Немного археологии: работа с устаревшими носителями и интерфейсами

23 января, 2026, Oleg Afonin

Хотя индустрия движется в сторону быстрых NVMe и облачных хранилищ, в практике эксперта-криминалиста регулярно возникают ситуации, когда необходимо извлечь информацию из устройств, которые считаются безнадёжно устаревшими. Это могут быть архивные данные коммерческих структур, старые персональные компьютеры или промышленное оборудование, работающее десятилетиями. Пренебрегать такими носителями нельзя, поскольку именно на старых дискетах или магнитооптических дисках часто обнаруживаются критически важные доказательства, о существовании которых подозреваемый мог давно забыть.

Читать дальше »

Искусственный интеллект и перебор паролей

8 июля, 2025, Oleg Afonin

Искусственный интеллект сегодня интегрируют повсюду: смартфоны с ИИ обещают предугадывать наши желания, холодильники сами заказывают еду, а умные кофеварки скоро начнут анализировать настроение хозяина перед варкой капучино. Но за всеобщим увлечением встаёт прагматичный вопрос: может ли ИИ реально помочь в задачах цифровой криминалистики — а именно, при переборе паролей? Идея звучит интригующе: использовать мощные языковые модели для генерации наборов правил и шаблонов, в первую очередь атакуя наиболее вероятные комбинации. Однако на практике всё оказывается куда сложнее.

Читать дальше »

Агент-экстрактор: самая подробная инструкция (2025)

2 июля, 2025, Oleg Afonin

В течение многих лет с момента появления в составе iOS Forensic Toolkit агента-экстрактора для низкоуровневого доступа к данным мы публиковали материалы о том, как правильно установить агент на устройство и что делать, если возникли проблемы. Со временем наш продукт эволюционировал; постепенно менялось и окружение. Мы старались реагировать, публикуя всё новые и новые статьи. В результате самые старые статьи частично бесполезны, а в обилии обновлений легко запутаться. Сегодня мы решили собрать и актуализировать всю доступную информацию в одном большом материале.

Читать дальше »

Журналы событий: как извлечь и чем анализировать логи Apple

27 июня, 2025, Oleg Afonin

Многочисленные устройства Apple собирают подробную информацию о работе устройств и взаимодействиях с пользователем. Формат журналов неизменен независимо от того, создаются они на устройствах с iOS, iPadOS, watchOS или tvOS, хотя тип и количество записей, конечно же, будет отличаться. В цифровой криминалистике журналы событий играют важную роль. Запись в журнале событий может помочь установить факт физического присутствия или факт осознанного использования устройства, рассказать о том, что пользователь делал с устройством в тот или иной момент времени и даже в каких условиях оно находилось.

Читать дальше »

Скандальные утечки: есть ли польза в миллиардах паролей?

23 июня, 2025, Oleg Afonin

В новостях снова бьют тревогу: в сеть «утекли» 16 миллиардов паролей, включая доступы к Apple, Google и другим крупным сервисам. Волна публикаций моментально вызвала панику; посыпались дежурные советы срочно сменить пароль. Однако уже через пару дней профильные источники уточнили: «утечка» — это всего лишь агрегат старых баз, логов инфостилеров и множества дубликатов. По сути, давно известные данные просто собрали «до кучи». У специалистов, занимающихся подбором паролей к зашифрованным документам и контейнерам, закономерно возникает вопрос: можно ли использовать такие «мегасборники» с реальной пользой в лабораторной практике? Краткий ответ — скорее нет, чем да. Но в перспективе ситуация может измениться.

Читать дальше »

Цифровые доказательства — это не только iPhone

18 июня, 2025, Oleg Afonin

Когда речь заходит о цифровых доказательствах, внимание почти всегда приковано к смартфонам. Иногда — к планшетам. Всё остальное из экосистемы — Apple Watch, Apple TV, HomePod, даже старые iPod Touch — часто остаётся за кадром. Между тем, такие устройства вполне могут хранить полезную информацию: журналы активности, сетевые пароли, остатки переписок, ключи, логи и даже фотографии. Однако даже если данные в таких устройствах есть, далеко не всегда их удастся извлечь быстро и с минимальными усилиями. Где-то поможет checkm8, где-то — только логический доступ, а в каких-то случаях все усилия будут напрасны. В этой статье — практический разбор: что реально можно получить с таких «второстепенных» устройств Apple, насколько это сложно и когда вообще стоит за них браться.

