В обновлении Elcomsoft System Recovery появился новый инструмент для поиска, сбора и анализа цифровых улик при работе на выезде, с помощью которого можно быстро просканировать систему, собрать и просмотреть самые важные артефакты.

В новой версии Elcomsoft System Recovery получил дальнейшее развитие ранее представленный инструментарий для быстрого поиска и анализа цифровых улик. Загрузив исследуемый компьютер с внешнего накопителя, эксперт сможет использовать новые функции инструментария для извлечения и анализа таких данных, как системные журналы и журнал событий Windows, сертификаты и ключи DPAPI, а также извлекать файлы гибернации и подкачки для последующего сканирования на предмет ключей к дискам, зашифрованным BitLocker и сторонними криптоконтейнерами.

Извлекаются данные из нескольких десятков категорий, которые мы отобрали по критериям важности для расследования и скорости, с которой их можно извлечь. Новый инструмент использует стратегию «низко висящего фрукта», позволяя эксперту за считанные минуты провести предварительный анализ и сохранить на внешний накопитель ключи шифрования и другие артефакты, которые позволят в дальнейшем получить доступ к зашифрованным уликам – и всё это без необходимости извлекать из компьютера диски и создавать их образы.

Важно подчеркнуть, что Elcomsoft System Recovery не просто извлекает некоторое количество цифровых артефактов. С использованием нового функционала эксперт сможет получить всестороннее представление об активности пользователя как онлайн, так и офлайн. Так, с использованием нового инструментария можно быстро извлечь пароли пользователя, важные документы, информацию о запущенных приложениях и файлах, к которым обращался пользователь. Полный список собираемых данных включает несколько десятков категорий и постоянно расширяется.

Новый инструмент доступен в виде вкладки “Forensic artifacts”. Встроенные в Elcomsoft System Recovery инструменты для поиска цифровых улик позволяют значительно ускорить начальную стадию расследования за счёт сокращения издержек по созданию образа диска и его последующего подробного анализа. Elcomsoft System Recovery функционирует в виде загрузочного устройства, что позволяет экспертам извлекать критически важные данные и принимать информированные решения прямо на месте. Основываясь на собранных данных, эксперт сможет определить необходимость создания образа диска и её дополнительного исследования в лаборатории. Такой подход экономит время и ресурсы, гарантируя скорость и точность расследования как на месте проведения оперативно-розыскных мероприятий, так и в лаборатории.

Elcomsoft System Recovery – портативный инструмент компьютерной криминалистики для анализа компьютеров на выезде. Продукт создавался в качестве надёжного инструмента для сбора цифровых улик и проведения судебной экспертизы. Загрузочная среда на основе Windows обеспечивает быстрый доступ к цифровым уликам и совместима со всеми файловыми системами Windows и широким спектром аппаратных платформ.

Elcomsoft System Recovery работает поверх лицензированной среды Windows PE, и включает в себя набор инструментов для создания образов дисков и управления пользователями системы. В состав продукта вошёл удобный двухпанельный файловый менеджер, предоставляющий возможность удобной навигации по файловой системе. Elcomsoft System Recovery – идеальный инструмент для быстрого извлечения улик в полевых условиях, с помощью которого можно быстро, безопасно и надёжно исследовать компьютеры, загружая систему с портативного USB-накопителя.

Список изменений в Elcomsoft System Recovery 8.31:

• Добавлен инструмент для поиска, извлечения и анализа цифровых улик (раздел Forensic artifacts)