Статьи

Извлечение информации из персональных компьютеров: постоянное развитие

Извлечение и анализ данных из рабочих станций на базе Windows, macOS и GNU/Linux с помощью модуля «Мобильный Криминалист Скаут» 一 ключ к раскрытию инсайдерства и расследованию инцидентов кибербезопасности. Модуль стремительно развивается, получая все больше новых возможностей в работе с данными ПК. 

За прошедший год мы разносторонне его совершенствовали: добавляли в каждой версии новые полезные функции. Рассмотрим развитие «Скаута» по месяцам и подробно остановимся на каждом обновлении.  

Февраль 

В зимней версии «Скаута» мы реализовали извлечение историй просмотров директорий и файлов (записи реестра Shellbags и файлы Jump Lists), а также данных о подключении съемных носителей (записи реестра USBSTOR) из компьютеров на базе OS Windows.

Кроме того, при исследовании рабочих станций на macOS для анализа стала доступна информация об истории операций с файлами из журналов Quarantine Events и FSEvents. 

Март

В конце марта стало возможным извлечение информации из ряда стандартных приложений для ПК на macOS. В их число вошли:

  1. Apple Messages, которое содержит такие данные, как время отправки и текст сообщения, сведения об отправителе, получателе и вложениях.
  2. Apple Notes. Здесь хранится информация о заметках владельца ПК. 
  3. Apple Reminders. Из этого приложения можно получить сведения обо всех запланированных событиях.
  4. Apple Photos, для анализа из которого доступны фото и видео владельца рабочей станции. 

Более того, добавлено получение токена из клиента мессенджера imo для Windows, который может быть впоследствие использован для авторизации в облачном сервисе и извлечения из него необходимой информации. 

Файлы Jump Lists
Quarantine Events
Apple Messages
Apple Notes
Apple Reminders
Apple Photos

Апрель

В релизе 1.5 в «Скауте» мы осуществили поддержку одного из самых защищенных мессенджеров 一 Signal, доступного для ПК на Windows, macOS и Linux. Модуль извлекает из приложения такие данные, как информация о контактах и групповых чатах, сохраненные на компьютере сообщения, вложения, геокоординаты прикрепленных ссылок на места и данные учетной записи. 

Июнь

Первый месяц лета принес модулю возможность работать не только с живыми системами, но и с образами жестких дисков в формате .e01 с файловой системой NTFS. 

В свою очередь, список поддерживаемых приложений Apple для рабочих станций на macOS пополнился четырьмя новыми пунктами: Apple Mail, Apple Contacts, Apple Calendar и Apple Maps. 

Из Apple Mail можно получить данные электронной почты владельца компьютера, в частности, сведения об отправителе и получателе писем, их текст, вложения и другое. Apple Contacts содержит подробную информацию о контактах, включая номер телефона, адрес, электронную почту и т. д. В стандартном приложении-календаре для извлечения и анализа доступны сведения обо всех отмеченных в нем событиях, а стандартная программа для навигации и просмотра карт, Apple Maps, хранит данные о добавленных в избранное и посещенных пользователем ПК местах.  

В дополнение, при работе с компьютерами под управлением OS Windows теперь исследуются подробные сведения о задачах, добавленных в системный планировщик. 

Signal
Apple Calendar
Apple Mail
Apple Maps
Apple Contacts
Планировщик задач

Июль

Начиная с версии 1.7 в «Мобильном Криминалисте Скауте» появилась возможность извлечения из образов жестких дисков в формате .e01 таких данных, как:

  1. Информация о запуске различных исполняемых файлов из реестра AmCache.
  2. Информация о системных пользователях из файлов реестра SAM и SOFTWARE.
  3. Сведения об альтернативных потоках NTFS.
  4. Список установленных на ПК приложений.
  5. Данные об активности приложений из базы ActivitiesCache.

Кроме того, была добавлена поддержка Amazon Photos (Windows, macOS), Facebook Messenger (Windows, macOS) и Zoom (Windows, macOS). 

«Скаут» получает из Zoom информацию о контактах, чатах и учетных записях, аналогичные категории данных он извлекает и из Facebook Messenger. А Amazon Photos, в свою очередь, хранит в себе файлы на рабочей станции владельца, а также сведения о файлах, находящихся в облаке, загруженных и синхронизированных. 

