Авторские права: SANS Institute, 2021. Автор сохраняет все права.


Примечание переводчика: Перевод осуществлён максимально близко к тексту, несмотря на иногда корявый язык оригинала. Слова в квадратных скобках в оригинале отсутствуют и добавлены переводчиком для контекста.

Авторы: Хизер Махалик, Джон Бэир, Алексис Бриньони, Стивен Коатс, Майк Дикинсон, Маттиа Эпифани, Джессика Хайд, Владимир Каталов, Скотт Кёниг, Пол Лорентс, Кристофер Порье, Ли Рейбер, Мартин Вестман, Майк Уильямсон, Ян Виффин и Олег Скулкин.

Цифровая криминалистика — это сложная и постоянно изменяющаяся область, которая требует большого объёма тестирования, инструментов и проверок. Этот доклад написан экспертами в области мобильной криминалистики, которые имеют многолетний опыт в исследованиях, разработке инструментов, проверок, даче показаний, и заботятся о том, чтобы обучить сообщество рекомендуемым шагам, которые гарантируют, что мобильные данные будут извлечены, изучены и представлены способом, которому можно доверять.

Авторы этой статьи стоят плечом к плечу несмотря на то, что наш опыт, компании, в которых мы работаем, и юрисдикции отличаются друг от друга. Существует множество различных инструментов и методов для криминалистики умных устройств, и ни один из этих инструментов не идеален. В зависимости от вашей миссии или особенностей исследования, могут потребоваться не все шаги. Также, так как этот документ является обобщающим, набор перечисленных шагов не может быть исчерпывающим, и вам могут потребоваться дополнительные исследования или консультации.

Вы, эксперт, должны решить, какие шаги необходимо применить, чтобы получить данные, на получение которых у вас есть полномочия, или просто чтобы ответить на поставленные перед вами вопросы. Мы надеемся, что эта статья направит вас на путь успешного исследования смартфонов.

Мы описали шесть шагов, чтобы восстановить ваше доверие к общим методам валидации мобильных данных. Первое и основное — вам необходимо документировать всё, что вы делаете, и продумать сохранность улик. Это важно — как вы работаете с устройством. Убедитесь, что вы понимаете, как защитить данные, и документируйте каждый шаг на вашем пути.

Шаг 1. Определите все возможные способы извлечения, на которые у вас есть полномочия

A. Необходимо убедиться, что вы юридически уполномочены делать изъятие: на основании согласия пользователя, ордера, вашего звания, и т.д.

B. Прежде чем начать, продумайте порядок извлечения. Время часто является решающим фактором; бывают случаи, когда вам может потребоваться просмотреть часть данных вручную (что может занять всего несколько секунд). Принимайте решение, какой метод использовать, только после этого.

