Анализ событий из системной базы SRUM
15 августа, 2025, Oleg Afonin
В Windows существуют такие источники цифровых артефактов, о которых обычные пользователи не имеют представления. Многим известно о существовании журнала событий Windows Event Log, но мало кто знает о существовании другой базы данных, в которой хранятся данные о запущенных приложениях и сетевой активности. Эта база данных носит название SRUM (System Resource Usage Monitor). О её содержимом и о способах добраться до него мы и поговорим в сегодняшней статье.
Анализ данных и мгновенное извлечение паролей из мессенджеров
24 августа, 2021, Oleg Afonin
iMessage, Hangouts, Skype, Telegram, Signal, WhatsApp — эти приложения для мгновенного обмена сообщения постоянно на слуху. Проблема с безопасностью в любом из этих приложений немедленно попадает в новостные ленты, а возможность мгновенно извлечь оригинальный пароль — проблема из разряда серьёзнейших. Неудивительно, что пароль от учётной записи из этих приложений извлечь нельзя — по крайней мере, не из самого приложения и не из сохраняемых им на компьютере данных. Но есть и другие, менее распространённые программы. alTalk, Pigin, Psi Jabber client, Gadu-Gadu, Gajim, Trillian, BigAnt и Brosix — все их объединяет халатное отношение к безопасности, позволяющее извлечь и расшифровать оригинальный пароль от соответствующей учётной записи. Что для этого нужно и как это сделать — тема сегодняшней статьи.
Адаптеры для извлечения данных из Apple Watch
19 августа, 2021, Vladimir Katalov
Как добраться до информации в Apple Watch? Существует несколько окольных способов доступа к ограниченному набору данных, но если вы хотите извлечь информацию напрямую из часов — вам потребуется адаптер для подключения к компьютеру. Для подключения к компьютеру нужен специальный адаптер, которых, в свою очередь, существует несколько типов. О разных типах адаптеров и о том, чем они отличаются между собой, мы и расскажем в этой статье.
TrueNAS: методы шифрования
18 августа, 2021, Oleg Afonin
В сетевых хранилищах известных производителей, как правило, доступны те или иные способы шифрования. Synology, Asustor, TerraMaster отдают предпочтение шифрованию на уровне папок, в то время как QNAP, Thecus, а также Asustor при использовании функции MyAcrhive используют вариант полнодискового шифрования. Подробно об этом можно почитать в нашем сравнении методов защиты данных у крупных коммерческих производителей NAS. Сегодня же мы рассмотрим способы шифрования, использующиеся в одной из самых распространённых систем для организации сетевого хранилища от домашнего до корпоративного уровня — TrueNAS разработки американской компании iXSystems.
Анализ iOS 15: временные резервные копии в iCloud
13 августа, 2021, Oleg Afonin
С выходом новой операционной системы iOS 15 у пользователей появился ряд новых возможностей, с полным списком которых можно ознакомиться по ссылке. С точки зрения криминалистического анализа интерес представляет возможность создания и хранения в облаке iCloud временных резервных копий, предназначенных для переноса данных на новый iPhone. На такие резервные копии не распространяются квоты на дисковое пространство, но срок их жизни ограничен. Тем не менее, такие резервные копии являются ценным источником данных при извлечении данных из облака.
Восстановление паролей к архивам: форматы ZIP, RAR5 и 7Zip
10 августа, 2021, Oleg Afonin
Не так давно в продукте для восстановления паролей к зашифрованным архивам Elcomsoft Advanced Archive Password Recovery появилась поддержка форматов RAR5 и 7Zip, для которых стали доступны многопоточные атаки по словарю. В чём уникальность этих форматов, чем отличается новый формат RAR5 от «классических» архивов RAR, есть ли смысл шифровать ZIP-архивы и какой формат наиболее безопасен? Попробуем разобраться.
Анализ данных из учётных записей Microsoft: Timeline, OneDrive и Personal Vault
9 августа, 2021, Oleg Afonin
Elcomsoft Phone Breaker чаще всего упоминается в контексте извлечения информации из Apple iCloud и расшифровки резервных копий iTunes. Возможности продукта, однако, не ограничиваются платформой Apple. Продукт позволяет извлекать информацию из учётных записей Microsoft, включая такие данные, как активности пользователя на локальном компьютере (за это отвечает синхронизация Timeline), переписку в Skype и файлы из OneDrive. Не так давно мы добавили извлечение данных из защищённого хранилища Microsoft Personal Vault. О том, что это такое и как работает — в этой статье.
Иллюзия безопасности: платные сервисы VPN, прокси и Apple Private Relay
6 августа, 2021, Oleg Afonin
Как защитить трафик от подглядывания, как избежать слежки со стороны интернет-провайдера и как не стать жертвой анализа «big data»? В предыдущей статье мы рассказали о бесплатных способах защиты и поговорили об их эффективности. Во второй части мы рассмотрим сервисы, за которые нужно платить: VPN, прокси-серверы, а также анонсированный в iOS 15 механизм Private Relay.
Иллюзия безопасности: бесплатные сервисы защиты DNS, маскировка IP от Apple и браузер Tor
5 августа, 2021, Oleg Afonin
Средств защиты трафика от слежки со стороны провайдеров интернета, владельцев сайтов, а также встроенных в приложения рекламных SDK существует множество. Защищённые узлы DNS, многочисленные провайдеры VPN, прокси-серверы, а также средства безопасности, анонсированные в 15-й версии мобильной операционной системы iOS, предоставляют желающим защитить свою частную жизнь от подглядывания широкий выбор. Насколько действительно безопасны популярные решения, какими из них стоит воспользоваться и от чего конкретно способны защитить те или иные инструменты? Сегодня мы рассмотрим те сервисы, за которые не нужно платить: шифрование DNS, маскировку IP-адреса в iOS 15 и защиту, предоставляемую браузером Tor. О платных и бесплатных сервисах VPN, прокси-серверах и новой услуге Apple Private Relay мы поговорим в следующей статье.
Использование checkm8 для доступа к данным
19 мая, 2021, Oleg Afonin
В бета-версии Elcomsoft iOS Forensic Toolkit 8.0 для компьютеров Mac появилась поддержка эксплойта загрузчика checkm8. Использование checkm8 сделало возможным проведение низкоуровневого анализа для ряда устройств Apple с извлечением образа файловой системы и расшифровкой связки ключей. Что такое checkm8, в чём отличия от checkra1n и чем наш метод отличается от аналогов — в этой статье.
Извлечение данных из iPhone с использованием checkm8: руководство
19 мая, 2021, Vladimir Katalov
Не так давно в iOS Forensic Toolkit для macOS появилась поддержка эксплойта загрузчика checkm8. В новой версии инструментария был добавлен новый режим анализа, позволяющий извлечь образ файловой системы и расшифровать Связку ключей из моделей iPhone 5s, iPhone 6, 6 Plus, 6s, 6s Plus и iPhone SE первого поколения, работающих под управлением любых версий iOS за исключением iOS 7.x. В этой статье подробно описано использование метода извлечения на основе checkm8.