AmCache
Образы диска E.01
Данные о системных пользователях
Список приложений
Amazon Photos
Facebook Messenger
Zoom

Сентябрь 

В сентябрьских обновлениях модуля «Скаут» при работе с персональными компьютерами на OS Windows добавлена поддержка низкоуровневого доступа к дискам. Реализация этой функции позволяет извлекать всю информацию, которая ранее была доступна только при исследовании образов дисков, а также системные данные и сведения, которые хранятся в директориях других учетных записей ПК, и файлы, используемые приложениями, запущенными одновременно с модулем. 

Более того, начиная с версии 2.0, исследователь может получить и проанализировать следующую системную информацию:

  • историю запуска исполняемых файлов из файлов Prefetch;
  • данные обо всех файлах тома NTFS из главной файловой таблицы;
  • события из системного журнала Windows. 

Список приложений для ПК, с которыми работает «Скаут», дополнен еще четырьмя: 

  1. Telegram for macOS. Модуль извлекает из клиента мессенджера для macOS данные чатов, групп, опросов, учетной записи и многое другое. 
  2. Dropbox (Windows, macOS), из которого «Скаут» получает сведения о домашней базе данных, фотографиях, данные обо всех файлах в приложении, событиях календаря, а также об учетной записи владельца и многом другом. 
  3. Google Sync (Windows, macOS), который содержит подробную информацию о содержимом хранилища, в том числе об удалении какого-либо файла. 
  4. Skype (macOS). Модуль получает из клиента для macOS сведения об учетной записи владельца компьютера, контактах, чатах и кэше приложения.
Низкоуровневый доступ
Prefetch
Главная файловая таблица
Список системных событий
Telegram for macOS
Dropbox
Google Sync
Skype

Ноябрь

В последнем релизе осени осуществлен произвольный поиск файлов по заданным критериям, что позволяет быстро найти требуемые артефакты. Кроме того, «Скаут» получает из ПК на Windows такую информацию, как: история операций архиватора WinRAR, данные о файлах в Корзине (Recycle Bin) и последних открытых файлах в Recent Items.

Как и в предыдущих обновлениях, в поддержку добавлено несколько приложений. Из клиента Evernote для Windows и macOS с помощью «Скаута» можно извлечь и проанализировать данные об учетной записи пользователя, его контактах, чатах, блокнотах и заметках. В свою очередь, OneNote хранит сведения о заметках, вложениях и учетной записи пользователя. 

Более того, мы реализовали извлечение информации из корпоративного мессенджера Slack. С помощью нашего модуля исследователь получает из клиента приложения для ПК на Windows и macOS следующие сведения: данные о командах, личных и групповых чатах, каналах, а также об учетной записи владельца.  

«Мобильный Криминалист Скаут» показывает высокие темпы развития и становится все более удобным и практичным инструментом для исследования персональных компьютеров и ноутбуков на базе Windows, macOS и GNU/Linux, а также образов жестких дисков формата .e01. Мы не останавливаемся на достигнутом и продолжаем его усиление. Наша цель 一 создать многофункциональный инструмент для быстрого, эффективного и максимально результативного анализа ПК. Мы постепенно претворяем ее в жизнь.   

Recent Items
WinRAR
Данные корзины
Поиск файлов
Evernote
OneNote
Slack

Эффективная аналитика — ключ к успеху

Как вы знаете, в приоритетах разработчиков «Мобильного Криминалиста» не только расширение поддержки различных версий мобильных устройств, приложений, системных артефактов из ПК и облачных сервисов, но и развитие аналитического функционала, поддерживаемого нашим ПО. Мы стараемся разрабатывать все новые инструменты для того, чтобы облегчить работу исследователя с огромным массивом данных, сделать этот процесс более удобным и эффективным. Чего же нам удалось добиться в усовершенствовании аналитических возможностей за 2020 год?

Начнем с новых инструментов. Во-первых, колоссальные изменения произошли в работе с изображениями. Так, благодаря искусственному интеллекту, фотографии исследуются и распределяются по 14 категориям угроз, таким как оружие, алкоголь, наркотики, насилие и др. Для удобства медиафайлы обозначаются тегами, по которым их можно найти в секции «Важное» или вкладке «Изображения угроз».

