Новые криминалистические инструменты

В последнем обновлении продукта появился набор инструментов для поиска цифровых улик. Загрузив исследуемый компьютер с внешнего накопителя, эксперт сможет использовать функции просмотра списка установленных в системе приложений и анализа действий пользователей на компьютере с привязкой к временной шкале. Кроме того, доступен инструмент, позволяющий узнать, к каким файлам и папкам пользователь недавно обращался. Для проведения анализа не потребуются пароли пользователей.

Криминалистическая чистота и гарантия неизменности цифровых улик

Elcomsoft System Recovery обеспечит гарантию неизменности извлекаемых данных и криминалистической чистоты улик, собранных в процессе анализа компьютеров в полевых условиях. Исследуемые диски по умолчанию монтируются в режиме «только для чтения», что гарантирует неизменность данных на исследуемом компьютере в процессе анализа. Поддержка использующегося криминалистическими программами стандарта образов дисков .E01, в котором теперь могут сохраняться данные, обеспечивает возможность подписи создаваемых образов с последующей верификацией неизменности извлечённых данных.

Сбор и анализ цифровых улик на выезде

Распространённая практика судебной экспертизы – анализ образов дисков, а не физических устройств. И если традиционный подход к анализу предполагает извлечение жёсткого диска из корпуса компьютера, то Elcomsoft System Recovery позволяет создавать образы дисков, не извлекая накопители. Загрузка системы с USB накопителя позволяет свести к нулю риски, связанные с исследованием загруженной системы с активной пользовательской сессии.

При работе на выезде определяющим фактором зачастую является время, затраченное на поиск и анализ улик; в то же время важно обеспечить чистоту собранных в процессе анализа данных с правовой точки зрения. При создании образов дисков необходимо обеспечить как неизменность изначальных данных и доказательное соответствие снятого образа оригиналу, так и неизменность самого образа в процессе его хранения и обработки.

Сохранение криминалистической чистоты собранных улик начинается с первого звена цепочки. Именно по этой причине стандартная методика предписывает отключение компьютера и изъятие жёстких дисков (а также снятие образа оперативной памяти). Elcomsoft System Recovery предлагает альтернативный способ доступа к данным, позволяющий сэкономить время и усилия во время работы на выезде. Программа поможет преодолеть проблему доступа к заблокированной системе загрузкой с внешнего накопителя, обеспечивая возможность исследования компьютеров в полевых условиях и позволяя снять образ дисков компьютера, найти зашифрованные тома и зашифрованные виртуальные машины. Elcomsoft System Recovery можно рекомендовать в качестве замены специализированным аппаратным комплексам для снятия образов дисков с функцией блокировки записи.

Криминалистическая чистота извлечения и гарантия неизменности цифровых улик

Возможности контроля целостности и неизменности данных в процессе изъятия и хранения превращают Elcomsoft System Recovery в незаменимый инструмент для экспертов-криминалистов, работающих на выезде. Доступ к исследуемым дискам по умолчанию производится в режиме «только для чтения», что гарантирует неизменность данных в процессе анализа.

С первых шагов работы Elcomsoft System Recovery автоматически активируется режим «только для чтения», что гарантирует неизменность данных в процессе анализа. В этом режиме можно снимать образы дисков, извлекать метаданные шифрования, а также проводить анализ файловой системы посредством встроенного менеджера файлов.

Неизменность извлекаемых данных обеспечивается цифровой подписью созданных программой образов дисков. В качестве формата для сохранения образов дисков рекомендуется распространённый формат E01, использующийся в качестве стандарта де-факто многочисленными криминалистическими программами. Поддержка формата .E01 с цифровой подписью гарантирует целостность и неизменность сделанных программой образов, обеспечивая криминалистическую чистоту собранных в процессе анализа улик.

Быстрый доступ к содержимому зашифрованных дисков

Пользователи Elcomsoft System Recovery могут получить доступ к зашифрованной информации быстрее, чем при использовании традиционных подходов. ESR автоматически определит наличие зашифрованных BitLocker, LUKS, PGP и TrueCrypt/VeraCrypt томов с последующим извлечением информации, необходимой для восстановления пароля к зашифрованному диску. Кроме того,
на USB-накопитель можно сохранить содержимое системного файла гибернации, из которого могут быть извлечены ключи шифрования для мгновенного монтирования или расшифровки
зашифрованных дисков.

Поиск зашифрованных виртуальных машин

Виртуальные машины, защищённые стойким шифрованием, получили широкое распространение в криминальной среде. Использование не оставляющих цифрового следа зашифрованных виртуальных машин позволяет злоумышленникам минимизировать утечку инкриминирующих данных.

Поиск и расшифровка таких виртуальных машин – одна из важных задач эксперта-криминалиста. Elcomsoft System Recovery 7.07 позволяет ускорить процесс путём автоматического поиска зашифрованных виртуальных машин. При их обнаружении продукт сохраняет метаданные шифрования, необходимые для восстановления пароля посредством Elcomsoft Distributed Password Recovery.

Восстановление доступа к заблокированным учётным записям Windows

До 40% обращений в службы технической поддержки связаны с забытыми или утерянными паролями для входа в систему. Elcomsoft System Recovery помогает мгновенно вернуть доступ путем сброса паролей или разблокирования учётных записей, поддерживая как локальные записи (включая Microsoft accounts), так и записи на контроллере домена.

Сбросить или восстановить

Elcomsoft System Recovery позволяет сбросить пароли к учётным записям, в то же время включая ряд атак, с помощью которых в ряде случаев за короткое время могут быть найдены оригинальные пароли.

Elcomsoft System Recovery разблокирует учётные записи Администратора и других пользователей в системах Windows Windows 7, Windows 8/8.1, Windows 10, а также множество устаревших систем, включая Windows Vista, Windows XP, Windows 2000 и Windows NT, включая все серверные редакции. Поддерживаются как 32-битные, так и 64-битные версии.

Примеры использования

Elcomsoft System Recovery позволяет не только восстанавливать или сбрасывать пароли, но поможет и при некоторых других проблемах, связанных с доступом в систему. Например, с его помощью также можно:

• Провести извлечение и анализ цифровых улик на выезде
• Снять образы дисков, собрать цифровые улики с гарантией целостности и неизменности данных
• Присвоить привилегии Администратора учётной записи любого пользователя
• Создать образы дисков для последующего анализа в лаборатории
• Разблокировать учётную запись (которая была явно заблокирована Администратором, или после нескольких неудачных попыток ввода пароля)
• Сбросить или поменять пароль к учётной записи пользователя
• Показать список всех учётных записей в системе, выделив те, у которых есть привилегии Администратора
• Показать список привилегий пользователя
• Найти учётные записи с пустым паролем
• Мгновенно восстановить пароли к некоторым специальным/системным учётным записям (например, IUSR, HelpAssistant и т.д.)
• Создать резервные копии файлов SAM/SYSTEM (и при необходимости восстановить из них – например, после входя в систему с новым паролем или после повышения привилегий)
• Извлечь метаданные шифрования с зашифрованных дисков и использовать их для подбора пароля