Анализ событий из системной базы SRUM
15 августа, 2025, Oleg Afonin
В Windows существуют такие источники цифровых артефактов, о которых обычные пользователи не имеют представления. Многим известно о существовании журнала событий Windows Event Log, но мало кто знает о существовании другой базы данных, в которой хранятся данные о запущенных приложениях и сетевой активности. Эта база данных носит название SRUM (System Resource Usage Monitor). О её содержимом и о способах добраться до него мы и поговорим в сегодняшней статье.
Перевод iPhone в режим DFU
15 января, 2021, Oleg Afonin
Режим обновления прошивки Device Firmware Upgrade (DFU) был разработан Apple для обновления или исправления прошивки устройства, даже если оригинальная прошивка была повреждена. С недавнего времени этот режим получил второе дыхание: для ряда моделей iPhone были разработаны способы извлечения файловой системы, а для старых устройств — и взлома кода блокировки, работающие именно через режим DFU. В то же время режим DFU не документирован, а способы попасть в него отличаются сложностью и разнообразием. В этой статье собрана актуальная на январь 2020 года информация обо всех известных нам способах перевода iPhone разных моделей в режим DFU.
Модули TPM: что нужно знать эксперту-криминалисту
5 января, 2021, Andrey Malyshev
Исследование компьютера, системный накопитель которого зашифрован посредством BitLocker, может оказаться намного сложнее, если ключ шифрования основан не на установленном пользователем пароле, а на данных, которые защищены аппаратным модулем TPM. В этом исследовании рассказывается об особенностях защиты ключей в TPM и возможных способах обхода этой защиты.
Резервные копии iPhone: пароли по умолчанию
21 декабря, 2020, Vladimir Katalov
При использовании криминалистических инструментов для логического анализа iPhone рекомендуется создавать резервные копии с паролем. Парадоксально, но факт: в таких резервных копиях доступен существенно больший объём информации по сравнению с резервными копиями без пароля. Разработчикам криминалистических программ этот факт известен, и в процессе создания резервной копии используется временный пароль. О том, для чего нужен пароль в процессе логического анализа и какие именно пароли по умолчанию устанавливают различные криминалистические пакеты — в этой статье.
МойОфис — продукт с поддержкой российских криптоалгоритмов
17 декабря, 2020, Vladimir Katalov
МойОфис – полноценный набор офисных приложений для работы с электронными документами. По утверждению разработчиков, продукты из набора поддерживают российские криптоалгоритмы. Продукт получил сертификаты соответствия ФСТЭК и ФСБ. Насколько действительно безопасны алгоритмы шифрования МойОфис, и можно ли их взломать? Попробуем разобраться.
Защита персональной информации в iOS 14.3
16 декабря, 2020, Oleg Afonin
В iOS 14 произошли серьёзные изменения, касающиеся защиты персональной информации пользователей. Эти изменения укладываются в общую тенденцию по защите приватности. В то же время часть изменений, анонсированных в первых сборках iOS 14, появилась лишь в недавно вышедшей iOS 14.3, а некоторые не были реализованы до сих пор. В этой статье мы рассмотрим самые важные изменения, произошедшие в iOS 14.0 – 14.3 в области защиты персональных данных.
Сброс пароля Экранного времени в iOS
15 декабря, 2020, Vladimir Katalov
Пароль Экранного времени позволяет установить дополнительный барьер, который поможет предотвратить попытки неавторизованного сброса кода блокировки экрана или пароля шифрования резервных копий iTunes. Долгое время удаление пароля Экранного времени было невозможно без ввода исходного пароля или сброса устройства. Однако разработчики Apple изменили способ работы этого слоя защиты, и теперь пароль Экранного времени можно сбросить точно так же, как и многие другие пароли в iOS.
Удаление кода блокировки с iPhone: подводные камни и проблемы
9 декабря, 2020, Vladimir Katalov
В процессе анализа устройств под управлением iOS иногда возникает необходимость удалить код блокировки экрана, который может помешать установке джейлбрейка. Удаление кода блокировки — процедура простая и отработанная, но на некоторых устройствах сбросить код блокировки не удаётся, даже если вы точно знаете актуальный пароль. В таких случаях для успешного сброса пароля потребуется несколько нестандартных операций.
Анализ iPhone без джейлбрейка: iOS 9.0-13.7
3 декабря, 2020, Oleg Afonin
В свежей версии Elcomsoft iOS Forensic Toolkit извлечение без джейбрейка стало доступно для большинства устройств iPhone и iPad под управлением всех версий iOS с 9.0 по 13.7 включительно. Для всего ряда устройств, работающих под управлением iOS версий от 9.0 до 13.7 включительно доступно как извлечение полного образа файловой системы, так и расшифровка Связки ключей. В этой статье — пошаговые инструкции, особенности использования и способы решения проблем, которые могут возникнуть при анализе устройств iOS.
Анализ iPhone: так ли нужен джейлбрейк?
27 ноября, 2020, Oleg Afonin
При анализе iPhone и других устройств под управлением вариаций iOS используется несколько способов извлечения данных. Образ файловой системы — наиболее полный из них. Однако для извлечения файловой системы нужно получить низкоуровневый доступ к устройству, который чаще всего реализуется установкой джейлбрейка. В то же время использование джейлбрейка не всегда допустимо и может быть рискованным. Есть ли причины использовать джейлбрейк для извлечения данных с устройств Apple, и какие существуют альтернативы?
Elcomsoft System Recovery: загрузочный накопитель для исследования компьютеров
26 ноября, 2020, Oleg Afonin
Исследование заблокированного компьютера — задача нетривиальная. Традиционный подход с извлечением дисков и исследованием образа пасует перед зашифрованными дисками и виртуальными машинами. С его помощью трудно или невозможно получить доступ к зашифрованным файлам и паролям пользователя. В этой статье мы предлагаем альтернативный способ исследования компьютеров на выезде, который поможет сэкономить время и получить доступ к данным, недоступным при использовании традиционного подхода.
