Первая половина 2025 года была насыщена событиями в области как мобильной, так и компьютерной криминалистики. За шесть месяцев команда «МКО Системы» представила три усовершенствованных версии «Мобильного Криминалиста».
Давайте вместе вспомним все самые яркие события и изменения программного обеспечения первого полугодия 2025 года!
ЧТО НОВОГО В ПОДДЕРЖКЕ МОБИЛЬНЫХ УСТРОЙСТВ?
Мы продолжаем активно развивать функциональность наших программных продуктов, ориентируясь на потребности специалистов цифровой криминалистики. В новых версиях особое внимание было уделено расширению возможностей по извлечению, расшифровке и анализу данных из Android-устройств.
Новый метод извлечения данных
Рынок кнопочных телефонов в России продолжает демонстрировать рост. По итогам прошлого года, их доля составила 12,6% от всех проданных мобильных устройств. Простота использования, надежность и востребованность в ряде профессиональных сфер делают такие устройства до сих пор актуальными.
Уже сейчас «МК Эксперт Плюс» поддерживает более 80 моделей кнопочных телефонов от брендов BQ, Nokia, Alcatel, а также других устройств на базе чипсетов Unisoc/Spreadtrum T107 и T117. Новый метод «Мобильные телефоны Unisoc/Spreadtrum», реализованный в модуле «МК Извлечение устройств» (раздел «Другие»), обеспечивает извлечение физического образа и файловой системы. Однако для расшифровки всех данных необходимо знание пароля блокировки экрана, если он установлен.
Другие нововведения в поддержке Android-устройств
Одно из ключевых нововведений — функция выборочного извлечения данных приложений при использовании уязвимости CVE-2024-31317 в методе «Полная файловая система». Это позволяет работать точечно с интересующими приложениями, экономя время и ресурсы при анализе больших массивов информации.
Также мы реализовали функционал извлечения данных из раздела RPMB (Replay Protected Memory Block) устройств на базе MediaTek. Он используется для хранения критически важной информации, включая ключи шифрования и элементы безопасной загрузки. Теперь «МК» позволяет получить доступ к содержимому RPMB и выполнить последующую расшифровку хранимых в нем данных, расширяя спектр доступной информации.
Более того, в методе Qualcomm EDL добавлена поддержка извлечения данных всех пользователей устройства, в том числе дополнительных профилей и гостевых аккаунтов, что особенно важно при работе с корпоративными или семейными устройствами, когда несколько человек используют один смартфон.
Улучшенная работа «Android-Агента» и поддержка новых приложений
Обновленный «Android-Агент» получил возможность извлечения еще большего количества данных из популярных приложений, включая Discord, Signal, Viber, WhatsApp, WhatsApp Business, Yandex Browser и Zoom. Реализована полная совместимость с ОС Android 15, где значительно ужесточены меры безопасности и контроля доступа к данным.
Отдельно хочется выделить поддержку одного из самых защищенных мессенджеров — Element. Из этого приложения на Android-устройствах «Android-Агент» позволяет получить:
- сведения об учетной записи;
- список контактов;
- чаты (комнаты);
- звонки (совместно с переписками).
Данные извлекаются как в режиме онлайн, так и офлайн, с возможностью работы только с информацией, сохраненной в кэше.
Исследование iOS-устройств версии 17.0
С каждым обновлением «Мобильный Криминалист» расширяет свой функционал по работе с экосистемой Apple. Теперь «iOS-Агент» позволяет извлекать данные не только без использования уязвимостей, но и без установки сторонних приложений. Новый метод основан на подмене одного из системных приложений. Подход требует соблюдения ряда условий:
- на устройстве должно быть отключено приложение «Локатор»;
- восстановление подмененного приложения осуществляется вручную через App Store.
Стоит отметить, что этапы установки и подписи при этом пропускаются, что значительно ускоряет процесс. После завершения подмены необходимо вручную запустить замененное системное приложение — при этом будет отображен интерфейс «iOS-Агента», позволяющий перейти сразу к выбору формата извлечения: полное или выборочное.
Метод позволяет извлекать данные полной файловой системы и хранилища Keychain из следующих смартфонов:
- iPhone 6s и iPhone 7 (iOS 15.2–15.8.4);
- iPhone 8 – iPhone 15 (iOS 15.2–16.7 RC (20H18), а также iOS 17.0).
Дополнительно реализована возможность извлечения полной файловой системы и Keychain из Apple-устройств на чипсетах A8X и A10X с использованием метода «iOS с использованием checkm8».
«МК СКАУТ»: НОВЫЕ ИСТОЧНИКИ И ИНСТРУМЕНТЫ
Персональные компьютеры остаются важным источником цифровых следов — они содержат обширную информацию, необходимую для воссоздания полной картины событий. С каждой новой версией «Мобильный Криминалист» последовательно расширяет свои возможности по извлечению и анализу таких данных. Мы провели значительную работу по оптимизации скорости поиска и сохранения информации, а также добавили инструменты, повышающие эффективность расследований.
