Elcomsoft Quick Triage

Elcomsoft Quick Triage поможет быстро извлечь и проанализировать самые важные данные из множества источников с исследуемого компьютера на ранних этапах расследования как на выезде, так и в лаборатории.

  • Быстрый сбор и анализ критических данных
  • Подробная системная информация об исследуемом компьютере
  • Глобальный поиск по всем категориям извлечённых данных
  • Пароли из полутора десятков браузеров и почтовых клиентов
  • Данные о посещениях и поисковых запросах
  • Экспорт паролей в готовые словари для парольных атак

Поддерживает: Windows 7, 8, 8.1, Windows 10, Windows 11; Windows Vista, Windows XP, Windows 2000, Windows NT; Все версии Windows Server; SAM/SYSTEM и Active Directory; Работа с внешними дисками и образами дисков;

Нажмите кнопку КУПИТЬ для отправки запроса на предоставление дополнительной информации и коммерческого предложения
Купить

Elcomsoft Quick Triage: новый инструмент для быстрого анализа компьютеров

Elcomsoft Quick Triage - мощный инструмент для сбора и анализа цифровых улик, поддерживающий сотни источников данных и тысячи артефактов. Продукт извлекает данные множества популярных приложений и компонентов Windows, которые могут содержать критически важную информацию о действиях пользователя и активности системы. Инструмент ориентирован на артефакты, наиболее востребованные криминалистами и сотрудниками правоохранительных органов на раннем этапе расследования: действия пользователя, системные активности, коммуникации, работа с файлами, подключённые устройства и сетевые подключения.

Ключевую роль играют системные артефакты, позволяющие быстро восстановить хронологию событий. EQT обрабатывает журналы событий Windows, Prefetch, Shimcache, SRUM, данные планировщика задач, сведения о запусках приложений и сервисов, а также информацию о USB-устройствах, сетевых интерфейсах и Wi-Fi-подключениях. Эти данные показывают, как и когда использовалась система.

Значительный объём составляют пользовательские данные. Elcomsoft Quick Triage извлекает документы, файлы из пользовательских каталогов, историю недавних действий, содержимое корзины, а также данные из популярных мессенджеров, почтовых клиентов и офисных приложений. Дополнительно собираются данные браузеров, включая историю посещений и поисковые запросы.

Отдельно обрабатываются учётные данные и средства защиты Windows, включая Windows Vault, DPAPI-ключи, криптографические ключи и сертификаты. Все артефакты сохраняются с указанием источника, что позволяет эксперту быстро сосредоточиться на наиболее значимых данных и принять обоснованные решения уже на этапе расследования.

Открытый формат контейнера

Формат VHDX, в который сохраняются данные, это мультиплатформенный формат, позволяющий сохранить как структуру файловой системы, так и метаданные. В отличие от большинства аналогов, в которых собранные данные сохраняются в проприетарных, недокументированных и зачастую зашифрованных форматах, EQT хранит все данные в открытом, документированном виде.

В лаборатории контейнеры VHDX можно смонтировать как в "сыром" виде, так и с восстановленными путями к каждому источнику данных. Открытый, подробно документированный формат контейнера позволяет использовать для доступа к данным как сам EQT, так и сторонние инструменты.

Ключевые возможности

Быстрый сбор ключевых данных из Windows-систем
EQT выполняет сбор данных о системе, пользователях и подключённых носителях как с загруженных Windows-компьютеров с активной пользовательской сессией, так и с подключённых дисков и томов.

Агрегация и объединение данных из разных источников
Однотипные артефакты (переписка, история браузера, пароли и т.д.) автоматически объединяются, даже если они получены с разных дисков или компьютеров одного и того же пользователя.

Индексация и быстрый поиск
В процессе сканирования наиболее значимые данные индексируются на лету, что обеспечивает быстрый поиск по содержимому документов, электронной почты и текстовых файлов без ожидания завершения полного анализа.

Фильтрация по временным диапазонам и анализ активности
Артефакты с временными метками можно отфильтровать по заданному периоду, восстанавливая хронологию событий. Обрабатываются данные о запуске приложений, открытии файлов, веб-активности и других действиях пользователя.

Встроенный просмотр файлов и двоичных данных
EQT содержит встроенный инструмент для просмотра текстовых и бинарных файлов с поддержкой поиска по строкам и по шестнадцатеричным данным (hex).

Прозрачное происхождение артефактов и быстрый доступ к источникам
Для каждого артефакта сохраняется информация о его происхождении: исходный файл, путь и источник данных. Доступен мгновенный переход к файлу-источнику внутри контейнера.

Единый контейнер для хранения данных
Все собранные материалы сохраняются в одном контейнере на основе открытого формата VHDX с дополнительными метаданными.

