Анализ событий из системной базы SRUM

15 августа, 2025, Oleg Afonin

В Windows существуют такие источники цифровых артефактов, о которых обычные пользователи не имеют представления. Многим известно о существовании журнала событий Windows Event Log, но мало кто знает о существовании другой базы данных, в которой хранятся данные о запущенных приложениях и сетевой активности. Эта база данных носит название SRUM (System Resource Usage Monitor). О её содержимом и о способах добраться до него мы и поговорим в сегодняшней статье.

Читать дальше »

Когда скорость имеет значение

27 сентября, 2024, Vladimir Katalov

Недавно мы опубликовали статью с рекомендациями, как добиться максимальной скорости при снятии образов дисков, и получили довольно много откликов – как вопросов, так и дополнений. Мы провели дополнительное тестирование (однозначно не последнее), и делимся с вами результатами.

Читать дальше »

Набор адаптеров и переходников: что нового и зачем это нужно

9 августа, 2024, Oleg Afonin

В цифровой криминалистике важно не только современное оборудование и набор программ, о которых мы постоянно пишем, но и разнообразные адаптеры и переходники, позволяющие подключать исследуемые устройства к компьютеру. Мы собрали комплект адаптеров, который решает специфические проблемы подключения исследуемых устройств к компьютеру в условиях криминалистического анализа.

Читать дальше »

Как добиться максимальной скорости при снятии образов дисков

1 августа, 2024, Oleg Afonin

В статье Аппаратная блокировка записи мы рассказали о том, какие бывают блокировщики записи, как они работают и чем отличаются между собой. Сегодня мы подробно расскажем о блокираторе записи нашей собственной разработки и его преимуществах по сравнению с аналогами и о том, как добиться максимально возможной скорости снятия образа.

Читать дальше »

Всё, что вы хотели узнать о взломе паролей…

11 июля, 2024, Oleg Afonin

В нашем блоге опубликованы десятки статей о доступе к зашифрованным данным и взломе паролей. Многие из них сугубо технические, некоторые являются прямыми инструкциями; есть и ряд статей, объясняющих те или иные принципы. В то же время нам часто задают вопросы, ответы на которые приходится искать глубоко в недрах нашего блога. В результате мы решили написать одну статью, в которой будут не только ответы на большую часть вопросов, но и отсылки к ранее опубликованным материалам.

Читать дальше »

Аппаратная блокировка записи при снятии образа диска

10 июля, 2024, Oleg Afonin

Извлечение данных с изъятых накопителей — важный шаг в процессе криминалистического исследования цифровых улик. В процессе исследования накопители извлекаются, после чего эксперт снимает с них полный образ. Вся последующая работа по извлечению и анализу собранной информации проводится не с физическим накопителем, а с образом диска. В этой статье мы расскажем о том, как обезопасить данные на оригинальном диске от случайной модификации с использованием аппаратной блокировки записи.

Читать дальше »

Подпись агента-экстрактора обычными учётными записями в Windows и Linux

9 июля, 2024, Oleg Afonin

Низкоуровневое извлечение — единственный способ добраться до максимально полной информации, хранящейся в устройствах iOS/iPadOS. В очередном обновлении iOS Forensic Toolkit мы улучшили механизм установки агента, добавив установку с компьютеров Windows и Linux с использованием обычных учётных записей Apple ID.

Читать дальше »

Ещё раз об учётных записях разработчика

31 мая, 2024, Oleg Afonin

О программе Apple для разработчиков в контексте мобильной криминалистики мы писали неоднократно. Учётная запись Apple ID нужна для установки на исследуемое устройство агента-экстрактора, позволяющего получить доступ к файловой системе и связке ключей. В руководстве к iOS Forensic Toolkit мы усиленно рекомендуем зарегистрировать учётную запись в качестве разработчика. В чём смысл этой регистрации, для чего эксперту-криминалисту нужно становиться «зарегистрированным разработчиком» и можно ли без этого обойтись?

Читать дальше »

iOS Forensic Toolkit для macOS, Windows и Linux: три редакции одного продукта

30 мая, 2024, Oleg Afonin

iOS Forensic Toolkit поставляется в трёх редакциях — для компьютеров с операционными системами macOS, Windows и Linux. Между тремя редакциями есть масса различий, и далеко не только функциональных. В этой статье мы расскажем, в чём разница между редакциями, какую редакцию стоит выбрать и почему.

Читать дальше »

Двенадцать лет облачному анализу

15 мая, 2024, Oleg Afonin

Ровно двенадцать лет назад мы разработали способ поставить Apple iCloud на стражу законности. Двенадцать лет назад наш новый продукт был встречен прохладно. В публичном поле превалировали два полярных мнения: первое — что мы не сделали ничего особенного; второе — что вот теперь хакеры взломают все аккаунты, а спецслужбы воспользуются новым инструментом, чтобы установить тотальную слежку за гражданами. Сколько правды в этих утверждениях и как изменилось общественное мнение по поводу облачной криминалистики — в этой статье.

Читать дальше »

Elcomsoft Forensic Acquisition System (EFAS) для Raspberry Pi 5

2 мая, 2024, Elcomsoft R&D

В последние годы процесс извлечения данных с использованием iOS Forensic Toolkit (EIFT) претерпел значительные изменения. Предыдущая ветка продукта, линейка EIFT 7, прекрасно работала и была тщательно отлажена. В то же время её доступность была ограничена; фактически, линейка EIFT 7 представляла собой набор скриптов, который автоматизировал использование нескольких включённых в состав продукта утилит и давала пользователю простое текстовое меню, не требуя от него навыков использования каждой отдельной утилиты. В EIFT 8 появилось много новых возможностей, которые вышли за пределы простого текстового меню.

Читать дальше »