Анализ событий из системной базы SRUM

15 августа, 2025, Oleg Afonin

В Windows существуют такие источники цифровых артефактов, о которых обычные пользователи не имеют представления. Многим известно о существовании журнала событий Windows Event Log, но мало кто знает о существовании другой базы данных, в которой хранятся данные о запущенных приложениях и сетевой активности. Эта база данных носит название SRUM (System Resource Usage Monitor). О её содержимом и о способах добраться до него мы и поговорим в сегодняшней статье.

Читать дальше »

Данные Шредингера

9 ноября, 2021, Oleg Afonin

Как нельзя дважды войти в одну и ту же реку, так и невозможно извлечь две одинаковых копии данных из современных моделей iPhone. Почему так происходит, что с этим можно сделать и как сделать так, чтобы полученные цифровые улики можно было предъявить в суде – в этой статье.

Читать дальше »

Пять способов восстановить удалённые данные с iPhone

4 ноября, 2021, Oleg Afonin

В постоянном стремлении улучшить безопасность своих устройств разработчики Apple постепенно закрывают лазейки, которые несколько лет назад можно было использовать для восстановления удалённых данных. В современных версиях iOS таких лазеек почти не осталось, но всё-таки они есть. В этой статье мы рассмотрим актуальные на сегодняшний день способы восстановления удалённых данных из iPhone.

Читать дальше »

Работа на выезде: создание образов дисков с гарантией аутентичности и неизменности данных

3 ноября, 2021, Oleg Afonin

При работе на выезде определяющим фактором зачастую является время, затраченное на поиск и анализ улик. В то же время важно обеспечить чистоту собранных в процессе анализа данных с правовой точки зрения. При создании образов дисков необходимо обеспечить как неизменность изначальных данных и доказательное соответствие снятого образа оригиналу, так и неизменность самого образа в процессе его хранения и обработки. Новые функции Elcomsoft System Recovery облегчат достижение этих целей.

Читать дальше »

Извлечение данных из iCloud с помощью доверенного устройства

26 октября, 2021, Oleg Afonin

Для извлечения данных из iCloud, как правило, требуется действующий пароль пользователя, а также прохождение проверки двухфакторной аутентификации. Если же всё, что есть на руках — разблокированный iPhone, то шанс узнать пароль от iCloud невелик. Мы разработали новый способ входа в iCloud с использованием доверенного устройства пользователя, позволяющий получить неограниченный доступ ко всему, что хранится в облаке пользователя.

Читать дальше »

Для чего нужна аутентификация по доверенному устройству (без пароля и токена)

26 октября, 2021, Vladimir Katalov

Извлечение одной кнопкой — давняя и несбыточная мечта специалистов, работающих в области мобильной криминалистики. В наши дни не существует универсальных решений. Разнообразие мобильных устройств и повсеместное использование сквозного шифрования требуют использования всё более изощрённых методов для доступа к данным. Мир современной мобильной криминалистики сложен, и действия эксперта будут зависеть от множества факторов. Сегодня мы расскажем о новом способе аутентификации в iCloud, который ранее не использовался в продуктах для облачного анализа.

Читать дальше »

Эволюция шифрования Microsoft Office: от Word 2.0 до Office 2019

8 октября, 2021, Oleg Afonin

Первая версия Microsoft Office вышла 1988 году. За прошедшие годы Microsoft Office превратился из простого текстового редактора в мощный пакет приложений и облачных сервисов с более чем 1,2 миллиардами пользователей, а форматы файлов Microsoft Office стали стандартом де-факто в документообороте. С выходом Word 2.0 в 1991 году в офисных продуктах Microsoft появилось шифрование. Некоторые виды паролей и по сей день можно просто удалить, но расшифровать зашифрованные файлы становится всё сложнее с каждым новым поколением Office. Сегодня мы расскажем о том, как эволюционировала защита данных в продуктах Microsoft Office.

Читать дальше »

Шифрование != хеширование. Как шифруются документы и защищаются пароли

1 октября, 2021, Oleg Afonin

Сколько раз вы видели фразу: «ваш пароль надёжно зашифрован»? Если воспринимать написанное буквально, то получается, что пароль где-то хранится и при необходимости может быть извлечён (расшифрован). Для узкого множества продуктов (например, программ для хранения паролей) это имеет смысл, но для защиты документов, шифрования файлов на диске или защиты учётной записи сохранять пароль в составе файла/документа или на удалённом сервере не только не нужно, но и категорически небезопасно. В этой публикации мы расскажем о различиях между шифрованием и хешированием.

Читать дальше »

Облачная криминалистика: новая реальность?

24 сентября, 2021, Oleg Afonin

Постепенное усиление защиты и применение сквозного шифрования в мобильных устройствах последних поколений опережает развитие технических средств анализа, имеющихся в распоряжении у экспертов-криминалистов. Извлечение микросхем памяти из современного смартфона не принесёт никакой пользы, а разблокировка смартфона последней модели с неизвестным паролем может оказаться принципиально невозможной. Облачная криминалистика предлагает обходной путь для получения доступа к данным, но является ли этот способ панацеей или эксперту предстоит столкнуться с новыми сложностями? Попробуем разобраться.

Читать дальше »

Анализ компьютеров в состоянии сна, гибернации, гибридного сна и «быстрого запуска» Windows 10

23 сентября, 2021, Oleg Afonin

В процессе изъятия и анализа настольных компьютеров последние, как правило, отключаются от сети электропитания. В результате отключения питания может быть утерян доступ к некоторым типам данных — в зависимости от того, в каком состоянии находился компьютер на момент отключения. В этой статье рассматривается разница между состояниями сна, гибридного сна и гибернации, а также штатного выключения системы с активной функцией «быстрого запуска».

Читать дальше »

Аппаратный способ перевода iPhone в режим DFU: когда не работают кнопки

20 сентября, 2021, Elcomsoft R&D

В процессе анализа и извлечения данных из iPhone может потребоваться переключить устройство в режим DFU. Для старых устройств это даёт возможность доступа к данным через эксплойт checkm8. Переключение в режим DFU требует последовательности нажатий клавиш со строгим соблюдением таймингов. Если устройство повреждено и одна или несколько аппаратных кнопок вышли из строя, ввод в DFU может быть затруднён или невозможен. В данном руководстве предлагается альтернативный способ.

Читать дальше »