В мире цифровой криминалистики не существует универсальных решений. У каждой операционной системы свои механизмы хранения данных, защиты и шифрования, свои способы взаимодействия с памятью и файлами. Создать инструмент, одинаково эффективно работающий на популярных платформах, — задача не из простых. Тем не менее, модуль «МК Скаут», входящий в состав программного обеспечения «Мобильный Криминалист», способен извлекать данные из запущенных систем, обнаруживать пароли, системные артефакты и следы пользовательской активности на трех ОС: Windows, macOS и GNU/Linux. Разберем по порядку, какие задачи решает «МК Скаут» для Windows и какие возможности реализованы для macOS и GNU/Linux.
Ключевые особенности «МК Скаут»
Модуль «МК Скаут» предлагает продуманную функциональность: для платформ Windows, macOS и GNU/Linux предусмотрено получение информации из запущенной системы, а для Windows — дополнительно извлечение данных из образов дисков и внешних накопителей. Доступны сигнатурный поиск, работа с наборами хешей и отдельными хешами, а также возможность файлового карвинга*. Помимо этого, реализован широкий набор функций, которые объединены в едином модуле без необходимости подключения сторонних компонентов.
Поддерживается и портативный режим: достаточно записать модуль на USB-носитель и запустить на целевом устройстве. Такой формат ценен, когда требуется извлечь данные из устройства при оперативном реагировании на инцидент.
Windows: расширенный доступ к данным
На устройствах под управлением Windows «МК Скаут» может выполнять полный спектр задач: исследовать запущенную систему, как физические, так и логические образы дисков, работать с внешними накопителями, сохранять и снимать образы памяти*, отображать структуру разделов и подключенных томов, извлекать содержимое оперативной памяти, находить и восстанавливать удаленные файлы, идентифицировать потенциально вредоносные объекты, извлекать данные из зашифрованных разделов, проводить карвинг файлов*, автоматически передавать извлеченную информацию в модуль импорта и анализа данных, а при необходимости использовать встроенный модуль подбора паролей «МК Брутфорс» для работы с защищенными контейнерами и архивами.
Дополнительно «МК Скаут» позволяет извлекать из устройств на Windows широкий набор системных артефактов — от журналов событий и истории пользовательских сеансов до кэша DNS, записей об использовании USB-устройств и данных из реестра Windows. Из оперативной памяти можно получить информацию о запущенных процессах, сетевых соединениях, ключах шифрования BitLocker и VeraCrypt, загруженных модулях, дескрипторах файлов и файловых объектах ядра. Все извлеченные данные могут быть автоматически импортированы в модуль дальнейшего анализа в ПО «Мобильный Криминалист».
Возможности для macOS и GNU/Linux
Как macOS, так и GNU/Linux активно используются в корпоративных средах и у обычных пользователей, поэтому извлечение данных из них также важно для расследований. Однако из-за ограничений архитектуры этих платформ «МК Скаут» на текущий момент получает информацию только из запущенных систем при помощи загрузки модуля на съемный носитель.
В то же время даже в ограниченном режиме возможно получить обширный массив информации. На macOS доступны такие артефакты, как история системных событий (Apple Unified Logs, System Events), сведения об учетных записях Apple ID, данные Bluetooth-устройств, информация о сетевых подключениях, а также пользовательские предпочтения и настройки. Извлекаются журналы приложений, история запросов в Spotlight, данные об активности в Finder, информация об установленных пакетах и список недавних документов и подключений. Также сохраняется история использования Терминала и список процессов, активных на момент извлечения, и данные других системных артефактов.
В GNU/Linux возможен доступ к журналам процессов, спискам установленных пакетов, истории команд в терминале, активности пользователей и данных о системе. Извлекается информация о файлах, открытых пользователями, активности приложений, параметрах учетных записей и настройках. Также может быть получена история взаимодействия с текстовыми редакторами, включая Vim, и SSH-подключениями.
Эти данные дают возможность зафиксировать текущее состояние системы, получить представление об активности пользователя и сохранить информацию для последующего анализа в «Мобильном Криминалисте».
Получение пользовательских данных приложений
Одним из основных преимуществ «МК Скаута» является возможность извлечения информации из широкого перечня приложений для Windows, macOS и GNU/Linux, который регулярно обновляется. Модуль поддерживает почтовые клиенты, включая Outlook, Thunderbird и Apple Mail, мессенджеры вроде WhatsApp, Telegram, Wickr Me, Discord и Signal, облачные хранилища Dropbox, OneDrive, Google Drive и iCloud и другие. Дополнительно может быть получена информация из менеджеров паролей, включая 1Password, Bitwarden и KeePass, а также большинство популярных браузеров: Chrome, Firefox, Safari, Opera, Brave, Edge и других. Также модуль извлекает данные из резервных копий мобильных устройств (в том числе iTunes и Samsung Smart Switch), мультимедийных приложений, заметок, органайзеров, приложений офисного класса и игровых платформ.