Извлечение NTLM-хешей
Одним из главных нововведений стала опция извлечения NTLM-хешей, которые используются в механизмах аутентификации системных и доменных учетных записей Windows. Они играют ключевую роль в работе механизмов авторизации операционной системы. Их извлечение и отображение реализовано во вкладке «Зашифрованные данные» для всех обнаруженных учетных записей Windows. Эта функция открывает следующие возможности:
- подбор паролей к системной учетной записи пользователя ОС Windows, расшифровка данных ОС и сторонних приложений, привязанных к этому паролю;
- использование хешей в процессе аутентификации;
- проверка соответствия пароля хешу непосредственно в «МК».
Карвинг файлов с помощью «МК Десктоп»
Карвинг данных — метод восстановления информации, используемый в цифровой криминалистике. При карвинге программа сканирует необработанные бинарные данные и ищет узнаваемые подписи файлов. Используя методы поиска и восстановления, карвинг позволяет обнаружить файлы и данные даже в случаях, когда стандартные средства восстановления неэффективны.
В программном продукте «МК Десктоп» появилась возможность поиска и извлечения различных файлов из неиспользуемых областей NTFS-разделов, что значительно расширило потенциал анализа данных. Функционал поддерживает карвинг текстовых файлов в форматах INI, YAML, JSON, RTF, XML, а также простых текстовых файлов, LNK-файлов и файлов трассировки (Prefetch).
Новые источники данных «МК Скаут»
С каждым обновлением модуль «МК Скаут» увеличивает базы поддерживаемых источников, что позволяет проводить более глубокий анализ пользовательской активности на устройствах на Windows, macOS и GNU/Linux.
За последнее полугодие мы добавили поддержку следующих приложений и системных артефактов:
- .DS_Store (macOS)
- Falkon (Windows, GNU/Linux)
- MetaMask (Windows, macOS, GNU/Linux)
- Notepad (Windows 11)
- Rocket.Chat (Windows, macOS, GNU/Linux)
- RPM Package Manager (GNU/Linux)
- RustDesk (Windows, macOS, GNU/Linux)
- VMware Workstation (Windows, GNU/Linux)
- VirtualBox (Windows, macOS, GNU/Linux)
- WinSCP (Windows)
- Веб-версия Telegram (Windows, macOS, GNU/Linux)
ЧТО НОВОГО В МОДУЛЕ «МК БРУТФОРС»?
В дополнение к ранее упомянутому функционалу работы с NTLM-хешами, «МК» позволяет подобрать пароль к зашифрованным физическим образами и полным файловым системам Android, а также данным, зашифрованным с помощью VeraCrypt, и резервным копиям Huawei, созданным через Huawei HiSuite.
Более того, реализована опция создания и применения предварительно настроенных шаблонов атак, что позволяет экономить время на настройке параметров для каждой отдельной атаки.
РАСШИРЕНИЕ АНАЛИТИЧЕСКОГО ФУНКЦИОНАЛА
Последние обновления касаются и аналитических инструментов. Во-первых, была реализована поддержка выборочного сохранения данных в формате OFBR. Теперь можно определить, какие секции и приложения необходимо сохранить, а какие исключить из финального файла. Более того, возможно автоматически отфильтровывать данные, помеченные тегом «Не важно».
Во-вторых, в разделе «Поиск» появилась новая вкладка «Криптовалюты». Поиск можно выполнять среди данных, имен и метаданных файлов, а также информации, полученной с помощью инструмента распознавания текста и речи. Достаточно выбрать категорию для поиска — система автоматически найдет и выделит криптовалютные адреса в массиве информации. Поддерживается поиск адресов для следующих блокчейнов:
- BTC (Bitcoin)
- ETH (Ethereum)
- BNB
- (SOL) Solana
- XRP
- DOGE (Dogecoin) и др.
В-третьих, теперь программа позволяет переводить распознанный текст. Функция доступна в разделе «Распознавание текста и речи». Для начала работы необходимо загрузить дистрибутив «Мастера перевода» с личной страницы. После установки в интерфейсе появляется возможность перевода отдельных фрагментов текста непосредственно в рабочем окне — без обращения к сторонним сервисам и с сохранением локальной конфиденциальности.
ПЛАНЫ НА ВТОРОЕ ПОЛУГОДИЕ 2025 ГОДА
Первое и самое главное — в ближайшее время мы выпустим новые версии программных продуктов «Мобильный Криминалист».
А еще уже открыта регистрация на наши мероприятия:
- 11–12 сентября встретимся на Moscow Forensics Day в Москве: https://events.mko-systems.ru/mfd
- 7 октября в Санкт-Петербурге пройдет семинар из цикла «Цифровая криминалистика»: https://events.mko-systems.ru/seminars
Кроме того, мы готовим новые потоки обучающего курса «Цифровая криминалистика: исследование мобильных устройств, облачных сервисов и персональных компьютеров». В этом году состоятся еще два потока, где мы не только расскажем о теоретических аспектах, но и на практике разберем извлечение информации из различных цифровых источников, обход защитных механизмов мобильных устройств разных брендов и анализ полученных данных.
Следите за новостями на нашем сайте и в Telegram-канале — впереди много интересного :)
