили. И в поиске первоисточника заражения сети, и при расследовании кражи данных уволенным сотрудником ответы нередко лежат в истории использования внешних носителей.

Читать дальше »

Проблемы питания в цифровой криминалистике

20 февраля, 2026, Oleg Afonin

Обеспечить правильным питанием как лабораторное оборудование, так и исследуемые устройства — задача нетривиальная. Современная лаборатория — это сложная система, где одновременно работают мощные рабочие станции, портативные мини-ПК, блокираторы записи и вещественные доказательства — устройства, которые нужно исследовать. С учётом того, что оборудование поступает из самых разных регионов — от КНР до Индии включительно, — возникает сильная фрагментация стандартов. Несмотря на попытки унификации вокруг USB Type-C, в сфере питания специализированных устройств порядка до сих пор нет.

Читать дальше »

Криминалистический анализ журнала событий Windows Event Log

18 февраля, 2026, Oleg Afonin

Цифровая криминалистика опирается на разнообразные артефакты — следы, которые оставляют как рядовые пользователи, так и злоумышленники. Журналы событий Windows (Windows Event Logs) выступают главной хронологической летописью работы операционной системы. Они фиксируют события безопасности, поведение приложений, активность служб и драйверов, а также данные о входе пользователей, включении и выключении компьютера. Поскольку Windows 10 и 11 генерируют огромный объем фоновых событий, поиск криминалистически значимых артефактов требует как специального ПО, так и навыков и чёткого понимания архитектуры и механизмов журналирования.

Читать дальше »

Perfect Acquisition — разблокировка и извлечение на физическом уровне

13 февраля, 2026, Vladimir Katalov

Эксплойт checkm8, появившийся несколько лет назад, произвёл переворот в мобильной криминалистике. Впервые специалисты получили верифицируемый доступ к файловой системе множества устройств Apple. В индустрии использование эксплойта загрузчика быстро стало стандартом низкоуровневого извлечения. На выходе получался архив tar с копией файловой системы устройства. Это удобно — с tar умеют работать почти все инструменты; но у этого метода есть недостатки. tar — довольно старый «ленточный» формат, разработанный задолго до появления современных файловых систем с их метаданными и разрежёнными файлами. Мы разработали более совершенный метод, который извлекает из устройства не копию файловой системы, а точный образ диска.

Читать дальше »

Криминалистический анализ реестра Windows

13 февраля, 2026, Oleg Afonin

Реестр Windows остаётся одним из важнейших для расследования источников информации. Анализ ключей и значений реестра позволяет реконструировать системную активность и поведение пользователя. Реестр содержит информацию о запущенных программах, доступе к данным и подключении внешних устройств. Без автоматизированных криминалистических инструментов исследование реестра малоэффективно, но даже с их использованием интерпретация результатов всегда остаётся задачей эксперта.

Читать дальше »

Perfect Acquisition: физическое извлечение и взлом кода блокировки для iPhone 6 и устройств на A8/A8X

11 февраля, 2026, Oleg Afonin

Perfect Acquisition — самый надёжный метод извлечения данных с устройств на iOS из всех, разработанных нашей компанией. Этот способ соответствует всем требованиям цифровой криминалистики: результат полностью повторяем, а при его использовании не изменяется ни один бит файловой системы. Если устройство поддерживает Perfect Acqsuition, то применять нужно именно этот метод — и только его. В данной статье описан весь процесс — от получения дампа данных до расшифровки и монтирования образа для анализа.

Читать дальше »