26 февраля 2026 года в Москве состоялась конференция «Цифровая криминалистика ‘26», организованная компанией «МКО Системы» при поддержке партнеров «Эккаунт-Бест», ACELab, «Эстер Солюшнс» и «Ампликом». Ее программа традиционно включала доклады практикующих специалистов, посвященные современным инструментам анализа данных, исследованию цифровых артефактов и практическим аспектам проведения расследований.
Серию выступлений открыла Валерия Вахрушина («МКО Системы»), которая рассказала о практических задачах подбора паролей при работе с зашифрованными данными. Сегодня специалисты все чаще сталкиваются с архивами, офисными файлами и резервными копиями мобильных устройств, доступ к которым защищен паролем. Одной из ключевых тем выступления стал функционал модуля «МК Брутфорс» в составе ПО «Мобильный Криминалист», который предназначен для подбора паролей и хешей к различным типам зашифрованных данных с использованием вычислительных мощностей видеокарт и центрального процессора.
Серию выступлений открыла Валерия Вахрушина («МКО Системы»), которая рассказала о практических задачах подбора паролей при работе с зашифрованными данными. Сегодня специалисты все чаще сталкиваются с архивами, офисными файлами и резервными копиями мобильных устройств, доступ к которым защищен паролем. Одной из ключевых тем выступления стал функционал модуля «МК Брутфорс» в составе ПО «Мобильный Криминалист», который предназначен для подбора паролей и хешей к различным типам зашифрованных данных с использованием вычислительных мощностей видеокарт и центрального процессора.
Тему цифровых следов затронул Алексей Москвичев («МКО Системы»), рассмотревший работу AI-ассистентов. Взаимодействие с такими сервисами отражается в системе и формирует артефакты на устройствах пользователей. В рамках исследования были изучены iOS- и Android-смартфона после работы с популярными AI-сервисами ChatGPT и DeepSeek через приложения и браузеры. По результатам наблюдений, приложения обычно сохраняют больше служебной информации, тогда как при использовании браузера на устройстве остаются лишь косвенные признаки активности, например, история посещений и технические данные о сеансах работы.
Разговор о мобильных исследованиях продолжил Никита Вьюгин («МКО Системы»), рассказавший о методах извлечения данных при помощи агентов. Смартфон сегодня представляет собой сложную и постоянно меняющуюся цифровую среду. В таких условиях не может быть одного универсального способа извлечения данных, и специалистам приходится выбирать подходящий уровень доступа с учетом конкретной ситуации. Одним из примеров инструментов для такой работы являются агенты ПО «Мобильный Криминалист» — приложения, которые дают возможность без агрессивного вмешательства извлекать пользовательские данные из устройства.
Исследованию цифровых артефактов десктопных приложений было посвящено следующее выступление Андрея Шавловского, который рассмотрел анализ зашифрованных баз данных мессенджеров на примере Signal Desktop. Спикер рассказал о том, как в приложении организованы базы данных и хранение вложений, а также о механизмах защиты информации. Он также остановился на подходах, которые позволяют специалистам получать доступ к таким данным и анализировать их в рамках цифровой экспертизы.
Дальнейшее обсуждение вышло за пределы отдельных устройств и приложений и затронуло более сложные цифровые среды. Максим Суханов (CICADA8) выступил с докладом об особенностях расследований в виртуализированных инфраструктурах на базе VMware ESXi. Такие системы объединяют множество виртуальных машин и сервисов, поэтому при расследованиях особое внимание уделяется хранилищам данных и системным журналам. Спикер уделил внимание тому, где именно в такой инфраструктуре искать следы активности, анализ которых помогает восстановить события, происходившие в инфраструктуре, и понять, какие действия выполнялись в системе.
Практическую тему работы с мобильными устройствами продолжил Филипп Трушин (ACELab), рассказавший о возможностях комплекса «PC-3000 Mobile» и новом варианте поставки решения, при котором программное обеспечение используется совместно с USB-ключом безопасности. Кроме того, для решения задачи подбора паролей был представлен «Модуль ускорения перебора», который позволяет объединять вычислительные мощности видеокарт и центрального процессора и использовать их совместно для ускорения процесса. Он также поддерживает распределенный режим работы, при которой несколько рабочих станций формируют вычислительный кластер. В результате скорость перебора может увеличиваться на порядки, что существенно сокращает время решения криминалистических задач.
После обсуждения цифровых методов расследования речь зашла о техническом анализе сложных устройств. Игорь Зайцев («Эккаунт-Бест») рассказал о роли радиотехнической экспертизы в ходе расследований.
Заключительный доклад представил Дмитрий Борощук (BeholderIsHere Consulting), который посвятил выступление прикладным методам анализа фото- и видеоматериалов при расследовании инцидентов. Спикер отдельно остановился на распространенных заблуждениях при обработке видео и поделился множеством практических решений по работе с видеоматериалами, включая определение кодеков и метаданных, корректную переупаковку файлов без потери качества, а также методы синхронизации видеозаписей и улучшения аудиодорожки.
Завершилось мероприятие неформальным общением, которое позволило продолжить профессиональные дискуссии и подвести итоги встречи. Конференция «Цифровая криминалистика ‘26» показала, насколько стремительно меняется цифровая среда, с которой сегодня работают специалисты. В этих условиях особенно важны современные инструменты анализа и постоянный обмен практическим опытом. Развитие технологий усложняет задачи, но одновременно открывает новые возможности для расследований и цифровой экспертизы.
