Криминалистический анализ реестра Windows
13 февраля, 2026, Oleg Afonin
Реестр Windows остаётся одним из важнейших для расследования источников информации. Анализ ключей и значений реестра позволяет реконструировать системную активность и поведение пользователя. Реестр содержит информацию о запущенных программах, доступе к данным и подключении внешних устройств. Без автоматизированных криминалистических инструментов исследование реестра малоэффективно, но даже с их использованием интерпретация результатов всегда остаётся задачей эксперта.
Не будь как Лувр: искусство слабых паролей и устаревшего ПО
10 ноября, 2025, Oleg Afonin
В октябре 2025 случилось ограбление — самое масштабное ограбление Лувра за всё время его существования. Опустим подробности и обратим внимание на следующую деталь: расследование показало, что некоторые сегменты сети видеонаблюдения были защищены паролем «Лувр» (точнее, разумеется, «Louvre»), а часть системы безопасности была построена на ОС Windows Server 2003 и столь же устаревшем ПО для управления видеокамерами. Это — далеко не первый случай, когда простые пароли и устаревший софт помогают преступникам.
iPadOS, tvOS и audioOS 17 и 18: извлечение на низком уровне
6 ноября, 2025, Oleg Afonin
В недавнем обновлении iOS Forensic Toolkit мы добавили поддержку новых-старых версий ОС от Apple, работающих на ряде моделей с чипами, в которых существует уязвимость загрузчика checkm8. В список не вошёл ни один iPhone — просто потому, что Apple давно прекратил поддержку старых iPhone в новых версиях iOS. А вот старые iPad, Apple TV и HomePod получили и продолжают получать обновления. Об этом и о том, как извлечь данные из этих устройств — в сегодняшней статье.
Цифровые улики: где заканчиваются доказательства и начинается беспредел
23 октября, 2025, Oleg Afonin
Когда алгоритм объявляет цифровую улику «подделкой», человеческие аргументы теряют вес. Исход дела может зависеть от непрозрачного «чёрного ящика», решение которого сложно — а порой невозможно — оспорить. Поддельные цифровые улики могут использоваться и стороной обвинения: их подбрасывают, ими давят на подозреваемого, ими формируют нужное впечатление. Где проходит грань между естественными реалиями цифрового мира и последствиями архаичных процедурных норм, не поспевающих за технологическим прогрессом?
Не все USB кабели одинаково полезны
16 октября, 2025, Elcomsoft R&D
Как мы уже писали в предыдущей статье Образы дисков: как порты, хабы и питание влияют на скорость), лучше всего подключать внешние устройства с выходом USB-C к портам USB-C на компьютере, причём таким, которые могут работать с 10-гигабитными скоростями. Но что, если у вас нет свободного порта USB-C или компьютер и вовсе ими не оборудован? Приходится пользоваться тем, что есть, подключая устройства к портам USB-A. Казалось бы, в чём проблема? Взять любой кабель USB-C / USB-A, подключил — работает! Как бы не так.
Образы дисков: как порты, хабы и питание влияют на скорость
14 октября, 2025, Elcomsoft R&D
В прошлом году мы начали тестировать скорость снятия образов со скоростных носителей — таких, как быстрые накопители NVMe. На тот момент нас интересовали в основном программы; мы проверили работу нескольких популярных приложений для снятия образов и выявили победителей и отстающих. Сегодня же нас интересует другая сторона вопроса: какое влияние оказывают на скорость снятия образа порты USB, хабы и питание.
Извлечение журналов событий: Apple Unified Logs и логи sysdiagnose
13 октября, 2025, Elcomsoft R&D
В статье Журналы событий: как извлечь и чем анализировать логи Apple мы подробно рассказали о том, какие системные журналы бывают в устройствах Apple, как создаются и извлекаются sysdiagnose и чем они отличаются от унифицированных логов Unified Logs. Сегодня мы поговорим о том, как можно извлечь унифицированные журналы Apple Unified Logs при помощи новой функции iOS Forensic Toolkit.
Шпаргалка: извлечение данных методом Perfect Acquisition (32-разрядные устройства)
13 октября, 2025, Oleg Afonin
Perfect Acquisition — самый надёжный метод извлечения данных из устройств на iOS из всех, разработанных нашей компанией. Этот способ соответствует всем требованиям цифровой криминалистики: результат полностью повторяем, а при его использовании не изменяется ни один бит файловой системы. Если устройство поддерживает Perfect Acqsuition, то применять нужно именно этот метод — и только его. В данной статье описан весь процесс — от получения дампа данных до расшифровки и монтирования образа для анализа.
Эфемерные улики: данные, которые исчезают сами по себе
9 октября, 2025, Oleg Afonin
Представьте ситуацию: из iPhone извлечены все доступные данные (логическим или низкоуровневым способом); устройство выключено и на время отложено. Спустя месяц извлечение повторяется, но заметной доли данных в резервной копии или образе файловой системы просто не оказалось. Какие категории данных могут исчезнуть со временем, почему так происходит и можно ли как-то предотвратить этот процесс? Попробуем разобраться.
Искусственный интеллект в криминалистике
3 октября, 2025, Oleg Afonin
Искусственный интеллект — устойчивый тренд последних лет. Машинное обучение внедряют буквально везде — от холодильников до пакетов для разработки ПО. Не обошла мода на машинное обучение и продукты для цифровой криминалистики: модели искусственного интеллекта позиционируются как помощь в обработке больших массивов разнородных данных. Насколько в принципе допустимо использование машинного обучения в криминалистике и где прочерчены красные линии? Попробуем разобраться.
От Bitwarden до Zoho Vault: подбор мастер-паролей
30 сентября, 2025, Oleg Afonin
В свежей сборке ELcomsoft Distributed Password Recovery появилась поддержка ещё восьми популярных менеджеров паролей: Bitwarden, Dropbox Passwords, Enpass, Kaspersky, Keeper, Roboform, Sticky Password и Zoho Vault. Поддержка менеджеров паролей предоставит исследователям и специалистам по безопасности возможность получить доступ к целому набору учётных данных пользователя — для этого достаточно восстановить единственный мастер-пароль, которым зашифрована база программы для хранения паролей.