Читать дальше »

Экзотические накопители: стандарт U.3 и как с ним работать

16 июня, 2025, Oleg Afonin

Год от года плотность хранения информации растёт, как и скорость доступа к данным. В серверных стойках механические жёсткие диски постепенно уступают место твердотельным накопителям, ёмкость которых уже не только приближается, но и существенно превышает ёмкость традиционных накопителей. Если возникнет необходимость извлечь данные с серверного SSD в рамках экспертизы, вам придётся решить вопрос о способе его подключения. Перед нами — диск с маркировкой U.3, не самый очевидный формат для настольного компьютера. Разберёмся, что это такое и как с ним обращаться.

Читать дальше »

Энергопотребление накопителей — и почему это важно для лаборатории

13 июня, 2025, Oleg Afonin

Когда накопитель попадает в лабораторию в качестве источника цифровых доказательсв, задача специалиста — обеспечить стабильную работу для снятия образа данных. Это означает, что накопитель, подключённый к компьютеру через блокиратор записи, должен получать питание такой мощности и с такими характеристиками, которые необходимы для его стабильной и бесперебойной работы. На практике это означает не просто «включить», а гарантировать, что питание покрывает как рабочие нагрузки, так и пиковые, возникающие в момент включения некоторых типов накопителей. Разберёмся, сколько потребляет каждый тип накопителей и какое питание для этого нужно — в тех условиях, в которых с ними сталкиваются эксперты.

Читать дальше »

Лаборатория Элкомсофт: не все SSD одинаково полезны

10 июня, 2025, Oleg Afonin

Рынок твердотельных накопителей претерпевает серьёзные изменения. Благодаря удешевлению NAND-памяти и наличию решений «под ключ» (контроллеры, прошивки, даже полностью готовые платформы), SSD стали массовым товаром. Сегодня твердотельный накопитель можно купить на любом крупном маркетплейсе, зачастую — по подозрительно низкой цене. Вместе с этим возник новый феномен: обилие безымянных SSD, в том числе из Китая, которые внешне выглядят как полноценные устройства, но на деле представляют собой непредсказуемую комбинацию комплектующих, временами — поддельных. В этой статье мы рассмотрим, что из себя представляют такие устройства и можно ли на них положиться.

Читать дальше »

Блокираторы записи для накопителей NVMe и карт памяти SD и NM

6 июня, 2025, Oleg Afonin

Блокиратор записи — это устройство, которое позволяет считывать данные с накопителя, полностью исключая возможность их изменения. Такие блокираторы применяются в цифровой криминалистике, где критически важно сохранить информацию в исходном виде: даже случайная запись может повредить или уничтожить доказательства. Недавно мы писали о блокираторах для дисков SATA; сегодня мы расскажем о блокираторах, которые мы разработали для защиты от записи накопителей NVMe и карт памяти SD и NM.

Читать дальше »

Универсальный блокиратор записи SATA: надёжный инструмент для выезда и лаборатории

3 июня, 2025, Oleg Afonin

Блокировка записи при работе с изъятыми цифровыми носителями — обязательное требование цифровой криминалистики. Использование блокиратора записи в  процессе исследования позволяет сохранить целостность данных, избежать любых модификаций оригинального носителя и обеспечить криминалистическую чистоту процесса. Подробнее о назначении и принципах работы блокировщиков записи мы рассказывали в статье Аппаратная блокировка записи при снятии образа диска. В этой публикации мы расскажем про универсальный аппаратный блокиратор записи для накопителей с интерфейсом SATA, который мы разработали для использования как на выездах, так и в лаборатории.

Читать дальше »