ВОССТАНОВЛЕНИЕ ПАРОЛЕЙ

Elcomsoft Quick Triage

Цена
Common license
$ 799
Купить
Скачать

версия: 2.0.158

Elcomsoft Quick Triage: новый инструмент для быстрого анализа компьютеров

Elcomsoft Quick Triage - мощный инструмент для сбора и анализа цифровых улик, поддерживающий сотни источников данных и тысячи артефактов. Продукт извлекает данные множества популярных приложений и компонентов Windows, которые могут содержать критически важную информацию о действиях пользователя и активности системы. Инструмент ориентирован на артефакты, наиболее востребованные криминалистами и сотрудниками правоохранительных органов на раннем этапе расследования: действия пользователя, системные активности, коммуникации, работа с файлами, подключённые устройства и сетевые подключения.

Ключевую роль играют системные артефакты, позволяющие быстро восстановить хронологию событий. EQT обрабатывает журналы событий Windows, Prefetch, Shimcache, SRUM, данные планировщика задач, сведения о запусках приложений и сервисов, а также информацию о USB-устройствах, сетевых интерфейсах и Wi-Fi-подключениях. Эти данные показывают, как и когда использовалась система.

Значительный объём составляют пользовательские данные. Elcomsoft Quick Triage извлекает документы, файлы из пользовательских каталогов, историю недавних действий, содержимое корзины, а также данные из популярных мессенджеров, почтовых клиентов и офисных приложений. Дополнительно собираются данные браузеров, включая историю посещений и поисковые запросы.

Отдельно обрабатываются учётные данные и средства защиты Windows, включая Windows Vault, DPAPI-ключи, криптографические ключи и сертификаты. Все артефакты сохраняются с указанием источника, что позволяет эксперту быстро сосредоточиться на наиболее значимых данных и принять обоснованные решения уже на этапе расследования.

Открытый формат контейнера

Формат VHDX, в который сохраняются данные, это мультиплатформенный формат, позволяющий сохранить как структуру файловой системы, так и метаданные. В отличие от большинства аналогов, в которых собранные данные сохраняются в проприетарных, недокументированных и зачастую зашифрованных форматах, EQT хранит все данные в открытом, документированном виде.

В лаборатории контейнеры VHDX можно смонтировать как в "сыром" виде, так и с восстановленными путями к каждому источнику данных. Открытый, подробно документированный формат контейнера позволяет использовать для доступа к данным как сам EQT, так и сторонние инструменты.

Ключевые возможности

Быстрый сбор ключевых данных из Windows-систем
EQT выполняет сбор данных о системе, пользователях и подключённых носителях как с загруженных Windows-компьютеров с активной пользовательской сессией, так и с подключённых дисков и томов.

Агрегация и объединение данных из разных источников
Однотипные артефакты (переписка, история браузера, пароли и т.д.) автоматически объединяются, даже если они получены с разных дисков или компьютеров одного и того же пользователя.

Индексация и быстрый поиск
В процессе сканирования наиболее значимые данные индексируются на лету, что обеспечивает быстрый поиск по содержимому документов, электронной почты и текстовых файлов без ожидания завершения полного анализа.

Фильтрация по временным диапазонам и анализ активности
Артефакты с временными метками можно отфильтровать по заданному периоду, восстанавливая хронологию событий. Обрабатываются данные о запуске приложений, открытии файлов, веб-активности и других действиях пользователя.

Встроенный просмотр файлов и двоичных данных
EQT содержит встроенный инструмент для просмотра текстовых и бинарных файлов с поддержкой поиска по строкам и по шестнадцатеричным данным (hex).

Прозрачное происхождение артефактов и быстрый доступ к источникам
Для каждого артефакта сохраняется информация о его происхождении: исходный файл, путь и источник данных. Доступен мгновенный переход к файлу-источнику внутри контейнера.

Единый контейнер для хранения данных
Все собранные материалы сохраняются в одном контейнере на основе открытого формата VHDX с дополнительными метаданными.