Более того, интегрированные нейронные сети позволяют распознавать текст и похожие лица на изображениях в извлечении. Анализ текста на фотографиях, картинках и скриншотах можно осуществлять как при импорте нового извлечения, так и среди уже ранее полученных данных в разделе «Аналитика». В итоге, в специальном поле будет показан распознанный текст либо его отсутствие. Результаты распознавания лиц на изображениях находятся в разделе «Лица», в котором отображаются похожие друг на друга и знакомые между собой персоны.

Категоризация изображений
Распознавание лиц
Определение текста

Во-вторых, в разделе «Лента Событий» появились очень полезные для исследователя инструменты — «Диаграмма активности» и «Матрица активности». «Диаграмма активности» показывает, какие типы событий (звонки, сообщения или другие) происходили в определенный момент времени (год, месяц, день и т.д.) и в каком количестве. В свою очередь, по «Матрице активности» можно наглядно увидеть, в какое время владелец устройства наиболее часто его использовал, благодаря цвету ячейки, которая выделяется в зависимости от уровня активности — от зеленого до ярко-красного (от самого низкого до самого высокого уровня). 

В-третьих, в разделы «Лента Событий» и «Сообщения» внедрен новый инструмент «Смарт-фильтр», отображающий выборку сообщений контактов, упоминавших определенное слово, фразу или геоданные.

Матрица активности
Диаграмма активности
Смарт-фильтры

В-четвертых, было создано 3 новых аналитических раздела: «Статистика», «Отчеты» и «Системные Артефакты». Раздел «Статистика» содержит в себе обобщенную статистическую информацию об извлечении: активность использования устройства, коммуникации, количество файлов разных типов и т. д. Раздел «Отчеты» сохраняет данные обо всех отчетах, созданных по извлечению, включая те, которые были удалены или сохранены на внешний носитель. А в «Системных Артефактах» можно просмотреть информацию об использовании приложений, установленных на Android-устройствах.

Статистика
Отчеты
Расширенные настройки объединения контактов

Не были оставлены без внимания уже существующие всеми любимые аналитические инструменты. Начнем с изменений раздела «Контакты»: добавлены расширенные настройки объединения контактов — по собственным параметрам или стандартным настройкам программы, а также функция автоматического объединения совпадающих групп в одном или нескольких извлечениях, как в автоматическом, так и ручном режимах. Стоит заметить, что для контактов стало возможным задать псевдоним, который будет отображаться вместо имени контакта, а также открыть выбранные контакты в разделе «Граф Связей» для последующего анализа их коммуникаций между собой.

Кстати, о «Графе Связей», в нем появилась возможность сохранения скриншота графа в векторном или растровом форматах, а состояния «Графа Связей» — с нужными пользователю настройками. Помимо этого, различные режимы построения графа теперь отображаются в отдельных вкладках, что очень удобно для проведения исследования.

В модуле «Карты» тоже произошли изменения — часовой пояс отображаемого времени теперь настраивается не только на главном экране извлечения, но и в модуле «Карты», приводя геометки исследуемых файлов с разных устройств к единым показателям, учитывая переход на зимний или летний период. Во временном фильтре для обработки большого количества геоданных за один день можно указать интервал (часы, минуты), а не только дату периода исследования. Наконец, созданные скриншоты карт теперь добавляются во вкладку «Снимки» раздела «Отчеты». 

Не забудем и о функции «Поиска», которая теперь применяется и для анализа содержимого бинарных файлов с выбором нужных кодировок и типов файлов. Также «Поиск» производится по одному или нескольким шаблонам, создаваемым самим пользователем программы по его потребностям, как для имеющихся в базе, так и для новых извлечений.

Для эффективной работы с базами данных SQLite добавлены следующие опции: просмотр баз (общей информации, структуры файлов и содержимого таблиц) в отдельной вкладке, создание отчетов с содержимым SQLite-таблиц и результатами SQL-запросов, назначение псевдонимов для столбцов таблиц и многое другое. 

Отдельно стоит отметить, что аналитика в «МК» нового поколения начинается уже на этапе импорта извлечения. Порой, из-за нехватки времени, для экспертов идеальным решением было бы нажать на несколько клавиш, дождаться окончания процесса и получить ожидаемый результат. Именно поэтому, в 2020 году в продукте «Мобильный Криминалист Эксперт» появился «Мастер импорта», в котором есть возможность задать название устройства, дела, заметки и т. д., выбрать нужные опции работы с данными (восстановление удаленных данных и файлов, распознавание лиц, категоризацию изображений и многое другое) и параметры поиска информации (номер телефона, email, геокоординаты, IP-адрес и другое).

