Статьи

Вопрос извлечения данных из ПК берет свое начало в 80-х годах 20 века и является не менее интересным и сложным, чем вопрос получения данных из мобильных устройств.

В процессе развития ПК совершенствовались и средства извлечения информации из них, которые можно разделить на две группы – профессиональные (используются сотрудниками правоохранительных органов при проведении компьютерно-технической экспертизы исследуемых ПК и находятся в закрытом доступе) и общедоступные. Популярные общедоступные бесплатные программы – Nirsoft, LaZagne, Mimikatz, Multi Password Recovery Tool, по отдельности извлекают из компьютеров практически все типы данных, которые на нем хранятся – от учетных записей до переписки в десктопных версиях современных мессенджеров. 

Чаще всего рассматриваемые программы достают из ПК один тип данных, либо объединяют в себе множество утилит (как Nirsoft), каждая из которых отвечает за получение данных одного типа. 

Стоит отдать должное разработчикам таких ПО – они разработали инструменты, которые широко используются специалистами разных отраслей. Однако, компьютерные технологии развиваются, современный мир требует все больше оперативности, а такой подход в исследовании информации из ПК занимает достаточно много времени, так как пользователь вынужден устанавливать отдельно каждый компонент, работать с ними по очереди, а также самостоятельно собирать полученные данные в единую базу для их последующего анализа.

Чтобы максимально ускорить время работы пользователей с ПО для извлечения данных, современные компании-разработчики стараются объединять такие утилиты в единый инструмент. Компания «Оксиджен Софтвер» не является исключением. 

В июне прошлого года «Оксиджен Софтвер» добавила в свой флагманский продукт, «Мобильный Криминалист Детектив», поддержку нового модуля – «Скаут», который изначально извлекал учетные данные из браузеров Google Chrome, Mozilla Firefox, Internet Explorer, а также токены из десктопных программ – iCloud for Windows, Telelgram Desktop и Unigram X.

Спустя 10 месяцев значительно выросло количество данных, извлекаемых из ПК. С каждым выпуском «Мобильный Криминалист Скаут» приобретал новый функционал. Уже в версии 10.4 он находил и извлекал из ПК данные о Wi-Fi-точках.

В версиях 11.0 и 11.2 появилась поддержка приложений WhatsApp Desktop и TamTam Desktop соответственно. 

В версии 11.3 был представлен функционал поиска данных портативных программ и программ, установленных по нестандартным путям, а также поиска резервных копий iTunes. После этого пользователи ПО «Мобильный Криминалист» отмечали, что «Скаут» стал находить гораздо больше криминалистически важной информации.

Специалисты компании «Оксиджен Софтвер» не остановились на достигнутом и в новой версии программы представили еще более широкий функционал модуля «Мобильный Криминалист Скаут». Версия 11.4 позволяет извлекать из браузеров не только учетные данные и токены, но и историю посещений, закладки, данные форм автозаполнения и файлы cookies. Также теперь доступна поддержка браузера – Microsoft Edge и приложения для ПК – Wickr Me Desktop.

В результате на данный момент «Скаут» может находить и извлекать из ПК следующую информацию: 

  • Учетные записи и токены, закладки, данные форм автозаполнения, история посещений и cookies из интернет-браузеров Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer;
  • Учетные данные и токены:
    1. Из программ iCloud for Windows, Telelgram Desktop, Unigram X, WhatsApp Desktop, TamTam Desktop, Wickr Me Desktop;
    2. Из портативных версий программ и программ, установленных по нестандартному пути;
  • Wi-Fi точки доступа и пароли к ним из операционной системы Windows;
  • Резервные копии iTunes из файловой системы ПК.

Кроме того, всю собранную информацию «Скаут» сохраняет в одну выбранную папку в несколько документов различных форматов для их подробного анализа:

    1. OCPK файл – хранит в себе все найденные учетные данные и токены;
    2. ZIP файл – резервные копии iTunes;
    3. ODB файл – включает в себя все данные, извлеченные из браузеров.

Как работать со «Скаутом»?

Скачать модуль на съемный носитель;

Запустить модуль на исследуемом ПК;

Выбрать режим поиска;

Подождать, пока программа найдет данные на ПК;

Сохранить данные в форматах OCPK, ODB и ZIP;

Импортировать резервные копии iTunes в модуль «Мастер Извлечения Данных» для их последующего изучения;

Импортировать файл OCPK в модуль «Мобильный Криминалист Облачные Сервисы» для просмотра учетных записей и последующего извлечения данных из поддерживаемых облачных сервисов;

Импортировать файл ODB в программу «Мобильный Криминалист Эксперт» для анализа полученных данных. Beta-версия ПО «Мобильный Криминалист Эксперт» доступна для скачивания на персональной странице пользователя.

«За прошедший год мы постарались расширить функционал модуля «Мобильный Криминалист Скаут» для удобной и быстрой работы с данными из исследуемых ПК» – говорит генеральный директор компании ООО «Оксиджен Софтвер», Сергей Соколов, – «Мы будем продолжать работать над улучшением данного модуля. В ближайшем релизе «Скаут» будет извлекать новые типы данных из поддерживаемых приложений для ПК» – подчеркнул Сергей.

Таким образом, уже сегодня «Скаут» постепенно становится отдельным мощным инструментом компьютерной форензики, функционал которого будет только расти с каждым новым релизом «Мобильного Криминалиста».