  • i. Узнайте как можно больше об исследуемом устройстве, чтобы иметь возможность выбрать самый подходящий способ извлечения и инструмент(ы). Для многих устройств существует несколько различных способов, и часто они дополняют друг друга. Оцените все возможные риски для каждого способа и начинайте от самого безопасного к более полноценным методам (которые могут быть самыми небезопасными), если позволяет время. Наличие логического образа может оказаться полезным, даже если доступен способ извлечь полную файловую систему.
  • ii. Шансы на доступ к устройству увеличиваются, если вы поддерживаете его включённым и изолированным от сети, так что постарайтесь обеспечить это. Помните о том, что некоторые устройства могут включиться при подключении по кабелю, что может привести к дистанционному удалению данных, когда они подключатся к сети.
  • iii. Читайте руководства производителя продуктов или инструментов и справочные файлы. Они содержат большое количество полезной информации, которая поможет вам принять решение, как лучше подойти к работе с изъятым вами устройством.
  • iv. Если устройство не поддержано инструментами, имеющимися в вашем распоряжении, свяжитесь с поставщиками и узнайте, не появится ли потенциальная поддержка в будущем запланированном обновлении.
  • v. В делах об обнаружении электронных данных (eDiscovery) помните о требованиях последующего использования в специализированных инструментах (Nuix, Relativity, и т.п.) и возможных преобразованиях из формата вашего инструмента цифровой криминалистики. Имейте в виду, что это может относиться не только к расследованиям eDiscovery.
  • vi. По возможности взаимодействуйте с устройством как можно меньше до начала проведения любых извлечений, учитывая возможность инициирования изменений в базах данных, изменения журналов и записей об использовании устройства. Убедитесь в том, что взаимодействие с устройством, которое может изменить настройки или данные, действительно необходимо, соразмерно и преднамеренно.
  • vii. Вы должны понимать, что часто для восстановления данных со смартфонов требуются специализированные методы и технологии для взломов (эксплойты). Имейте в виду, что для некоторых эксплойтов может потребоваться несколько перезагрузок устройства.
  • viii. Определите, что можно получить, используя каждый из способов извлечения данных с устройства. При любой возможности читайте примечания по поддержке устройства.
  • ix. Если данные не извлеклись, ещё раз проверьте все подключения и питание. Если это не приведёт к положительному результату, попробуйте извлекать данные другим инструментом и другим способом извлечения. Может также иметь смысл продолжать исследования и запросить у производителя [вашего продукта цифровой криминалистики] поддержку устройства, с которого не получается извлечь данные. В новых версиях продуктов возможно наличие дополнительных методов извлечения.

C. Получение данных из внешних компонентов мобильного устройства.

  • i. Карты UICC (SIM) — выньте SIM-карту после извлечения данных с устройства и снимите данные с неё отдельно, используя выбранный вами инструмент.
  • ii. Данные с SD-карты и подобных накопителей следует извлекать сначала держа их внутри устройства. Затем следует извлечь подобный накопитель, защитить от записи и извлечь данные с него вне устройства, если позволяет время.
    • a. В случаях адаптируемого (adoptable storage) или шифрованного хранилища, данные с него следует извлекать через устройство.

D. Если это разрешено законом, извлеките данные из облака.

  • i. Поясните судье/прокурору/клиенту, почему облачные данные так же важны, как данные на устройстве.
  • ii. Социальные сети и приложения хранят в облаке данные, которые могут быть недоступны с устройства.
  • iii. Данные, полученные со смартфона, могут привести к обнаружению возможных облачных данных и потенциальных ключей, позволяющих получить доступ к облачным хранилищам.
  • iv. Постарайтесь получить ордер на данные от онлайн-провайдеров, если данные относятся к вашим исследованиям (например, Google, Facebook и т.д.).
  • v. Имейте в виду, что снятие данных из облачных хранилищ может подать привести к сигналу тревоги в аккаунте подозреваемого. После начала извлечения действуйте быстро.

E. Если вы используете новые, необычные или известные как ненадежные техники сбора и обработки данных, начните с наименее инвазивных методов извлечения данных (например, логических), чтобы в случае, если выбранный способ не сработает, вы не остались бы без ничего.

  • i. Узнайте, использует ли инструмент или метод стандартные методы извлечения (резервные копии iTunes или ADB).
  • ii. Если инструменты используют собственные (проприетарные) методы, убедитесь, что вы понимаете, как работает инструмент. Задайте вопрос производителю продукта, если необходимо. Если есть возможность, протестируйте методологию на тестовом устройстве до того, как применять метод на устройстве, являющемся уликой. Это не всегда может быть возможно.
  • iii. Узнайте о параметрах настроек, которые были установлены для выбранного типа извлечения (например, параметры настроек, которые будут применены при извлечении данных, так как это влияет не только на то, как вы извлекаете данные, но и как вы будете их просматривать).

F. Получите подтверждение (желательно письменное) от следователя, проводящего расследование (в идеале, после консультации с прокурором) и/или владельца устройства, если вы считаете, что существует вероятность "окирпичить" устройство, потерять гарантию, а также повредить его физически.