Поисковые шаблоны
SQLite
Мастер Импорта

С обновлением каждой версии наших продуктов мы внедряем новые аналитические инструменты и совершенствуем уже существующий функционал, учитывая разнообразные тонкости процесса исследования информации. Для успешного раскрытия преступления или инцидента важно не только извлечь массив данных, но и эффективно преобразовать его, разложив все «по полочкам». «Мобильный Криминалист» предоставляет широкие возможности для изучения различной информации, они будут полезны при любых возникающих трудностях у исследователя. Мы развиваемся для достижения вами колоссальных успехов в вопросе анализа данных.

Новые продукты 2020

На протяжении всего времени мы разрабатываем и предоставляем для наших пользователей различные продукты и дополнительные модули программы, которые  не только упрощают экспертную деятельность, но и повышают эффективность самих расследований. Что нового появилось на рынке от бренда «Мобильный Криминалист» за минувший год?

«Мобильный Криминалист Десктоп» — на страже безопасности

12 марта 2020 года наша компания представила новый продукт — «Мобильный Криминалист Десктоп», созданный для получения данных из ПК и ноутбуков на Windows, macOS и GNU/Linux и образов жестких дисков в формате .е01 с файловой системой NTFS. 

Продукт предназначен для быстрого и эффективного расследования инцидентов и  правонарушений. Сотрудники правоохранительных органов могут с его помощью провести первичную экспертизу данных ПК и сформировать конечный портрет их владельцев. Службам ИБ продукт поможет в расследовании корпоративных происшествий в компании, в том числе таких, как: утечка данных, инсайдерство, кража интеллектуальной собственности, выявление следов внешней атаки и др.

Решение данных задач новым продуктом возможно благодаря высокоскоростному извлечению из ПК множества информации:

  • системных артефактов (аппаратные данные, содержимое файловой системы, следы приложений, данные автозапуска, информация об активности пользователя, история подключений по USB);
  • содержимого мессенджеров и почтовых клиентов (сообщения, контакты и вложения);
  • информации из веб-браузеров (история посещения сайтов и поисковых запросов, данные форм автозаполнения, загрузки файлов, закладки, куки);
  • учетных данных  и токенов из сервисов, установленных на ПК;
  • данных секретных хранилищ Windows Vault и Apple Keychain; 
  • и многого другого!

«Мониторинг подключений»: эффективность работы с ПО 

Важное обновление произошло в продукте «Мобильный Криминалист Экспертный Центр» — появилась утилита «Мониторинг подключений».

«Мониторинг подключений» был создан для контроля использования сетевых лицензий и помощи в ведении отчетности по эффективности и результативности работы с ними.  Основное назначение утилиты заключается в исследовании информации о всех подключениях к серверу раздачи ключей: в окне программы отображаются характеристика подключений (в том числе их количество и длительность), список устройств, IP-адреса, даты начала рабочих сессий и многое другое. 

С каждой новой версией ПО мы совершенствуем данный инструмент: в версии 2.0 реализованы две возможности, которые позволяют отследить динамику работы с программным продуктом. Стали доступны просмотр количества подключений в определенный временной период и выявление наиболее загруженных периодов использования программного обеспечения на матрице активности, а также выведение отдельной статистики по работе с основным и вспомогательными ПО. Установив  новейшую версию программы 2.1, специалист сможет зафиксировать факт нехватки лицензий на линейной диаграмме, просмотреть информацию об удалении  пользователями устройств и дел, сохранении данных программы в форматы OFBX и OFBR и др. 

Календарь событий 

Несмотря на ограничения, вводимые в Москве в течение года из-за известных всем обстоятельств, год выдался очень насыщенным. Мы смогли организовать ежегодную конференцию «Mobile Forensics Day» совместно с партнерами Elcomsoft, Passware, Атом Безопасность, CSI Group, NtechLab, ЛАН-ПРОЕКТ. Более того, провели несколько различных мероприятий, а также приняли активное участие в выставке и семинарах, организованных другими компаниями в области цифровой криминалистики и информационной безопасности. В итоге календарь мероприятий нашей компании за 2020 год заполнили 28 ярких событий!

