Анализ событий из системной базы SRUM

15 августа, 2025, Oleg Afonin

В Windows существуют такие источники цифровых артефактов, о которых обычные пользователи не имеют представления. Многим известно о существовании журнала событий Windows Event Log, но мало кто знает о существовании другой базы данных, в которой хранятся данные о запущенных приложениях и сетевой активности. Эта база данных носит название SRUM (System Resource Usage Monitor). О её содержимом и о способах добраться до него мы и поговорим в сегодняшней статье.

Читать дальше »

NVIDIA Blackwell: новое поколение GPU может удвоить скорость перебора паролей (но это не точно)

27 февраля, 2025, Oleg Afonin

Недавно представленные видеокарты NVIDIA серии GeForce RTX 50 (архитектура Blackwell) получили сравнительно небольшие изменения по сравнению с поколением Ada Lovelace, которое они заменяют. Чипы по-прежнему производятся по старому техпроцессу, а число исполнительных блоков существенно выросло только на флагманской модели RTX 5090, которую в настоящий момент практически невозможно найти в продаже даже за ту высокую цену, которую просят производители.

Читать дальше »

В Англии отключили сквозное шифрование iCloud: причины и последствия

25 февраля, 2025, Oleg Afonin

В начале февраля появилась информация о том, что Apple могла получить очередное секретное предписание, обязывающее компанию создать «чёрный ход» для доступа спецслужб к зашифрованным данным. Автором запроса стало правительство Великобритании, которое потребовало от Apple предоставить полный доступ к зашифрованным данным пользователей по всему миру, запретив компании разглашать любую информацию как о содержимом предписания, так и о самом факте его существования. В ответ на это Apple отключила функцию Advanced Data Protection (ADP) для iCloud на территории Великобритании, что приведёт к серьезным последствиям как для правоохранительных органов, так и для обычных пользователей.

Читать дальше »

Лаборатория Элкомсофт: требования к целевым NVME-накопителям

24 февраля, 2025, Oleg Afonin

При снятии образа данных в процессе исследования извлекаемые данные сохраняют на собственный, лабораторный накопитель. В статье где хранить данные? мы описали общие принципы выбора таких накопителей, а в статье SSD-накопители замедляются со временем описали работу механизма динамического кэширования записи, отметив исключительно негативное влияние этого механизма в рамках конкретного сценария: быстрой единовременной записи больших объёмов данных. В сегодняшнем материале мы рассмотрим накопители с отсутствующим динамическим кэшем в качестве оптимальных для нашего сценария.

Читать дальше »

Эволюция системы защиты от перебора кода блокировки в iOS

31 января, 2025, Oleg Afonin

На протяжении многих лет Apple непрерывно совершенствовала механизмы защиты для защиты устройств от несанкционированного доступа. Одним из важных аспектов этой эволюции является всё более продвинутая система защиты кода блокировки экрана в устройствах iOS. В сегодняшней статье мы рассмотрим, как со временем менялись задержки между неудачными попытками ввода пароля.

Читать дальше »

Пять способов извлечения данных из iPhone и iPad

10 января, 2025, Oleg Afonin

Извлечение данных — одна из самых сложных задач в работе специалиста по мобильной криминалистике. Получить информацию из устройств iPhone или iPad можно несколькими разными способами. Какой из них использовать? Ответ зависит как от того, работаете ли вы с «динозавром» iPhone 5s или пытаетесь извлечь данные из свежего iPhone 16 Pro Max, так и от ряда сопутствующих условий, многие из которых неочевидны. У каждого способа свои достоинства и свои особенности, ограничения и подводные камни. В этой статье мы сравним основные методы извлечения данных из устройств Apple.

Читать дальше »

Установка агента-экстрактора: программный или аппаратный файрволл?

28 декабря, 2024, Oleg Afonin

Для безопасной установки агента-экстрактора в процессе низкоуровневого извлечения данных в ряде случаев требуется использовать файрволл, ограничивающий возможности нежелательного выхода устройства в интернет. Мы разработали два решения: полностью программный вариант, работающий на компьютерах с macOS, и аппаратный, использующий микрокомпьютер Raspberry Pi или подобный с нашей прошивкой. В этой статье мы поможем выбрать наилучший вариант для ваших задач и потребностей.

Читать дальше »

Лаборатория Элкомсофт: SSD-накопители становятся медленнее со временем

19 декабря, 2024, Oleg Afonin

Современные SSD-накопители отличаются высокой скоростью как чтения, так и записи. В силу использования ячеек с высокой плотностью (TLC и QLC NAND) высокая скорость записи, как правило, является результатом использования кэша с технологией псевдо-SLC (pSLC) кэша, в котором память NAND работает в «ускоренном» режиме записи. Использование такого типа кэширования позволяет в разы ускорить запись относительно небольших объёмов данных. Недавно опубликованный отчёт заставляет задуматься: его авторы утверждают, что динамический pSLC-кэш, активно используемый в современных SSD, ускоряет процесс деградации ячеек и сказывается на скорости записи через считанные единицы циклов перезаписи. В этой статье мы рассмотрим, почему это происходит.

Читать дальше »

Оборудование лаборатории: на чём хранить данные?

29 ноября, 2024, Oleg Afonin

Важной частью оборудования в любой лаборатории являются устройства для сбора и хранения данных, которые будут извлекаться из исследуемых устройств и накопителей. Эти устройства можно разделить на две категории: быстрые накопители, используемые для снятия образа данных и его последующего анализа, и ёмкие (как правило – многодисковые) хранилища для долговременного хранения и архивирования данных. К этим двум категориям предъявляются совершенно разные требования.

Читать дальше »

Декларации и реальность: свобода слова глазами Apple, Google и других

22 ноября, 2024, Oleg Afonin

Интернет, изначально задуманный как пространство свободы и равенства, постепенно превратился в поле битвы за контроль над информацией. Государства с давних времён стремились ограничить доступ своих граждан к информации, будь то через уголовное преследование, жёсткую цензуру или демонстративную слежку за их активностью в сети. В эпоху цифровизации и искусственного интеллекта эти тенденции только усилились: современные технологии позволяют не только блокировать ресурсы, признанные государствами нежелательными, но и отслеживать, анализировать и даже прогнозировать поведение пользователей.

Читать дальше »

Оборудование лаборатории для перебора паролей: питание, электропроводка и теплоотвод

20 ноября, 2024, Oleg Afonin

Организация лаборатории, в которой будут работать рабочие станции для перебора паролей, требует продуманного подхода к питанию, проектированию электропроводки и организации теплоотвода. Мощные компьютеры с высокой нагрузкой требуют стабильного питания, защитной автоматики, источников бесперебойного питания адекватной мощности и эффективного охлаждения. В этой статье мы поговорим о малоизвестных особенностях, связанных с питанием компьютеров.

Читать дальше »