  • i. Если выбранный метод не был протестирован и исследован публично, испробуйте метод на тестовом устройстве.
  • ii. Получите все возможные извлечения до того, как попытаетесь извлекать данные способом, который потенциально может повредить устройство. В некоторых случаях предпочтительней дождаться, когда будет разработан [не существующий пока] метод извлечения, прежде чем пытаться использовать методику, которая может привести к необратимому физическому повреждению устройства.

G. Используйте более чем один инструмент или способ для извлечения данных, которые могут быть основными точками или ключевыми артефактами в преступлении. Имейте в виду, что мобильные записи и системные данные (часы и т.п.) постоянно меняются (при этом артефакты, оставшиеся от работы пользователя, изменяться не должны: при условии, что устройство надежно изолировано), и два разных извлечения данных могут не быть совершенно одинаковыми, и это не является необходимым.

H. Всегда проверяйте, какие приложения установлены на устройстве, и определите уровень предлагаемой технической поддержки выбранного вами инструмента.

  • i. Существуют различные уровни извлечения и поддержки в зависимости от устройства, процессора, версии операционной системы и версии приложения.
  • ii. Задокументируйте версии используемых инструментов, чтобы обеспечить достоверность вашего отчёта на основе уровня поддержки приложений, имеющейся на момент исследования доказательств.
  • iii. Имейте в виду, что для восстановления данных могут потребоваться такие методы, как понижение версии приложений, меняющие версии приложений и требующие перезагрузки устройства.
  • iv. Может потребоваться ручная проверка, чтобы убедиться, что учтены все приложения.

Шаг 2. Обрабатывайте данные более чем в одном инструменте

A. Убедитесь, что вы регулярно обновляете ваши инструменты. Обязательно читайте описание изменений [новых версий] и проверьте, не появилось ли исправлений ошибок или поддержки, необходимой для работы с вашим устройством.

  • i. Обновление инструментов и проверка обновлений может занять длительное время.
  • ii. При обновлении инструментов в них могут появиться новые ошибки. Проверьте [полученные результаты] с результатами, полученными на старых версиях, или сопоставьте артефакты с [артефактами, извлечёнными] другими инструментами и скриптами, чтобы убедиться, что данных представляются так, как вы ожидаете.

B. Для ключевых доказательств, как оправдательных, так и обвинительных, используйте более чем один инструмент, чтобы сравнить извлечённые артефакты. Проверка таких артефактов должна быть вашим приоритетом. Обратитесь к шагу 3, если данные противоречивы. (Артефакты "родных" приложений, контакты, звонки, сообщения, браузер, изображения).

  • i. Убедитесь, что вы знаете как инструмент, который вы используете, будет отображать данные. Уточните, если вы не уверены в том, декодирует ли и объединяет ли данные инструмент или нет.
  • ii. Обязательно проверьте источник данных, если между инструментами возникли какие-либо расхождения.
  • iii. Различные инструменты могут анализировать разные типы данных из одного и того же приложения.
  • iv. Большинство инструментов поддерживают импорт извлечений из других инструментов и могут декодировать их. Используйте это для проверки результатов, полученных с использованием ваших основных инструментов. Это можно сделать, чтобы подтвердить ваши результаты, [даже] после того, как устройство будет возвращено.
  • v. Проверьте совпадающие данные, полученные разными инструментами, и объедините данные из инструментов, чтобы получить наиболее точное представление данных приложения.
  • vi. Комбинируйте результаты различных инструментов для сложных случаев, когда различные методы могут дать дополнительные результаты: карвинг, методы сокрытия данных, такие как фотохранилище, безопасный обмен сообщениями, который может оставлять следы на устройстве и т.п.
  • vii. Убедитесь, что вы ссылаетесь и обращаетесь к руководствам CASE и FORMOBILE.