Атаки на пароли Windows
EQT включает встроенный механизм атак на пользовательские пароли Windows с поддержкой словарных, масочных, гибридных атак и полного перебора, что позволяет быстро проверить наличие слабых или распространённых паролей на раннем этапе расследования.

Экспорт данных
Результаты анализа могут экспортироваться в формат PDF по отдельным категориям. Хэши паролей экспортируются в формат .pwdump для восстановления паролей в Elcomsoft Distributed Password Recovery.

Снятие образа оперативной памяти
EQT позволяет сохранять образ оперативной памяти работающего компьютера.

Лицензионное соглашение

Поддерживаемые данные

EQT поддерживает несколько сотен типов данных, куда входят как системные, так и пользовательские артефакты, извлекаемые из файловой системы и реестра Windows. Ниже - далеко не полный список поддерживаемых артефактов, которые извлекаются в процессе работы.

Системные артефакты (файловая система)

  • Данные сторонних приложений (поддерживается несколько сотен приложений)
  • Данные Active Directory
  • Amcache, Shimcache
  • Program Compatibility Assistant
  • SRUM (System Resource Utilization Monitor)
  • Корзина (Recycle Bin)
  • Планировщик заданий (Scheduled Tasks)
  • События Windows, Windows Prefetch, отчёты об ошибках Windows (Windows Error Reporting)
  • Конфигурации Wi-Fi сетей и сохранённые пароли
  • База данных поиска Windows
  • DPAPI, системные учётные данные, Vault, криптографические ключи и сертификаты
  • Системный реестр
  • Уведомления Windows
  • Различные журналы и логи

Системные артефакты (реестр)

  • Список выполненных программ
  • Список Bluetooth-устройств, дисплеев, ACPI-устройств, а также устройств PCI/SCSI/USB, когда-либо подключавшихся к системе
  • Информация о батарее, BIOS, CPU, другом аппаратном обеспечении, накопителях и оперативной памяти
  • Установленные приложения Microsoft Office и надстройки
  • Полная конфигурация сети
  • Список приложений, установленных из Windows Store
  • Статус использования: службы геолокации, микрофон, веб-камера
  • Список установленных драйверов, обновлений, пакетов драйверов, запущенных служб и библиотек DLL
  • Список системных программ по умолчанию для открытия файлов
  • Список задач в «Планировщике заданий»
  • Пути к разрешённым файлам при контролируемом доступе к папкам
  • Данные Windows Defender и Windows Firewall

Пользовательские артефакты (файловая система)

  • Данные и журналы сторонних приложений
  • Данные приложений Microsoft Office
  • ActivitiesCache
  • Уведомления
  • Дампы сбоев (crash dumps)
  • Файлы в папках Desktop / Documents / Downloads / Videos
  • Кэш RDP
  • Корзина (Recycle Bin)
  • Недавние файлы
  • Базы данных Windows Mail / календаря / телефона / контактов
  • Пользовательские учётные данные, Vault, криптографические ключи и сертификаты
  • Пользовательский реестр
  • Данные браузеров (Chrome и все Chromium-based, Microsoft Edge, Mozilla и др.)

Пользовательские артефакты (реестр)

  • Список устройств, когда-либо подключавшихся к компьютеру (смартфоны, планшеты и т. д.)
  • Информация о регистрации пользователя в Microsoft Office
  • Список файлов, недавно открывавшихся с использованием приложений Microsoft Office
  • Список программ, настроенных на автозапуск
  • Статус использования: службы геолокации, микрофон и веб-камера
  • Список пользовательских программ по умолчанию для открытия файлов
  • Панель задач: список закреплённых приложений, события правого клика, переключения между приложениями
  • Список файлов, открытых или сохранённых через диалоговое окно, недавние файлы, недавно выполненные команды
  • Список поисковых запросов в Проводнике
  • Имя пользователя, вошедшего в систему последним
  • Список имён архивов, которые были недавно созданы
Лицензионное соглашение

Системные требования

Windows

  • Windows 10
  • Windows 11

Elcomsoft Quick Triage поддерживает системы под управлением Windows. В лабораторных условиях приложение устанавливается на компьютер эксперта; для работы на выезде доступна портативная версия.

Ограничения демо версии

В демо версии функции для экспорта данных недоступны.

Информация о версии продукта

Elcomsoft Quick Triage v.2.0.158

Все программы имеют возможность удаления с помощью использования стандартных средств Microsoft Windows - через контрольную панель или, используя шорткат 'Uninstall' в меню 'Пуск'

Лицензионное соглашение

Купить Elcomsoft Quick Triage

Нажмите кнопку КУПИТЬ для отправки запроса на предоставление дополнительной информации и коммерческого предложения
Купить