Реестр Windows остаётся одним из важнейших для расследования источников информации. Анализ ключей и значений реестра позволяет реконструировать системную активность и поведение пользователя. Реестр содержит информацию о запущенных программах, доступе к данным и подключении внешних устройств. Без автоматизированных криминалистических инструментов исследование реестра малоэффективно, но даже с их использованием интерпретация результатов всегда остаётся задачей эксперта.

Windows Defender и инструменты для криминалистического анализа часто оказываются по разные стороны баррикад. Если задача систем защиты — заблокировать несанкционированный доступ, то криминалистическим утилитам для сбора доказательств, напротив, требуется доступ ко всем данным, включая заблокированные системные файлы. Этот конфликт несёт серьёзные неудобства и риски при проведении анализа на загруженной системе. Современные антивирусы с агрессивной эвристикой могут принять криминалистические инструменты за вредоносное ПО, прерывая процесс сбора данных или отправляя сам инструмент в карантин.

Линейка криминалистических продуктов нашей компании только что получила новое дополнение. Встречайте Elcomsoft Quick Triage — инструмент для быстрого поиска, отбора и анализа цифровых улик. EQT создан для использования на ранних этапах расследования, когда время ограничено и решения нужно принимать быстро. Новый инструмент не заменяет «тяжёлые» криминалистические платформы; его задача — быстрое выявление, сбор и первичная оценка значимых улик на начальных этапах.

В Windows существуют такие источники цифровых артефактов, о которых обычные пользователи не имеют представления. Многим известно о существовании журнала событий Windows Event Log, но мало кто знает о существовании другой базы данных, в которой хранятся данные о запущенных приложениях и сетевой активности. Эта база данных носит название SRUM (System Resource Usage Monitor). О её содержимом и о способах добраться до него мы и поговорим в сегодняшней статье.

Microsoft официально объявила, что новые учётные записи Microsoft будут создаваться без паролей. Это продолжение курса, начатого в Windows 11, на отказ от традиционных паролей в пользу более защищённых и «удобных» способов входа — PIN-кодов, биометрии и passkey. На первый взгляд — это шаг в сторону безопасности. Но в длительной перспективе изменения могут оказаться серьёзнее, чем кажутся на первый взгляд.

В сборке Windows 11 24H2 произошли изменения в политике шифрования дисков — изменения, которые будут иметь долгосрочные последствия для цифровой криминалистики. В этой версии  Windows системный раздел автоматически шифруется BitLocker в процессе установки Windows, если во время настройки используется учётная запись Microsoft. Шифрование происходит в фоновом режиме, и включается в большинстве редакций Windows и устройств, включая настольные компьютеры, на которых ранее шифрование автоматически не включалось.

Elcomsoft System Recovery получил обновление до версии 8.34, и оно получилось довольно насыщенным. В этом релизе мы добавили множество новых возможностей, расширив объём собираемой информации, ускорив снятие образов дисков и добавив поддержку ключей шифрования BitLocker для компьютеров в Active Directory. Однако обо всём — по порядку.

Извлечение данных с изъятых накопителей — важный шаг в процессе криминалистического исследования цифровых улик. В процессе исследования накопители извлекаются, после чего эксперт снимает с них полный образ. Вся последующая работа по извлечению и анализу собранной информации проводится не с физическим накопителем, а с образом диска. В этой статье мы расскажем о том, как обезопасить данные на оригинальном диске от случайной модификации с использованием аппаратной блокировки записи.

Использование загрузочного накопителя для анализа компьютера – разумный компромисс между риском, связанным с анализом авторизованной пользовательской сессии, и затратами времени и усилий, необходимыми для создания и анализа образа дисков. В каких случаях анализ с использованием загрузочного накопителя окажется полезным и какой результат можно получить с его помощью? Попробуем разобраться.

В мире цифровых расследований ситуация, когда перед вами стоит огромное количество компьютеров, а сразу неясно, какие из них содержат ценную информацию, а какие заставляют пожалеть о напрасно потраченном времени, далеко не редкость. Оптимизация этого процесса становится вопросом первостепенной важности. Как быстро и эффективно определить, где находятся ценные для расследования данные? Лаборатории уже переполнены компьютерами и дисками, до которых руки не доходят месяцами. Но что если мы скажем вам, что есть решение?