Раньше получить доступ к системе Windows было несложно: достаточно было лишь извлечь хэши NT из локальной базы данных и запустить атаку, которая на данных NTLM работала очень быстро. В последние годы Microsoft всё дальше отходит от традиционных механизмов аутентификации, используя более стойкие альтернативы. Microsoft активно отучает пользователей от локальных учётных записей, продвигая облачные идентификаторы (например, учётные записи Microsoft для частных лиц) и модели безопасности, завязанные на аппаратные средства защиты (например, вход через Windows Hello).

Эта статья завершает нашу серию об артефактах Windows и их значении для криминалистики. В предыдущих публикациях мы рассмотрели системные артефакты: журналы событий Windows, реестр Windows, файловые артефакты в папках C:\Windows и C:\ProgramData. Без них не восстановить общую картину: запуск и завершение работы системы, активность служб, установку программ, механизмы закрепления и признаки компрометации на уровне машины. Однако системные артефакты показывают события, но не всегда указывают, кто за ними стоит. Сегодня мы рассмотрим артефакты, связанные с действиями конкретного пользователя.

Мы продолжаем цикл статей об исследовании артефактов в компьютерах с ОС Windows. Сегодня мы разберём содержимое папки %ProgramData% (как правило, C:\ProgramData) — здесь расположены данные приложений и системных служб, относящиеся к системе в целом. Анализ этой директории помогает восстановить историю использования компьютера и работу встроенного антивируса, отследить факты передачи файлов и установки приложений, а также получить дополнительные подтверждения цифровых доказательств, найденных в других источниках.

Мы продолжаем цикл статей, посвящённых исследованию цифровых следов в компьютерах с ОС Windows. Если вы следите за нашими публикациями, наверняка заметили: с каждой новой темой анализ становится всё сложнее, ведь взятые по отдельности артефакты не дают всей картины. Современная криминалистика во многом опирается на сопоставление данных из разных источников. Собирая и сопоставляя данные из разных источников, специалисты восстанавливают целостную картину происшествия и формируют надёжную доказательную базу.

Не секрет, что внешние накопители — от обычных USB-флешек до ёмких жёстких дисков и смартфонов — нередко становятся каналом утечек данных и распространения шифровальщиков. Специалистам по цифровой криминалистике часто нужно восстановить точную хронологию: когда USB-устройство подключили, какие действия выполняли и когда его отключили. И в поиске первоисточника заражения сети, и при расследовании кражи данных уволенным сотрудником ответы нередко лежат в истории использования внешних носителей.

Цифровая криминалистика опирается на разнообразные артефакты — следы, которые оставляют как рядовые пользователи, так и злоумышленники. Журналы событий Windows (Windows Event Logs) выступают главной хронологической летописью работы операционной системы. Они фиксируют события безопасности, поведение приложений, активность служб и драйверов, а также данные о входе пользователей, включении и выключении компьютера. Поскольку Windows 10 и 11 генерируют огромный объем фоновых событий, поиск криминалистически значимых артефактов требует как специального ПО, так и навыков и чёткого понимания архитектуры и механизмов журналирования.

Реестр Windows остаётся одним из важнейших для расследования источников информации. Анализ ключей и значений реестра позволяет реконструировать системную активность и поведение пользователя. Реестр содержит информацию о запущенных программах, доступе к данным и подключении внешних устройств. Без автоматизированных криминалистических инструментов исследование реестра малоэффективно, но даже с их использованием интерпретация результатов всегда остаётся задачей эксперта.

В Windows существуют такие источники цифровых артефактов, о которых обычные пользователи не имеют представления. Многим известно о существовании журнала событий Windows Event Log, но мало кто знает о существовании другой базы данных, в которой хранятся данные о запущенных приложениях и сетевой активности. Эта база данных носит название SRUM (System Resource Usage Monitor). О её содержимом и о способах добраться до него мы и поговорим в сегодняшней статье.

Microsoft официально объявила, что новые учётные записи Microsoft будут создаваться без паролей. Это продолжение курса, начатого в Windows 11, на отказ от традиционных паролей в пользу более защищённых и «удобных» способов входа — PIN-кодов, биометрии и passkey. На первый взгляд — это шаг в сторону безопасности. Но в длительной перспективе изменения могут оказаться серьёзнее, чем кажутся на первый взгляд.

Низкоуровневое извлечение — единственный способ добраться до максимально полной информации, хранящейся в устройствах iOS/iPadOS. В очередном обновлении iOS Forensic Toolkit мы улучшили механизм установки агента, добавив установку с компьютеров Windows и Linux с использованием обычных учётных записей Apple ID.