Сбор и анализ цифровых улик на выезде
Распространённая практика судебной экспертизы – анализ образов дисков, а не физических устройств. И если традиционный подход к анализу предполагает извлечение жёсткого диска из корпуса компьютера, то Elcomsoft System Recovery позволяет создавать образы дисков, не извлекая накопители. Загрузка системы с USB накопителя позволяет свести к нулю риски, связанные с исследованием загруженной системы с активной пользовательской сессии.
При работе на выезде определяющим фактором зачастую является время, затраченное на поиск и анализ улик; в то же время важно обеспечить чистоту собранных в процессе анализа данных с правовой точки зрения. При создании образов дисков необходимо обеспечить как неизменность изначальных данных и доказательное соответствие снятого образа оригиналу, так и неизменность самого образа в процессе его хранения и обработки.
Сохранение криминалистической чистоты собранных улик начинается с первого звена цепочки. Именно по этой причине стандартная методика предписывает отключение компьютера и изъятие жёстких дисков (а также снятие образа оперативной памяти). Elcomsoft System Recovery предлагает альтернативный способ доступа к данным, позволяющий сэкономить время и усилия во время работы на выезде. Программа поможет преодолеть проблему доступа к заблокированной системе загрузкой с внешнего накопителя, обеспечивая возможность исследования компьютеров в полевых условиях и позволяя снять образ дисков компьютера, найти зашифрованные тома и зашифрованные виртуальные машины. Elcomsoft System Recovery можно рекомендовать в качестве замены специализированным аппаратным комплексам для снятия образов дисков с функцией блокировки записи.
Криминалистическая чистота извлечения и гарантия неизменности цифровых улик
Возможности контроля целостности и неизменности данных в процессе изъятия и хранения превращают Elcomsoft System Recovery в незаменимый инструмент для экспертов-криминалистов, работающих на выезде. Доступ к исследуемым дискам по умолчанию производится в режиме «только для чтения», что гарантирует неизменность данных в процессе анализа.
С первых шагов работы Elcomsoft System Recovery автоматически активируется режим «только для чтения», что гарантирует неизменность данных в процессе анализа. В этом режиме можно снимать образы дисков, извлекать метаданные шифрования, а также проводить анализ файловой системы посредством встроенного менеджера файлов.
Неизменность извлекаемых данных обеспечивается цифровой подписью созданных программой образов дисков. В качестве формата для сохранения образов дисков рекомендуется распространённый формат E01, использующийся в качестве стандарта де-факто многочисленными криминалистическими программами. Поддержка формата .E01 с цифровой подписью гарантирует целостность и неизменность сделанных программой образов, обеспечивая криминалистическую чистоту собранных в процессе анализа улик.
Быстрый доступ к содержимому зашифрованных дисков
Пользователи Elcomsoft System Recovery могут получить доступ к зашифрованной информации быстрее, чем при использовании традиционных подходов. ESR автоматически определит наличие зашифрованных BitLocker, LUKS и LUKS2, PGP и TrueCrypt/VeraCrypt томов с последующим извлечением информации, необходимой для восстановления пароля к зашифрованному диску[1]. Кроме того,
на USB-накопитель можно сохранить содержимое системного файла гибернации, из которого могут быть извлечены ключи шифрования для мгновенного монтирования или расшифровки
зашифрованных дисков[2].
Поиск зашифрованных виртуальных машин
Виртуальные машины, защищённые стойким шифрованием, получили широкое распространение в криминальной среде. Использование не оставляющих цифрового следа зашифрованных виртуальных машин позволяет злоумышленникам минимизировать утечку инкриминирующих данных.
Поиск и расшифровка таких виртуальных машин – одна из важных задач эксперта-криминалиста. Elcomsoft System Recovery 7.07 позволяет ускорить процесс путём автоматического поиска зашифрованных виртуальных машин. При их обнаружении продукт сохраняет метаданные шифрования, необходимые для восстановления пароля посредством Elcomsoft Distributed Password Recovery.