Самым главным мероприятием года для нас стала международная конференция в области цифровой криминалистики и информационной безопасности — «Mobile Forensics Day», которая состоялась 17 - 18 сентября в онлайн-формате. Конференцию посетило более 400 человек из разных уголков России и СНГ. На мероприятии присутствовали представители правоохранительных ведомств России и стран СНГ, а также государственных и коммерческих организаций: Газпром, Ингосстрах, Group-IB, Тинькофф, МегаФон, Лаборатория Касперского, InfoWatch, Ростелеком и многие другие.

Однако нам все же удалось встретиться очно. В начале года мы совместно с компаниями «ЛАН-ПРОЕКТ», «Elcomsoft» и чуть позже с компанией «Атом Безопасность» провели два великолепных семинара! На мероприятиях мы рассказывали сотрудникам правоохранительных органов и специалистам по кибербезопасности коммерческих организаций о новых возможностях нашего программного обеспечения, демонстрировали работу с ним, делились инсайтами, устраивали конкурсы и, конечно же, общались. Суммарная численность гостей семинаров составила более 120 человек из разных городов России и других стран СНГ!

В октябре этого года наша компания приняла участие в «INTERPOLITEX-2020». После долгой разлуки мы были очень рады встретиться с коллегами и пользователями, рассказать о всех возможностях нашего ПО, а также выступить на конференции, организованной в рамках выставки, и поделиться докладом на тему «Возможности АПК Мобильный Криминалист в сфере незаконного оборота наркотиков». 

Учиться, учиться и еще раз учиться 

Узнать о работе с ПО «Мобильный Криминалист» можно было не только на мероприятиях. В течение всего года наши специалисты организовывали онлайн-встречи для представителей различных правоохранительных структур и коммерческих организаций из РФ и стран СНГ. В этом году мы провели более 24 часов на практических онлайн-занятиях, рассказывая пользователям непосредственно о функционале наших продуктов и предлагаемых услугах, и, помогая тем самым, использовать решения, представленные нашей компанией, по максимуму. Также с этой целью мы открыли новый канал связи, и теперь каждый официальный пользователь «МК» может обратиться напрямую к экспертам компании по любому вопросу, связанному с нашими программными продуктами, в закрытом Telegram-чате. 

Помимо этого, мы запустили собственный курс (ссылка), на который еще можно успеть зарегистрироваться, ведь он пройдет только в феврале 2021 года. Тренинг ориентирован на практикующих экспертов в области цифровой криминалистики и информационной безопасности. Обучение совместно проведут специалисты «Оксиджен Софтвер» и «Академии Информационных Систем». 

Учебы много не бывает: на нашем новом, удобном и современном сайте вы найдете много интересного. Только за последний год мы добавили более 45 статей о мобильных устройствах, приложениях, форензике и облачных сервисах, более 100 инструкций по работе с ПО, а также реализовали возможность посмотреть бесплатный видеокурс по использованию программы «Мобильный Криминалист», который включает в себя более 37 уроков!

Пандемия не приговор?

Несмотря на все происходящее вокруг, в 2020 году мы продолжали совершенствовать свои продукты, создавали уникальные инструменты и всегда были на связи. Для нас этот год запомнится выпуском нового  решения в области исследования данных на ПК, успешным обходом защиты устройств iOS, Samsung Exynos, Huawei Kirin, MediaTek и поддержкой пофайлового шифрования, а также добавлением новых облачных сервисов, приложений и мощных аналитических инструментов. С маркетинговой точки зрения — глобальным обновлением медиа источников компании и участием в ярких событиях в области информационной безопасности и мобильной криминалистики.

Что принесет нам следующий год? Остается только догадываться и, сохраняя веру в лучшее, надеяться, что пандемия скоро пройдет, и жизнь вернется в привычное русло. Тем не менее, в одном можно быть уверенным точно: впереди нас ждет множество интересных событий, о которых мы вам обязательно расскажем, и одно произойдет уже в ближайшем будущем! 

Оставайтесь с нами и следите за новостями на нашем официальном сайте и в социальных сетях. Мы верим — все будет оксигенно!