Атаки на пароли Windows
EQT включает встроенный механизм атак на пользовательские пароли Windows с поддержкой словарных, масочных, гибридных атак и полного перебора, что позволяет быстро проверить наличие слабых или распространённых паролей на раннем этапе расследования.

Экспорт данных
Результаты анализа могут экспортироваться в формат PDF по отдельным категориям. Хэши паролей экспортируются в формат .pwdump для восстановления паролей в Elcomsoft Distributed Password Recovery.

Снятие образа оперативной памяти
EQT позволяет сохранять образ оперативной памяти работающего компьютера.

Поддерживаемые данные

EQT поддерживает несколько сотен типов данных, куда входят как системные, так и пользовательские артефакты, извлекаемые из файловой системы и реестра Windows. Ниже - далеко не полный список поддерживаемых артефактов, которые извлекаются в процессе работы.

Системные артефакты (файловая система)

  • Данные сторонних приложений (поддерживается несколько сотен приложений)
  • Данные Active Directory
  • Amcache, Shimcache
  • Program Compatibility Assistant
  • SRUM (System Resource Utilization Monitor)
  • Корзина (Recycle Bin)
  • Планировщик заданий (Scheduled Tasks)
  • События Windows, Windows Prefetch, отчёты об ошибках Windows (Windows Error Reporting)
  • Конфигурации Wi-Fi сетей и сохранённые пароли
  • База данных поиска Windows
  • DPAPI, системные учётные данные, Vault, криптографические ключи и сертификаты
  • Системный реестр
  • Уведомления Windows
  • Различные журналы и логи

Системные артефакты (реестр)

  • Список выполненных программ
  • Список Bluetooth-устройств, дисплеев, ACPI-устройств, а также устройств PCI/SCSI/USB, когда-либо подключавшихся к системе
  • Информация о батарее, BIOS, CPU, другом аппаратном обеспечении, накопителях и оперативной памяти
  • Установленные приложения Microsoft Office и надстройки
  • Полная конфигурация сети
  • Список приложений, установленных из Windows Store
  • Статус использования: службы геолокации, микрофон, веб-камера
  • Список установленных драйверов, обновлений, пакетов драйверов, запущенных служб и библиотек DLL
  • Список системных программ по умолчанию для открытия файлов
  • Список задач в «Планировщике заданий»
  • Пути к разрешённым файлам при контролируемом доступе к папкам
  • Данные Windows Defender и Windows Firewall

Пользовательские артефакты (файловая система)

  • Данные и журналы сторонних приложений
  • Данные приложений Microsoft Office
  • ActivitiesCache
  • Уведомления
  • Дампы сбоев (crash dumps)
  • Файлы в папках Desktop / Documents / Downloads / Videos
  • Кэш RDP
  • Корзина (Recycle Bin)
  • Недавние файлы
  • Базы данных Windows Mail / календаря / телефона / контактов
  • Пользовательские учётные данные, Vault, криптографические ключи и сертификаты
  • Пользовательский реестр
  • Данные браузеров (Chrome и все Chromium-based, Microsoft Edge, Mozilla и др.)

Пользовательские артефакты (реестр)

  • Список устройств, когда-либо подключавшихся к компьютеру (смартфоны, планшеты и т. д.)
  • Информация о регистрации пользователя в Microsoft Office
  • Список файлов, недавно открывавшихся с использованием приложений Microsoft Office
  • Список программ, настроенных на автозапуск
  • Статус использования: службы геолокации, микрофон и веб-камера
  • Список пользовательских программ по умолчанию для открытия файлов
  • Панель задач: список закреплённых приложений, события правого клика, переключения между приложениями
  • Список файлов, открытых или сохранённых через диалоговое окно, недавние файлы, недавно выполненные команды
  • Список поисковых запросов в Проводнике
  • Имя пользователя, вошедшего в систему последним
  • Список имён архивов, которые были недавно созданы