Представляем Elcomsoft Quick Triage, новое решение для оперативного сбора и первичного анализа ключевых данных с устройств под управлением ос Windows. Инструмент разработан специально для экспертов и криминалистов, которым необходима высокая скорость работы при первичном осмотре электронных носителей информации.

Продукт поддерживает как работу в рамках авторизованной пользовательской сессии, так и отдельные накопители, смонтированные в системе. Мы работаем над поддержкой образов дисков – например, популярного формата E01. В отличие от крупных криминалистических пакетов, наш инструмент позволяет сфокусироваться на самом важном на начальном этапе расследования – максимально быстром сборе релевантных данных для последующего анализа в лаборатории и начального анализа некоторых критически важных данных. Elcomsoft Quick Triage поможет отобрать только релевантные данные, что положительно влияет на скорость расследования.

Сбор и индексация

Elcomsoft Quick Triage помогает отобрать только релевантные источники данных, отражающих активность пользователя и историю системных событий. В их число входят файлы, касающиеся коммуникаций пользователя, в том числе базы данных популярных мессенджеров, почтовые базы данных, а также пользовательские документы и фототеки. Извлекаются данные реестра Windows и файловой системы. Сбор осуществляется в исходном виде: базы данных мессенджеров, файлы Outlook и другие системные данные сохраняются в их оригинальном двоичном виде. Все извлечённые источники помещаются в контейнер для последующего анализа в лаборатории.

Наиболее значимые с точки зрения расследования данные обрабатываются, индексируются и сохраняются в базе данных с мгновенным поиском, доступной непосредственно из интерфейса EQT. В первую очередь обрабатываются наиболее ценные данные, включая коммуникации пользователя и рабочие материалы. Индексируются сообщения Outlook вместе с вложениями, документы Microsoft Office, системный реестр и ряд других источников. Исходные файлы документов и почтовых баз могут быть сохранены внутри контейнера.

Продукт позволяет исследовать следы активности пользователя в системе. В эту категорию входят сведения о запускавшихся приложениях, файлах и папках, с которыми работал пользователь, а также многие другие виды активностей, позволяющие создавать временные шкалы и восстанавливать поведенческие шаблоны. В эту же категорию включаются история браузеров, информация из реестра Windows и данные SRUM (System Resource Usage Monitor), позволяющие отследить использование системных ресурсов. Наконец, обрабатываются системные данные, включая сведения об аппаратной конфигурации, версии и настройках операционной системы, а также найденных в системе учётных данных Windows.

Работа с собранными данными

Все собранные данные сохраняются в контейнере в открытом формате VHDX и дополняются служебными метаданными. Данные из контейнера можно анализировать как вручную, так и при помощи сторонних криминалистических инструментов.

EQT индексирует собранные данные «на лету», обеспечивая быстрый поиск. В рамках одного дела могут включаться несколько сессий. Поддерживается экспорт данных; отчёты в текущей версии не поддерживаются, но запланированы в последующих версиях. Инструмент активно развивается, и в будущих версиях ожидается существенное расширение функционала.