Один модуль, десятки сценариев применения
Сегодня «МК Скаут» охватывает как работу с запущенными системами (Windows, macOS и GNU/Linux), так и получение данных из образов, памяти, артефактов и многое другое (Windows). Независимо от среды, модуль позволяет извлечь системную и пользовательскую информацию для последующего анализа в «Мобильном Криминалисте».
* Только для «МК Десктоп» и «МК Enterprise».
Ключевые особенности «МК Скаут»
Модуль «МК Скаут» предлагает продуманную функциональность: для платформ Windows, macOS и GNU/Linux предусмотрено получение информации из запущенной системы, а для Windows — дополнительно извлечение данных из образов дисков и внешних накопителей. Доступны сигнатурный поиск, работа с наборами хешей и отдельными хешами, а также возможность файлового карвинга*. Помимо этого, реализован широкий набор функций, которые объединены в едином модуле без необходимости подключения сторонних компонентов.
Поддерживается и портативный режим: достаточно записать модуль на USB-носитель и запустить на целевом устройстве. Такой формат ценен, когда требуется извлечь данные из устройства при оперативном реагировании на инцидент.
Windows: расширенный доступ к данным
На устройствах под управлением Windows «МК Скаут» может выполнять полный спектр задач: исследовать запущенную систему, как физические, так и логические образы дисков, работать с внешними накопителями, сохранять и снимать образы памяти*, отображать структуру разделов и подключенных томов, извлекать содержимое оперативной памяти, находить и восстанавливать удаленные файлы, идентифицировать потенциально вредоносные объекты, извлекать данные из зашифрованных разделов, проводить карвинг файлов*, автоматически передавать извлеченную информацию в модуль импорта и анализа данных, а при необходимости использовать встроенный модуль подбора паролей «МК Брутфорс» для работы с защищенными контейнерами и архивами.
Дополнительно «МК Скаут» позволяет извлекать из устройств на Windows широкий набор системных артефактов — от журналов событий и истории пользовательских сеансов до кэша DNS, записей об использовании USB-устройств и данных из реестра Windows. Из оперативной памяти можно получить информацию о запущенных процессах, сетевых соединениях, ключах шифрования BitLocker и VeraCrypt, загруженных модулях, дескрипторах файлов и файловых объектах ядра. Все извлеченные данные могут быть автоматически импортированы в модуль дальнейшего анализа в ПО «Мобильный Криминалист».
Возможности для macOS и GNU/Linux
Как macOS, так и GNU/Linux активно используются в корпоративных средах и у обычных пользователей, поэтому извлечение данных из них также важно для расследований. Однако из-за ограничений архитектуры этих платформ «МК Скаут» на текущий момент получает информацию только из запущенных систем при помощи загрузки модуля на съемный носитель.
В то же время даже в ограниченном режиме возможно получить обширный массив информации. На macOS доступны такие артефакты, как история системных событий (Apple Unified Logs, System Events), сведения об учетных записях Apple ID, данные Bluetooth-устройств, информация о сетевых подключениях, а также пользовательские предпочтения и настройки. Извлекаются журналы приложений, история запросов в Spotlight, данные об активности в Finder, информация об установленных пакетах и список недавних документов и подключений. Также сохраняется история использования Терминала и список процессов, активных на момент извлечения, и данные других системных артефактов.
В GNU/Linux возможен доступ к журналам процессов, спискам установленных пакетов, истории команд в терминале, активности пользователей и данных о системе. Извлекается информация о файлах, открытых пользователями, активности приложений, параметрах учетных записей и настройках. Также может быть получена история взаимодействия с текстовыми редакторами, включая Vim, и SSH-подключениями.
Эти данные дают возможность зафиксировать текущее состояние системы, получить представление об активности пользователя и сохранить информацию для последующего анализа в «Мобильном Криминалисте».
Получение пользовательских данных приложений
Одним из основных преимуществ «МК Скаута» является возможность извлечения информации из широкого перечня приложений для Windows, macOS и GNU/Linux, который регулярно обновляется. Модуль поддерживает почтовые клиенты, включая Outlook, Thunderbird и Apple Mail, мессенджеры вроде WhatsApp, Telegram, Wickr Me, Discord и Signal, облачные хранилища Dropbox, OneDrive, Google Drive и iCloud и другие. Дополнительно может быть получена информация из менеджеров паролей, включая 1Password, Bitwarden и KeePass, а также большинство популярных браузеров: Chrome, Firefox, Safari, Opera, Brave, Edge и других. Также модуль извлекает данные из резервных копий мобильных устройств (в том числе iTunes и Samsung Smart Switch), мультимедийных приложений, заметок, органайзеров, приложений офисного класса и игровых платформ.
Один модуль, десятки сценариев применения
Сегодня «МК Скаут» охватывает как работу с запущенными системами (Windows, macOS и GNU/Linux), так и получение данных из образов, памяти, артефактов и многое другое (Windows). Независимо от среды, модуль позволяет извлечь системную и пользовательскую информацию для последующего анализа в «Мобильном Криминалисте».
* Только для «МК Десктоп» и «МК Enterprise».