C. Изучите особенности ваших инструментов.

  • i. Ознакомьтесь с тем, как ваши инструменты дедуплицируют, фильтруют и отображают результаты.
  • ii. Ознакомьтесь с тем, как работает поиск по ключевым словам в ваших инструментах, чтобы понимать результаты.
  • iii. Ознакомьтесь с форматами файлов и как они представлены в инструментах (SQLite, журналы записей, plist и т.д.).
  • iv. Ознакомьтесь с тем, как ваш инструмент обрабатывает временные метки (временная зона по умолчанию, используется ли автоматическая конвертация [времени] или нет и т.д.). Имейте в виду, что не все приложения хранят все временные метки, связанные со временем устройства. Мобильные приложения могут использовать смещение по времени, не относящееся к UTC или временной зоне устройства (например, Apple использует для некоторых артефактов тихоокеанское время).

D. По возможности узнайте о способности вашего инструмента к анализу данных неподдерживаемых приложений в полуавтоматическом режиме, но помните об ограничениях и тщательно анализируйте [вручную], где необходимо.

E. Убедитесь в правильности настроек вашего инструмента для восстановления удалённых артефактов, анализа неподдерживаемых приложений, обеспечения соединений и т.п. Обязательно проверяйте [это] после каждого обновления.

F. Сравните список установленных приложений со списком приложений, поддерживаемых инструментами, которые вы используете.

Шаг 3. Глубокое погружение в криминалистику: где заканчивается однокнопочное исследование и начинается криминалистическая экспертиза

A. Понятны ли артефакты?

  • i. Легко ли их разобрать?
  • ii. Соотносятся ли они с преступлением по датам?
  • iii. Имеют ли они смысл по контексту?

B. Сравните с источником/устройством.

C. Не забудьте про съёмные носители (UICC (SIM) и карты MicroSD).

D. Проверяйте ключевые артефакты вручную на телефоне и фотографируйте их, или используйте инструмент для фотографирования — какое установлено время?

  • i. Будет мудро сделать заметку о часовом поясе, откуда было доставлено устройство, и часовом поясе вашей лаборатории (например, устройство изъято в поясе североамериканского восточного времени, но направлено в лабораторию с центральным часовым поясом).

E. Используйте инструменты и скрипты, созданные сообществом.

F. Создавайте файлы-примеры для поиска по ключевым словам, чтобы убедиться в том, что инструменты правильно показывают результаты.

G. Работайте в тесном сотрудничестве со следователями по делу, чтобы помочь разработать временные шкалы и фильтры.

H. Не спешите и исследуйте, всегда обращайтесь за помощью, когда это необходимо. Избегайте изобретать велосипед, по крайней мере не убедившись, что данное исследование ещё не было проведено.

I. Убедитесь в том, что вы понимаете все потенциальные источники данных приложений и форматы данных, так что вы можете извлечь и проанализировать данные, не поддерживаемые вашим набором инструментов. Вам могут пригодиться следующие постеры SANS:

Шаг 4. Валидация (виды: визуальная, разными инструментами, детализация вызовов, системы скрытого видеонаблюдения, карвинг, воспроизведение)

A. Руководствуйтесь исходным файлом артефактa.

  • i. Если артефакт важен для вашего расследования, [его] источник должен быть идентифицирован и внесён в отчёт.
  • ii. Для особо важных доказательств исходный файл должен быть отслежен и проверен.
  • iii. Источник должен быть предоставлен для последующей валидации/верификации.
  • iv. На зашифрованных устройствах отследить данные до их исходных шестнадцатеричных данных непросто. Будьте готовы отвечать на вопросы, почему исходные ("сырые") данные для декодированных данных не могут быть просмотрены в шестнадцатеричном просмотрщике. Это может быть применимо и к промежуточным уровням [данных].

B. Изучите базы данных, plist и [прочие] относящиеся к делу файлы в их "родном" формате или в просмотрщике. Это следует делать после того, как было получено извлечение.

C. Проверьте временные метки — отображаются ли они на устройстве в местном времени или во времени UTC? Перепроверьте летнее время, смену часовых поясов, синхронизацию времени и т.п.

