Мы продолжаем цикл статей об исследовании артефактов в компьютерах с ОС Windows. Сегодня мы разберём содержимое папки %ProgramData% (как правило, C:\ProgramData) — здесь расположены данные приложений и системных служб, относящиеся к системе в целом. Анализ этой директории помогает восстановить историю использования компьютера и работу встроенного антивируса, отследить факты передачи файлов и установки приложений, а также получить дополнительные подтверждения цифровых доказательств, найденных в других источниках.

Мы продолжаем цикл статей, посвящённых исследованию цифровых следов в компьютерах с ОС Windows. Если вы следите за нашими публикациями, наверняка заметили: с каждой новой темой анализ становится всё сложнее, ведь взятые по отдельности артефакты не дают всей картины. Современная криминалистика во многом опирается на сопоставление данных из разных источников. Собирая и сопоставляя данные из разных источников, специалисты восстанавливают целостную картину происшествия и формируют надёжную доказательную базу.

Не секрет, что внешние накопители — от обычных USB-флешек до ёмких жёстких дисков и смартфонов — нередко становятся каналом утечек данных и распространения шифровальщиков. Специалистам по цифровой криминалистике часто нужно восстановить точную хронологию: когда USB-устройство подключили, какие действия выполняли и когда его отключили. И в поиске первоисточника заражения сети, и при расследовании кражи данных уволенным сотрудником ответы нередко лежат в истории использования внешних носителей.

Цифровая криминалистика опирается на разнообразные артефакты — следы, которые оставляют как рядовые пользователи, так и злоумышленники. Журналы событий Windows (Windows Event Logs) выступают главной хронологической летописью работы операционной системы. Они фиксируют события безопасности, поведение приложений, активность служб и драйверов, а также данные о входе пользователей, включении и выключении компьютера. Поскольку Windows 10 и 11 генерируют огромный объем фоновых событий, поиск криминалистически значимых артефактов требует как специального ПО, так и навыков и чёткого понимания архитектуры и механизмов журналирования.

Реестр Windows остаётся одним из важнейших для расследования источников информации. Анализ ключей и значений реестра позволяет реконструировать системную активность и поведение пользователя. Реестр содержит информацию о запущенных программах, доступе к данным и подключении внешних устройств. Без автоматизированных криминалистических инструментов исследование реестра малоэффективно, но даже с их использованием интерпретация результатов всегда остаётся задачей эксперта.

В Windows существуют такие источники цифровых артефактов, о которых обычные пользователи не имеют представления. Многим известно о существовании журнала событий Windows Event Log, но мало кто знает о существовании другой базы данных, в которой хранятся данные о запущенных приложениях и сетевой активности. Эта база данных носит название SRUM (System Resource Usage Monitor). О её содержимом и о способах добраться до него мы и поговорим в сегодняшней статье.

Microsoft официально объявила, что новые учётные записи Microsoft будут создаваться без паролей. Это продолжение курса, начатого в Windows 11, на отказ от традиционных паролей в пользу более защищённых и «удобных» способов входа — PIN-кодов, биометрии и passkey. На первый взгляд — это шаг в сторону безопасности. Но в длительной перспективе изменения могут оказаться серьёзнее, чем кажутся на первый взгляд.

Низкоуровневое извлечение — единственный способ добраться до максимально полной информации, хранящейся в устройствах iOS/iPadOS. В очередном обновлении iOS Forensic Toolkit мы улучшили механизм установки агента, добавив установку с компьютеров Windows и Linux с использованием обычных учётных записей Apple ID.

iOS Forensic Toolkit поставляется в трёх редакциях — для компьютеров с операционными системами macOS, Windows и Linux. Между тремя редакциями есть масса различий, и далеко не только функциональных. В этой статье мы расскажем, в чём разница между редакциями, какую редакцию стоит выбрать и почему.

Инструментарий iOS Forensic Toolkit 8 теперь доступен в редакции для Windows. Восьмая версия инструментария расширяет функционал, доступный в EIFT 7, поддержка которой прекращается. О том, что изменится для пользователей iOS Forensic Toolkit – в этой статье.