Исследование заблокированного компьютера — задача нетривиальная. Традиционный подход с извлечением дисков и исследованием образа пасует перед зашифрованными дисками и виртуальными машинами. С его помощью трудно или невозможно получить доступ к зашифрованным файлам и паролям пользователя. В этой статье мы предлагаем альтернативный способ исследования компьютеров на выезде, который поможет сэкономить время и получить доступ к данным, недоступным при использовании традиционного подхода.

Как получить доступ к файлам из учётной записи компьютера при проведении расследования или в случаях, когда сотрудник уволен? Ответ на этот вопрос очевиден далеко не всегда. Сброс пароля средствами Active Directory поможет войти в учётную запись, но не поможет получить доступ к данным, защищённым средствами DPAPI (например, сохранённым паролям пользователя). Кроме того, будет потерян доступ к файлам, зашифрованным средствами EFS. В этой статье мы расскажем об одной из возможностей получения доступа к учётным записям Windows посредством создания загрузочного USB-накопителя.

Рутинная процедура изъятия. У подозреваемого – Apple iPhone. Аппарат изымается, проверяется на предмет блокировки экрана, извлекается SIM-карта, телефон выключается и передаётся в лабораторию. Казалось бы, что может пойти не так? В описанном выше сценарии «не так» — буквально каждая мелочь. Результат – телефон, с которым эксперту будет сложно или и вовсе невозможно работать. В чём состоят ошибки и как их избежать? Об этом – в нашей статье.

Искренняя благодарность Роману Морозову, руководителю техподдержки ACELab, рассказавшему о многих тонкостях жизненного цикла твердотельных накопителей.

Благодарности: эта статья не вышла бы в свет без подробных консультаций Романа Морозова, руководителя техподдержки ACELab.

На тему извлечения данных из смартфонов под управлением iOS написано множество статей и книг, в том числе и книга за нашим авторством. Тем не менее, хотя многочисленные статьи и могут подробно осветить тот или иной метод доступа к информации, их нельзя рассматривать в качестве прямого руководства к действию в отрыве от общей ситуации. В данной работе мы рассмотрим все шаги, которые необходимо предпринять по отношению к конкретному устройству с целью максимально увеличить шансы на успешное извлечение информации. Мы постараемся полностью описать всю цепочку шагов, включающую процесс конфискации, хранения и транспортировки устройства, методы презервации данных и последовательность использования методов извлечения и анализа информации. (далее…)

В наших статьях и в книге мы много писали об основах безопасности Android, методах аутентификации и извлечения данных. Однако всё, что мы писали ранее, относилось исключительно к устройствам, работающим под управлением оригинального программного обеспечения – прошивки, – разработанной непосредственно производителем устройства. Порядка 98% устройств работают именно на прошивках от производителя тех или иных версий.