27 февраля 2025 года в Москве состоялась масштабная конференция «Цифровая криминалистика ‘25», посвященная ключевым вопросам цифровой криминалистики.
Мероприятие при поддержке партнеров, компаний «Эккаунт-Бест», «ЛАН-Проект», «Элетек» и «Эстер Солюшнс», объединило ведущих экспертов отрасли, предоставив им уникальную возможность обсудить передовые технологии, обменяться опытом и ознакомиться с актуальными разработками для цифрового расследования. Главная цель конференции — расширение знаний специалистов о современных методах и эффективных решениях в отрасли.
Программа затронула множество важных тем, включая анализ артефактов операционных систем и исследование данных из мобильных приложений. Спикеры — признанные эксперты в области цифровой криминалистики — поделились результатами своих исследований, представили передовые методики и продемонстрировали практические кейсы.
Мероприятие при поддержке партнеров, компаний «Эккаунт-Бест», «ЛАН-Проект», «Элетек» и «Эстер Солюшнс», объединило ведущих экспертов отрасли, предоставив им уникальную возможность обсудить передовые технологии, обменяться опытом и ознакомиться с актуальными разработками для цифрового расследования. Главная цель конференции — расширение знаний специалистов о современных методах и эффективных решениях в отрасли.
Программа затронула множество важных тем, включая анализ артефактов операционных систем и исследование данных из мобильных приложений. Спикеры — признанные эксперты в области цифровой криминалистики — поделились результатами своих исследований, представили передовые методики и продемонстрировали практические кейсы.
Открыла серию докладов тема восстановления хронологии событий в Windows с помощью микро-таймлайнов, представленная Олегом Безиком (Лаборатория цифровых исследований). Он рассказал, как цифровые артефакты, хранящиеся в системе, позволяют воссоздать последовательность действий пользователя и выяснить обстоятельства инцидента. В своем выступлении он показал, какие ключевые источники данных могут быть использованы и как на их основе можно реконструировать события.
Тему восстановления цифровых следов продолжил Алексей Москвичев («МКО Системы»), сосредоточив внимание на одноразовых виртуальных машинах. Он объяснил, что такие среды все чаще используются для сокрытия следов, а их удаление усложняет процесс расследования. Основная проблема заключается в том, что после завершения работы виртуальная машина может быть удалена вместе со всеми следами. Это требует от экспертов особого подхода к сбору информации и поиска остаточных данных.
Развивая тему артефактов цифровой среды, Максим Суханов (CICADA8) рассказал о полезных данных, которые можно извлечь из работающей Linux-системы. Он представил альтернативные источники информации, такие как сетевые соединения, списки процессов, журналы systemd и кеш DNS, а также продемонстрировал утилиту, которая помогает автоматизировать сбор данных и анализ криминалистически значимой информации.
Ценные сведения могут содержать и сервисы, к которым пользователи обращаются в повседневной жизни, например, службы доставки. Игорь Зайцев («Эккаунт-Бест») показал, как анализ данных сервисов доставки продуктов может помочь в восстановлении информации о привычках пользователей, их маршрутах передвижения, особенностях питания и даже состоянии здоровья. Он представил данные о сроках хранения информации в популярных сервисах, таких как «Яндекс Лавка», «Вкусвилл», «Самокат» и «Перекресток», объясняя, как они могут использоваться в криминалистических исследованиях.
Не менее важным источником цифровых следов могут являться… автомобили. Роман Чурин (ЭКЦ МВД России) рассказал о криминалистическом анализе данных, хранящихся в электронных системах транспортных средств. Он рассмотрел, какие сведения можно извлечь, включая параметры движения перед ДТП, дату и время происшествия, информацию о пробеге и диагностические коды неисправностей. Спикер подчеркнул, что мультимедийные системы автомобилей также могут содержать историю маршрутов и сохраненные профили пользователей.
Для успешного анализа цифровых объектов необходимы надежные инструменты. Владимир Грешнов («Элетек») представил решения компании «Элетек», предназначенные для быстрого и безопасного копирования данных с различных носителей. Он рассказал о линейке продуктов «Элемент», обеспечивающих высокую скорость извлечения информации, беспроводное управление через Wi-Fi и защиту данных от изменений.
Комплексный подход к цифровой криминалистике осветил Сергей Еремин («ЛАН-Проект»), который рассказал о возможностях различных программных решений, помогающих получать более полные данные при расследованиях. Он показал, как PC-3000 Mobile используется для восстановления файлов на поврежденных носителях, а VR-Expert — для работы с видеозаписывающими устройствами. Эти инструменты позволяют специалистам эффективнее анализировать цифровые объекты и получать нужную информацию.
Анонимность в цифровой среде остается серьезным вызовом. Игорь Бедеров (T.Hunter) рассказал о методах установления личности пользователей Telegram с использованием OSINT-инструментов. Спикер рассмотрел, как можно деанонимизировать каналы и выявлять их владельцев, используя различные цифровые следы. Он продемонстрировал работу с ботами и сервисами, позволяющими находить никнеймы, фотографии, метаданные файлов и геолокацию, а также рассказал о методах цифрового логирования и использовании ханипотов (honeypot) в качестве приманки для злоумышленников.
Завершил серию выступлений доклад Юрия Тихоглаза (Zero eDiscovery), посвященный восстановлению данных из Microsoft PST — формата, используемого для хранения почтовых сообщений в Outlook. Спикер отметил, что универсальных инструментов для работы с этим форматом не существует, поэтому требуется применение специализированных решений. Он рассмотрел ключевые подходы к восстановлению удаленных писем, анализу метаданных и обработке поврежденных индексов.
После основной части конференции состоялась традиционная сессия прожарки, где гости получили возможность задать докладчикам и вендорам самые волнующие и острые вопросы. Это стало отличной возможностью для открытого диалога между экспертами и пользователями, позволяющей обсудить реальные проблемы, с которыми сталкиваются специалисты в сфере цифровой криминалистики. Сессия вызвала оживленный интерес и стала ярким финалом конференции. «Цифровая криминалистика ‘25» позволила участникам не только обогатить свои знания, но и получить ценные инсайты о современных вызовах в сфере расследований.