  • i. Знайте, откуда взялась временная метка (с телефона или из мобильной сети).
  • ii. Часовые пояса могут быть нетривиальны. Убедитесь, что вы не делаете предположения, что пользователь оставался в одном и том же месте [часовом поясе].
  • iii. Убедитесь, что ваш инструмент извлекает соответствующие временные метки. Если необходимо, проверьте на устройстве.

D. Не бойтесь шестнадцатеричного формата и знайте, как выполнять поиск по ключевым словам в Hex-просмотрщике. Если вы не знакомы с просмотром необработанных данных с помощью шестнадцатеричных просмотрщиков, найдите обучающие материалы для более глубокого понимания в этой области. Это так же применимо и к другим структурам [данных], которые могут быть найдены на мобильных устройствах, включая базы данных SQLite, файлы plist, базы данных Realm и Level, Protobuf и другие, с которыми вы можете столкнуться на устройстве.

E. Обращайтесь за поддержкой и получайте ответы на ваши вопросы (не существует глупых вопросов, учитывая, что эта область очень широка и быстро изменяется). Обязательно используйте поддержку производителей инструментов для любых вопросов, связанных с конкретным продуктом.

F. Обращайтесь за поддержкой к сообществу.

G. Создавайте тестовые данные, чтобы повторить ваши выводы, когда данные могут вызвать путаницу. Это особенно важно при наличии данные из разных часовых поясов, или когда вы исследуете неподдерживаемое приложение или в случае, если вы нашли неопровержимые улики ("дымящийся пистолет") и хотите подтвердить их, используя все доступные источники информации.

H. Делайте подробные записи, касающиеся предпринятых шагов по валидации.

I. Сохраняйте все исследования и созданную документацию, они могут быть потребованы или на них могут сослаться третьи лица на более поздних стадиях.

J. Убедитесь в том, что вы понимаете восстановленные данные. Не все восстановленные данные удалены пользователем. Отличная ссылка по теме: Standardization of File Recovery Classification and Authentication.

Шаг 5. Создание отчётов/представление ваших выводов

A. Выделите доказательства, имеющие отношение к расследованию.

B. Объясните ваши выводы — знайте и понимайте то, что вошло в ваш отчёт.

C. Помните о конфиденциальности информации при передаче отчётов третьим лицам.

D. Высказывайте мнение только если это требуется или разрешено законом, если это уместно. И прокомментируйте или соответствующим образом отметьте указанные комментарии как мнения.

E. Удостоверьтесь в том, что вы проверили то, о чём докладываете.

  • i. Даже быстрая проверка лучше, чем ничего.
  • ii. По возможности попросите коллегу посмотреть отчёт для проверки на здравомыслие.

F. Делайте и сохраняйте записи, чтобы быть готовым к даче показаний в суде даже годы спустя после вашей экспертизы.

G. Установите результаты, ожидаемые от вашего отчёта.

H. Клиентам дел eDiscovery могут потребоваться определённые выходные данные для отчётов.

I.. По возможности делитесь своими результатами внутри вашей организации или с DFIR-сообществом посредством блога или статей. Если вы ведёте блог, рассмотрите возможность отправки на рецензирование в DFIR Review: Публикации — DFIR Review - PubPub.

Шаг 6. Обучение

A. Цифровая криминалистика и расследование инцидентов — быстро развивающаяся сфера, и то, что мы практиковали вчера, может отличаться от используемого сегодня ([например,] выключение устройств и извлечение батареи, извлечение UICC (SIM) карт вместо того, чтобы поддерживать устройство во включённом состоянии. Нам необходимо адаптироваться).

