Криминалистический анализ реестра Windows
13 февраля, 2026, Oleg Afonin
Реестр Windows остаётся одним из важнейших для расследования источников информации. Анализ ключей и значений реестра позволяет реконструировать системную активность и поведение пользователя. Реестр содержит информацию о запущенных программах, доступе к данным и подключении внешних устройств. Без автоматизированных криминалистических инструментов исследование реестра малоэффективно, но даже с их использованием интерпретация результатов всегда остаётся задачей эксперта.
Цифровая криминалистика и криминалистическая чистота: в правовом поле и в реальном мире
26 мая, 2025, Vladimir Katalov
Мы часто говорим о важности неизменности данных при любых действиях с ними со стороны правоохранительных органов. Неизменность важна на протяжении всей цепочки — от первичного осмотра, изъятия и хранения цифровых доказательств до извлечения и анализа включительно. Но помимо этого, не менее важны повторяемость и проверяемость — чтобы другой специалист, используя те же инструменты или точно задокументированные условия, мог воспроизвести процесс и прийти к тем же результатам. В цифровой криминалистике эти качества формируют основу доверия к доказательной базе.
Оснащение лаборатории: USB-хаб
23 мая, 2025, Oleg Afonin
USB-хаб — незаменимый инструмент в лаборатории цифровой криминалистики. Он позволяет подключать накопители, донглы и исследуемые устройства к современным ноутбукам, где часто всего один-два порта USB-C, но его роль этим не ограничивается. Хаб решает проблемы совместимости с адаптерами и кабелями, повышает стабильность работы эксплойта checkm8 при извлечении данных с iPhone. Хороший хаб может упростить и ускорить работу в ряде сценариев. В этой статье мы подробно расскажем, для чего и когда нужно использовать USB-хабы и какую модель стоит выбрать.
Установка iOS Forensic Toolkit для Linux
21 мая, 2025, Oleg Afonin
Долгое время сборка iOS Forensic Toolkit для macOS оставалась самой функциональной. Только в ней можно было использовать извлечение через эксплойт загрузчика, только из macOS можно было установить приложение агента-экстрактора с обычной учётной записью, и только в ней поддерживались беспроводные адаптеры для часов Apple Watch. Все эти возможности теперь доступны как в сборке для macOS, так и в версии для Linux, что избавляет специалистов от необходимости иметь компьютер Apple. В этой статье мы расскажем о том, как правильно установить продукт на компьютер с Linux.
Загрузочная версия iOS Forensic Toolkit в редакции Live Linux
20 мая, 2025, Oleg Afonin
Для извлечения данных из устройств с iOS с использованием эксплойта загрузчика традиционно требовался компьютер с macOS. Версии iOS Forensic Toolkit для Windows и Linux не поддерживали checkm8, что являлось одним из ограничений продукта. В редакции для Linux это ограничение было снято, и у экспертов появился выбор: macOS или Linux. Если же под рукой нет ни Linux, ни macOS, на помощь придёт новая версия инструментария, доступная в виде полностью интегрированного загрузочного образа.
Экосистема Apple: как обойти стойкую защиту через слабые звенья
19 мая, 2025, Oleg Afonin
Эксперт получает на исследование смартфон — относительно свежий iPhone, разумеется, зашифрованный, с Secure Enclave, неизвестным кодом блокировки и заблокированным доступом через USB. Никакие универсальные средства не помогают, checkm8 давно неприменим. Всё — тупик? Совсем нет. Не существует «сферических iPhone в вакууме». Смартфон — часть экосистемы, и если копать вглубь, можно отыскать лазейку. О слабых звеньях в экосистеме Apple — в этой статье.
Практика против стандарта: как расследуются цифровые преступления на самом деле
15 мая, 2025, Vladimir Katalov
В беседах с десятками следователей и специалистов по цифровой криминалистике регулярно всплывают одни и те же проблемы: нехватка оборудования в лабораториях и у выездных специалистов, недостаток подготовки и высокая текучесть кадров, «раздёргивание» специалистов, перегрузка делами и хронически устаревшее законодательство. В этой статье мы систематизируем наблюдения и сопоставим их с тем, как должна быть организована работа в идеальном мире.
Логическое извлечение из всех моделей часов Apple Watch
15 мая, 2025, Oleg Afonin
В обновлении iOS Forensic Toolkit расширяет список моделей, для которых доступно логическое извлечение данных. Поддержка логического извлечения теперь доступна и для часов Apple Watch Series 6 (с помощью проводного стороннего адаптера), а также Apple Watch Series 7–10, SE2, Ultra и Ultra 2 (с использованием специального беспроводного адаптера). С этим обновлением Toolkit охватывает весь модельный ряд Apple Watch без каких-либо исключений.
Офлайн-установка агента-экстрактора с учётными записями разработчика
15 мая, 2025, Oleg Afonin
Последнее обновление iOS Forensic Toolkit решает давнюю проблему, связанную с установкой и использованием агента-экстрактора для низкоуровневого извлечения данных. В версии 8.70 мы внедрили ключевое улучшение: теперь можно установить и запустить агент-экстрактор в режиме офлайн, используя любой аккаунт Apple Developer независимо от даты его создания. Подробнее о проблеме и её решении — в этой статье.
Учётные записи Microsoft: теперь без пароля
14 мая, 2025, Oleg Afonin
Microsoft официально объявила, что новые учётные записи Microsoft будут создаваться без паролей. Это продолжение курса, начатого в Windows 11, на отказ от традиционных паролей в пользу более защищённых и «удобных» способов входа — PIN-кодов, биометрии и passkey. На первый взгляд — это шаг в сторону безопасности. Но в длительной перспективе изменения могут оказаться серьёзнее, чем кажутся на первый взгляд.
Экзотические SSD: EDSFF и U.2
9 мая, 2025, Oleg Afonin
Когда мы слышим слово «SSD», мы представляем привычные накопители для домашних компьютеров — 2,5-дюймовые SATA SSD или компактные модули M.2. Однако в мире серверных решений и центров обработки данных всё устроено иначе. Здесь используются специализированные SSD, зачастую гигантских по меркам обычных пользователей объёмов, которые не похожи на устройства из настольных компьютеров и ноутбуков. Их разрабатывают с прицелом на объём, надёжность, производительность и энергоэффективность, оптимизируют для плотной установки в серверные стойки. Сегодня мы расскажем о двух таких форматах — U.2 и EDSFF.
