Вышло масштабное обновление Elcomsoft Quick Triage (EQT) - решения для оперативного сбора и первичного анализа ключевых данных с устройств под управлением ОС Windows. В версии 2.1 мы существенно расширили возможности извлечения данных, оптимизировали ядро продукта для повышения скорости работы и добавили новые функции, востребованные специалистами при первичном осмотре и анализе электронных носителей информации.

Расширенное извлечение учетных данных и паролей

В новой версии продукта мы сфокусировались на доступе к защищённым данным пользователя. EQT 2.1 поддерживает извлечение и расшифровку паролей из хранилищ Chrome и браузеров на базе Chromium, защищённых механизмом App-Bound Encryption (ABE). Добавлена поддержка браузеров, использующих мастер-пароль, включая Яндекс Браузер и все решения на основе Gecko (в том числе Firefox). Кроме того, инструмент теперь позволяет извлекать данные учётных записей Entra ID и Microsoft.

Оптимизация обработки, поиска и индексирования данных

Основное назначение продукта - максимально быстрый сбор и анализ релевантных данных. Для ускорения сбора информации мы внедрили новый формат контейнера и переработали алгоритм индексации, что привело к ускорению работы и сокращению объёма дискового пространства, требуемого для хранения индекса. Также мы ускорили глобальный поиск за счет обхода Windows API при обработке несинхронизированных «офлайновых» файлов. Для случаев, когда операционная система на накопителе неизвестна, добавлен новый тип источника - «только данные». Первичный анализ системных событий теперь можно проводить быстрее благодаря встроенному просмотрщику файлов .evtx.

Рабочий процесс, экспорт и пользовательский интерфейс

В версии 2.1 появились возможности экспорта в формат CSV, выбора файлов или папок для сохранения в контейнер, а также опция создания портативной версии продукта для запуска со съёмного носителя.

Также в этом обновлении мы реализовали механизмы работы со встроенными средствами защиты Windows. Во-первых, в EQT реализован обход блокировок со стороны штатного антивируса. Однако из-за регулярных обновлений баз Defender возможны ситуации, когда извлечение будет заблокировано. В этом случае специалист, проводящий сбор данных, должен вручную добавить рабочую папку инструмента в исключения на уровне ОС. Во-вторых, если в системе включена проверка целостности памяти Memory Integrity Check, то снятие образа пропускается для предотвращения сбоев ОС. Мы работаем над обновлением низкоуровневого драйвера, который позволит корректно снимать образ памяти, когда эта опция включена.

Новое в Elcomsoft Quick Triage 2.1

Извлечение и расшифровка

• Добавлено: Расшифровка паролей из Chrome и браузеров на базе Chromium с защитой ABE
• Добавлено: Поддержка браузеров с мастер-паролем (Яндекс Браузер и все браузеры на движке Gecko, включая Firefox)
• Добавлено: Поддержка учётных записей Entra ID и Microsoft
• Обходное решение: Реализован обход блокировок со стороны Защитника Windows (Windows Defender)
• Обходное решение: Снятие дампа памяти временно пропускается, если включена проверка целостности памяти (Memory Integrity Check)

Обработка, поиск и индексирование

• Улучшено: Новый формат контейнера: существенное ускорение, новая система индексирования
• Улучшено: Индексирование данных в движке Lucene (занимает меньше места на диске, обработка стала быстрее)
• Улучшено: Ускорен поиск в обход Windows API для пропуска "офлайновых" файлов, которые фактически не синхронизированы
• Улучшено: Общие улучшения и исправления глобального поиска, улучшено отображение прогресса индексирования данных
• Добавлено: Просмотрщик событий для файлов .evtx с ускоренным поиском
• Добавлено: Тип источника «только данные» для случаев, когда операционная система неизвестна
• Добавлено: Сопоставление данных из разных источников напрямую в контейнере

Рабочий процесс, экспорт и улучшения интерфейса

• Добавлено: Быстрый экспорт в формат CSV
• Добавлено: Возможность создания портативной версии
• Добавлено: Возможность выбора конкретных файлов или папок для сохранения в контейнер
• Добавлено: Расчёт дискового пространства, необходимого для хранения проекта
• Добавлено: Отображение информации о типе источника в смарт-папках
• Добавлено: Для всех полей теперь отображается описание типа
• Добавлено: Меню «Недавние проекты»
• Исправлено: Проблемы со смарт-папками (некорректные имена полей)