Криминалистический анализ реестра Windows
13 февраля, 2026, Oleg Afonin
Реестр Windows остаётся одним из важнейших для расследования источников информации. Анализ ключей и значений реестра позволяет реконструировать системную активность и поведение пользователя. Реестр содержит информацию о запущенных программах, доступе к данным и подключении внешних устройств. Без автоматизированных криминалистических инструментов исследование реестра малоэффективно, но даже с их использованием интерпретация результатов всегда остаётся задачей эксперта.
Иллюзия безопасности: платные сервисы VPN, прокси и Apple Private Relay
6 августа, 2021, Oleg Afonin
Как защитить трафик от подглядывания, как избежать слежки со стороны интернет-провайдера и как не стать жертвой анализа «big data»? В предыдущей статье мы рассказали о бесплатных способах защиты и поговорили об их эффективности. Во второй части мы рассмотрим сервисы, за которые нужно платить: VPN, прокси-серверы, а также анонсированный в iOS 15 механизм Private Relay.
Иллюзия безопасности: бесплатные сервисы защиты DNS, маскировка IP от Apple и браузер Tor
5 августа, 2021, Oleg Afonin
Средств защиты трафика от слежки со стороны провайдеров интернета, владельцев сайтов, а также встроенных в приложения рекламных SDK существует множество. Защищённые узлы DNS, многочисленные провайдеры VPN, прокси-серверы, а также средства безопасности, анонсированные в 15-й версии мобильной операционной системы iOS, предоставляют желающим защитить свою частную жизнь от подглядывания широкий выбор. Насколько действительно безопасны популярные решения, какими из них стоит воспользоваться и от чего конкретно способны защитить те или иные инструменты? Сегодня мы рассмотрим те сервисы, за которые не нужно платить: шифрование DNS, маскировку IP-адреса в iOS 15 и защиту, предоставляемую браузером Tor. О платных и бесплатных сервисах VPN, прокси-серверах и новой услуге Apple Private Relay мы поговорим в следующей статье.
Использование checkm8 для доступа к данным
19 мая, 2021, Oleg Afonin
В бета-версии Elcomsoft iOS Forensic Toolkit 8.0 для компьютеров Mac появилась поддержка эксплойта загрузчика checkm8. Использование checkm8 сделало возможным проведение низкоуровневого анализа для ряда устройств Apple с извлечением образа файловой системы и расшифровкой связки ключей. Что такое checkm8, в чём отличия от checkra1n и чем наш метод отличается от аналогов — в этой статье.
Извлечение данных из iPhone с использованием checkm8: руководство
19 мая, 2021, Vladimir Katalov
Не так давно в iOS Forensic Toolkit для macOS появилась поддержка эксплойта загрузчика checkm8. В новой версии инструментария был добавлен новый режим анализа, позволяющий извлечь образ файловой системы и расшифровать Связку ключей из моделей iPhone 5s, iPhone 6, 6 Plus, 6s, 6s Plus и iPhone SE первого поколения, работающих под управлением любых версий iOS за исключением iOS 7.x. В этой статье подробно описано использование метода извлечения на основе checkm8.
Криминалистический анализ iCloud: типы данных, защита и способы извлечения
21 апреля, 2021, Oleg Afonin
Мы продолжаем серию публикаций по облачной криминалистике. В этой статье рассказывается о типах данных, доступных в облаке iCloud, и о том, как Apple хранит и защищает эти данные. Опишем способы, инструменты и требования для доступа к этим данным. Рекомендуем также ознакомиться с содержимым предыдущей статьи, в которой изложены основы облачной криминалистики.
Криминалистический анализ iCloud: цели, способы и ответы на вопросы
19 апреля, 2021, Oleg Afonin
Эта статья открывает серию публикаций по облачной криминалистике. В статьях мы расскажем о том, какие цели преследует экспертный анализ «облачных» данных и какие возможности открывает такой анализ по сравнению с исследованием физических устройств; опишем типы данных, доступных в облаке, способы их хранения и защиты, а также методы доступа к этим данным. Эта публикация — обзорная; в ней будут изложены основы облачной криминалистики. В следующей статье серии рассказsывается о типах данных в iCloud, методах их защиты и способах извлечения.
Криминалистический анализ iPhone 12 и устройств под управлением iOS 14
18 марта, 2021, Oleg Afonin
В последнем обновлении инструментария iOS Forensic Toolkit 7.0 мы добавили поддержку устройств последнего поколения iPhone 12, а также других устройств, работающих под управлением версий iOS 14.0 – 14.3. Метод извлечения собственной разработки, основанный на использовании агента-экстрактора, имеет ряд преимуществ по сравнению с альтернативами.
Режим восстановления iPhone: как узнать версию iOS
18 февраля, 2021, Oleg Afonin
Роль режима восстановления iPhone в мобильной криминалистике невелика, однако даже относительно небольшой объём информации, доступной в этом режиме, может иметь важное значение, если никакие другие способы анализа недоступны. Режим восстановления — один из немногих способов, позволяющих узнать достаточно информации об устройстве для составления официального запроса устройство в Apple, если устройство повреждено, заблокировано или отключено после десяти неудачных попыток разблокировки. Режим восстановления — один из немногих способов, доступных для устройств в режиме ограничения USB.
Защита данных в сетевых хранилищах: сравнение Synology, ASUSTOR, QNAP, TerraMaster и Thecus
3 февраля, 2021, Oleg Afonin
Изучением способов защиты данных, предоставляемых производителями сетевых хранилищ, мы занимаемся больше года. Первыми мы исследовали устройства Synology, обнаружив недокументированную уязвимость в способе хранения ключей; затем последовали Asustor, TerraMaster, Thecus и, наконец, Qnap. Производители демонстрируют совершенно разные подходы к защите данных, с разными ограничениями, уязвимостями и сильными сторонами. Сетевому хранилищу какой марки можно доверить хранение конфиденциальных данных? Сегодня мы публикуем сводные результаты нашего анализа.
Физический анализ iPhone 4, iPhone 5 и iPhone 5c: пошаговые инструкции
2 февраля, 2021, Oleg Afonin
Разблокировка и физический анализ iPhone вновь стали доступны — но лишь для ограниченного набора устройств. Для моделей iPhone 4, 5 и 5c можно подобрать код блокировки экрана, снять и расшифровать образ раздела данных и получить полный доступ к связке ключей исключительно программным способом. В этом руководстве описаны шаги, необходимые для создания и расшифровки образа данных iPhone 4, iPhone 5 и iPhone 5c.
