Статьи

Извлечение данных из персональных компьютеров и ноутбуков остается одной из главных и актуальных задач в области криминалистики. По мере технологического прогресса, появляются все более сложные вызовы и технические нюансы, которые могут стать барьером для успешного расследования инцидента. Мы всегда идем в ногу со временем, постоянно актуализируем и улучшаем функционал модуля «Скаут». С каждой версией модуль приобретает новые источники данных для анализа. 

 Что нового появилось в версии 1.7? 

Самым главным обновлением «Скаута» в версии 1.7 можно считать добавление для исследования новых системных артефактов из образов жестких дисков персональных компьютеров на OS Windows.

Теперь для извлечения и анализа доступны данные из файлов реестра AmCache, SAM и SOFTWARE, позволяющих осуществить процедуру первичной оценки целевой системы. Поддержка работы с данными файлами обеспечивает возможности:

  • изучения списка установленных приложений и исполняемых файлов на устройстве с их именем, описанием, версией;
  • проведения анализа информации обо всех системных учетных записях и группах;
  • определения уровня привилегий пользователя и соответственно установления возможности или невозможности совершения им отдельных операций, как на этом устройстве пользователя, так и на других ПК в общей сети. 

"

Также для извлечения из образов дисков стали доступны данные альтернативных потоков Alternate Data Streams (ADS) файловой системы NTFS, которые невидимы для обычного пользователя и хранят информацию о том, что данный файл был получен из внешней или внутренней сети. Это позволяет отследить не только перемещение файла, но и его происхождение, а также весь список файлов с отображением имени потока, даты создания и последнего изменения и их содержимого. Это может помочь найти скрытые хранилища, которые часто используются киберпреступниками. Злоумышленники создают их с целью спрятать данные от пользователя или тех, кто будет исследовать систему. 

"

Помимо этого, при извлечении данных с ПК и ноутбуков на Windows 10 можно просмотреть базу данных ActivitiesCache, которая содержит историю запуска владельцем ПК приложений и продолжительность работы с ними. Если приложение запускалось несколько раз, то будет храниться информация о каждом его запуске отдельно.

"

Однако, мы не ограничились только добавлением новых типов источников системных данных и реализовали поддержку 3 новых приложений на платформах Windows и macOS.

Zoom — популярное приложение для проведения видеоконференций, которое используют более 300 миллионов пользователей в день. Для извлечения доступны: лента событий, контакты, приватные и групповые чаты, а также информация об учетной записи.

"

Facebook Messenger, отдельный сервис, заменивший чат в самой популярной социальной сети мира — Facebook. Из данного приложения реализована возможность получить такие сведения, как лента событий, контакты, приватные и групповые чаты, а также информацию об учетной записи.

"

Amazon Photos — облачное хранилище для фотографий, сделанных на устройстве, от всемирно известной компании Amazon. «Скаут» извлекает информацию не только о файлах, находящихся в облаке, но и данные о скачанных, загруженных и синхронизированных файлах. 

"

«Скаут» в очередной раз взял новую вершину, но далеко не последнюю, а имеющийся в модуле функционал позволяет не только сравнивать, но и ставить его в один ряд с передовыми решениями в области компьютерной форензики.