Анализ событий из системной базы SRUM
15 августа, 2025, Oleg Afonin
В Windows существуют такие источники цифровых артефактов, о которых обычные пользователи не имеют представления. Многим известно о существовании журнала событий Windows Event Log, но мало кто знает о существовании другой базы данных, в которой хранятся данные о запущенных приложениях и сетевой активности. Эта база данных носит название SRUM (System Resource Usage Monitor). О её содержимом и о способах добраться до него мы и поговорим в сегодняшней статье.
Черепичная запись SMR в накопителях WD и Seagate
1 июля, 2020, Oleg Afonin
До недавнего времени черепичная запись Shingled Magnetic Recording (SMR) использовалась в недорогих моделях жёстких дисков Seagate, а также во всех моделях компании типоразмера 2.5”. Такие диски заслуженно получили репутацию медленных, с нестабильной скоростью записи и случайного доступа. Второй производитель жёстких дисков, Western Digital, долгое время оставался в стороне, продолжая выпускать накопители, использующие конвенционный способ записи CMR. Многие пользователи основывали свой выбор накопителя, исходя именно из этого критерия.
iOS, watchOS и tvOS: сравнение методов извлечения данных
18 июня, 2020, Vladimir Katalov
Какие существуют способы для извлечения максимально подробных данных из устройств iPhone, iPad, Apple TV и Apple Watch, и каким из множества способов стоит воспользоваться? Ответ на этот вопрос — многомерная матрица со множеством сносок и отступлений. О них мы и поговорим в этой статье.
Извлечение и анализ данных Apple Watch
12 июня, 2020, Oleg Afonin
Apple Watch – одна из самых популярных марок «умных» часов в мире. Последняя версия часов оснащена полным набором датчиков и процессором, мощность которого превосходит бюджетные (и даже не очень бюджетные) модели смартфонов. При помощи часов собираются огромные массивы данных. Что происходит с этими данными, где они хранятся и как их извлечь? Попробуем разобраться.
О чём не пишут в обзорах: подводные камни в NAS от Synology, QNAP и Asustor
5 июня, 2020, Oleg Afonin
В рамках исследований безопасности и методов шифрования, которые используются в сетевых хранилищах известных производителей, в нашей лаборатории скопилось около полутора десятков моделей устройств. Поработав с каждым в течение достаточно длительного времени, мы обнаружили, что маркетинг часто идёт вразрез с реальностью, а обзоры все как один умалчивают о важных проблемах, которые делают невозможным использование устройства по предполагаемому назначению. Об этих проблемах и ограничениях в NAS трёх крупнейших производителей мы сегодня и поговорим.
unc0ver против checkra1n: королевская битва
3 июня, 2020, Oleg Afonin
Одной из основных задач расследований, связанных с мобильными устройствами, является извлечение максимально полного набора данных. В случае, если мобильное устройство — iPhone, для низкоуровневого доступа к файлам и для расшифровки Связки ключей, в которой хранятся все пароли пользователя, может потребоваться установка джейлбрейка. Несмотря на то, что существуют надёжные методы сбора данных, которые работают без джейлбрейка, эти методы могут быть недоступны в зависимости от ряда факторов, что возвращает нас к вопросу о джейлбрейках. Сегодня мы рассмотрим два самых популярных и самых надёжных в работе джейлбрейка — checkra1n и unc0ver. Чем они отличаются и в каких ситуациях какой из них стоит использовать? Попробуем разобраться.
Извлечение данных из облака Google без пароля
15 мая, 2020, Oleg Afonin
Извлечение данных через облако — один из из наиболее распространённых способов получения улик. Важно понимать, что анализ данных, собранных компанией Google в собственном облаке, способен предоставить значительно более полные данные по сравнению с самым низкоуровневым анализом единственного телефона с Android. Сегодня мы поговорим об одной из особенностей облачного анализа: возможности извлекать данные пользователя, хранящиеся в учётной записи Google, без его логина и пароля.
Apple против полиции: как менялась защита данных в iOS 4 — 13.5
14 мая, 2020, Oleg Afonin
Современный смартфон — бесценный кладезь информации с одной стороны и вполне реальная угроза приватности с другой. Смартфон знает о пользователе столько, сколько не знает ни один человек — начиная с подробной истории местоположения и общения в интернете и заканчивая кругом общения в реальной жизни, который определяется распознаванием лиц встроенными технологиями искусственного интеллекта. Чем больше и чем разнообразнее становится информация, собираемая о пользователе, тем в большей степени её требуется защищать. Задача же правоохранительных органов прямо противоположна: улики требуется из устройства извлечь. Возникает конфликт интересов.
Извлечение данных из устройств iOS: что под капотом?
12 мая, 2020, Oleg Afonin
Только что вышла свежая сборка iOS Forensic Toolkit. Для пользователя — эксперта-криминалиста, — изменения почти незаметны; внутри продукта, однако, изменилось многое. В этой статье мы расскажем о том, как работает один из самых интересных продуктов нашей компании, что изменилось в последней сборке и как это повлияет на процесс извлечения данных.
Извлечение и анализ данных Личного кабинета Google
12 мая, 2020, Oleg Afonin
В новой версии Elcomsoft Cloud Explorer появилась поддержка такого интересного сервиса, как Личный кабинет Google. Личный кабинет Google отличается тем, что информация из него не попадает в скачанные с сайта Google данные. Получить доступ к Личному кабинету можно либо через веб-сайт компании, либо, если требуется офлайновый анализ, посредством Elcomsoft Cloud Explorer. В этой статье мы расскажем о сервисе Личный кабинет Google и о том, как данные из него можно извлечь и проанализировать.
Доступ к учётным записям Windows с загрузочного накопителя
11 мая, 2020, Oleg Afonin
Как получить доступ к файлам из учётной записи компьютера при проведении расследования или в случаях, когда сотрудник уволен? Ответ на этот вопрос очевиден далеко не всегда. Сброс пароля средствами Active Directory поможет войти в учётную запись, но не поможет получить доступ к данным, защищённым средствами DPAPI (например, сохранённым паролям пользователя). Кроме того, будет потерян доступ к файлам, зашифрованным средствами EFS. В этой статье мы расскажем об одной из возможностей получения доступа к учётным записям Windows посредством создания загрузочного USB-накопителя.
