Раньше получить доступ к системе Windows было несложно: достаточно было лишь извлечь хэши NT из локальной базы данных и запустить атаку, которая на данных NTLM работала очень быстро. В последние годы Microsoft всё дальше отходит от традиционных механизмов аутентификации, используя более стойкие альтернативы. Microsoft активно отучает пользователей от локальных учётных записей, продвигая облачные идентификаторы (например, учётные записи Microsoft для частных лиц) и модели безопасности, завязанные на аппаратные средства защиты (например, вход через Windows Hello).

Реестр Windows остаётся одним из важнейших для расследования источников информации. Анализ ключей и значений реестра позволяет реконструировать системную активность и поведение пользователя. Реестр содержит информацию о запущенных программах, доступе к данным и подключении внешних устройств. Без автоматизированных криминалистических инструментов исследование реестра малоэффективно, но даже с их использованием интерпретация результатов всегда остаётся задачей эксперта.

Windows Defender и инструменты для криминалистического анализа часто оказываются по разные стороны баррикад. Если задача систем защиты — заблокировать несанкционированный доступ, то криминалистическим утилитам для сбора доказательств, напротив, требуется доступ ко всем данным, включая заблокированные системные файлы. Этот конфликт несёт серьёзные неудобства и риски при проведении анализа на загруженной системе. Современные антивирусы с агрессивной эвристикой могут принять криминалистические инструменты за вредоносное ПО, прерывая процесс сбора данных или отправляя сам инструмент в карантин.

Линейка криминалистических продуктов нашей компании только что получила новое дополнение. Встречайте Elcomsoft Quick Triage — инструмент для быстрого поиска, отбора и анализа цифровых улик. EQT создан для использования на ранних этапах расследования, когда время ограничено и решения нужно принимать быстро. Новый инструмент не заменяет «тяжёлые» криминалистические платформы; его задача — быстрое выявление, сбор и первичная оценка значимых улик на начальных этапах.

В Windows существуют такие источники цифровых артефактов, о которых обычные пользователи не имеют представления. Многим известно о существовании журнала событий Windows Event Log, но мало кто знает о существовании другой базы данных, в которой хранятся данные о запущенных приложениях и сетевой активности. Эта база данных носит название SRUM (System Resource Usage Monitor). О её содержимом и о способах добраться до него мы и поговорим в сегодняшней статье.

Microsoft официально объявила, что новые учётные записи Microsoft будут создаваться без паролей. Это продолжение курса, начатого в Windows 11, на отказ от традиционных паролей в пользу более защищённых и «удобных» способов входа — PIN-кодов, биометрии и passkey. На первый взгляд — это шаг в сторону безопасности. Но в длительной перспективе изменения могут оказаться серьёзнее, чем кажутся на первый взгляд.

В сборке Windows 11 24H2 произошли изменения в политике шифрования дисков — изменения, которые будут иметь долгосрочные последствия для цифровой криминалистики. В этой версии  Windows системный раздел автоматически шифруется BitLocker в процессе установки Windows, если во время настройки используется учётная запись Microsoft. Шифрование происходит в фоновом режиме, и включается в большинстве редакций Windows и устройств, включая настольные компьютеры, на которых ранее шифрование автоматически не включалось.

Elcomsoft System Recovery получил обновление до версии 8.34, и оно получилось довольно насыщенным. В этом релизе мы добавили множество новых возможностей, расширив объём собираемой информации, ускорив снятие образов дисков и добавив поддержку ключей шифрования BitLocker для компьютеров в Active Directory. Однако обо всём — по порядку.

Извлечение данных с изъятых накопителей — важный шаг в процессе криминалистического исследования цифровых улик. В процессе исследования накопители извлекаются, после чего эксперт снимает с них полный образ. Вся последующая работа по извлечению и анализу собранной информации проводится не с физическим накопителем, а с образом диска. В этой статье мы расскажем о том, как обезопасить данные на оригинальном диске от случайной модификации с использованием аппаратной блокировки записи.

Использование загрузочного накопителя для анализа компьютера – разумный компромисс между риском, связанным с анализом авторизованной пользовательской сессии, и затратами времени и усилий, необходимыми для создания и анализа образа дисков. В каких случаях анализ с использованием загрузочного накопителя окажется полезным и какой результат можно получить с его помощью? Попробуем разобраться.