Восстановление доступа к заблокированным учётным записям Windows
До 40% обращений в службы технической поддержки связаны с забытыми или утерянными паролями для входа в систему. Elcomsoft System Recovery помогает мгновенно вернуть доступ путем сброса паролей или разблокирования учётных записей, поддерживая как локальные записи (включая Microsoft accounts), так и записи на контроллере домена.
Сбросить или восстановить
Elcomsoft System Recovery позволяет сбросить пароли к учётным записям, в то же время включая ряд атак, с помощью которых в ряде случаев за короткое время могут быть найдены оригинальные пароли.
Elcomsoft System Recovery разблокирует учётные записи Администратора и других пользователей в системах Windows Windows 7, Windows 8/8.1, Windows 10, а также множество устаревших систем, включая Windows Vista, Windows XP, Windows 2000 и Windows NT, включая все серверные редакции. Поддерживаются как 32-битные, так и 64-битные версии.
Просмотр и анализ журналов событий Windows
В Elcomsoft System Recovery встроен инструмент для быстрого просмотра и анализа журналов событий Windows Event Logs (EVTX). Журналы событий содержат множество данных о действиях в системе, включая попытки входа, подключение устройств и установку программного обеспечения. Эти журналы помогают отследить несанкционированный доступ, выявить вредоносные действия и установить временные рамки событий, что может существенно продвинуть процесс расследования.
Примеры использования
Elcomsoft System Recovery позволяет не только восстанавливать или сбрасывать пароли, но поможет и при некоторых других проблемах, связанных с доступом в систему. Например, с его помощью также можно:
- Провести извлечение и анализ цифровых улик на выезде
- Снять образы дисков, собрать цифровые улики с гарантией целостности и неизменности данных
- Присвоить привилегии Администратора учётной записи любого пользователя
- Создать образы дисков для последующего анализа в лаборатории
- Разблокировать учётную запись (которая была явно заблокирована Администратором, или после нескольких неудачных попыток ввода пароля)
- Сбросить или поменять пароль к учётной записи пользователя
- Показать список всех учётных записей в системе, выделив те, у которых есть привилегии Администратора
- Показать список привилегий пользователя
- Найти учётные записи с пустым паролем
- Мгновенно восстановить пароли к некоторым специальным/системным учётным записям (например, IUSR, HelpAssistant и т.д.)
- Создать резервные копии файлов SAM/SYSTEM (и при необходимости восстановить из них – например, после входя в систему с новым паролем или после повышения привилегий)
- Извлечь метаданные шифрования с зашифрованных дисков и использовать их для подбора пароля
Дополнительные решения
Elcomsoft Encrypted Disk Hunter
Elcomsoft Encrypted Disk Hunter – бесплатная утилита командной строки, цель работы которой – обнаружить наличие или признаки наличия зашифрованных томов и крипто-контейнеров.
Утилитой поддерживаются зашифрованные диски TrueCrypt/VeraCrypt, BitLocker, PGP WDE, FileVault2, BestCrypt и LUKS, созданные в Windows, macOS и Linux. Для сканирования системы достаточно запустить портативную версию утилиты с любого носителя. При обнаружении зашифрованных рекомендуется не отключать питание компьютера, а снять образ оперативной памяти и осуществить поиск ключей шифрования. Если ключ шифрования будет найден, зашифрованные диски можно будет смонтировать или расшифровать без проведения длительных атак.
» Узнать больше о Elcomsoft Encrypted Disk Hunter в нашем блоге
-
Для восстановления паролей к зашифрованным томам необходимо воспользоваться комплексом Elcomsoft Distributed Password Recovery.
-
Для извлечения ключей шифрования, монтирования или расшифровки зашифрованных дисков необходимо воспользоваться утилитой Elcomsoft Forensic Disk Decryptor.