B. Постоянно следите за изменениями.

  • i. Проходите обучение — обучение от производителей, коммерчески нейтральные обучения, самообразование, очное или дистанционное/по запросу.
  • ii. Знакомьтесь с соответствующими законами вашей юрисдикции, и знайте, когда вы находитесь на территории "создания прецедента".
  • iii. Создайте список активных исследователей и подпишитесь на них.
  • iv. По возможности делитесь своим собственным исследованием с сообществом. Если вы столкнулись с какой-то проблемой/вопросом, есть большая вероятность того, что кто-то ещё столкнётся или уже сталкивался с ней.
  • v. Участвуйте в соревнованиях CTF (Capture the Flag), где предоставляются тестовые данные, чтобы улучшить ваши навыки в форме игры/испытания.
  • vi. Просите помощи у DFIR-сообщества.
  • 1. Присоединяйтесь к сообществу DFIR Discord — https://discord.gg/vQMx5qnb
  • 2. Присоединяйтесь к таким шоу, ведущимся участниками сообщества, как Cached Up (Magnet), Life Has No Ctrl+Alt+Del (Cellebrite) и Forensic Happy Hour (Oxygen).
  • 3. Каждый вклад имеет ценность: сфера очень широка, темп развития высок. Каждый может получить свой час славы (работает в том числе и для инструментов...).
  • 4. Группа MDFA — https://groups.google.com/forum/#!forum/mobile-device-forensics-and-analysis
  • 5. Группа SANS FOR585 Alumni — чтобы присоединиться, вы должны быть их нынешним или бывшим студентом.
  • 6. Присоединяйтесь к сообществам производителей и группам на [их] сайтах.
    • i. Обращайтесь к технической поддержке производителя.
    • ii. Развивайте навыки написания скриптов и использования языков запросов.
    • iii. Присоединяйтесь к профессиональным организациям, относящимся к вашей отрасли.

Заключение

Все расследования отличаются [друг от друга], однако концепции, лежащие в основе правильного обращения со смартфоном, извлечения, изучения и предоставления отчётности, остаются неизменными. Для каких-то исследований могут потребоваться только некоторые из [описанных в данной статье] шагов. Например, если подозреваемый находится под стражей и телефон просто сканируется для создания быстрого отчёта с последними сообщениями, шаги 3 и 4 не потребуются. Для расследования серьёзных преступлений, где ответы могут находится на устройстве или в облачных данных, рекомендуется использовать все шаги. Шестой шаг является неотъемлемым — вы должны быть в курсе своей профессии. Криминалистическая экспертиза смартфонов постоянно меняется и требует тестирования, валидации и обучения. Эта сфера, которая требует от нас адаптации и корректировки методов и инструментов, которые быстро меняются. DFIR — это сочетание науки и искусства, а мы являемся профессионалами, необходимыми для рисования картины [произошедшего].

Хотя подходить к экспертизе можно различными способами, эти шесть шагов, описанные экспертами в данной области, созданы чтобы вы не сбились с пути. Мы надеемся, что вы воспользуетесь этим руководством и будете применять его в своей ежедневной практике. Такой краткий документ, как этот, никогда не даст полной картины, но он поможет вам ускориться на вашем пути к профессионализму. И если вы чему-то от нас научились, [теперь] вы знаете, что "доверяй, но проверяй".

Познакомьтесь с авторами

Хизер Махалик: Управляющий директор в области Digital Intelligence в Cellebrite; а также руководитель учебной программы DFIR, старший преподаватель/автор института SANS. Имеет более 19 лет опыта в поддержке правоохранительных органов, государства и DFIR, является соавтором книги "Practical Mobile Forensics".

Джон Баир: Старший консультант компании по обнаружению электронных данных из Сиэтла, где он занимается судебной экспертизой и даёт свидетельские экспертные показания. До этого Джон провел 30 лет в правоохранительных органах, где последние 13 лет были посвящены мобильной криминалистике, связанной с насильственными преступлениями.

Алексис Бриньони: Специальный агент ФБР. Сертифицированный эксперт группы компьютерного анализа. Разработчик инструментов цифровой криминалистики с открытым исходным кодом.

Стивен Коатс: По званию детектив констебль — офицер полиции. Эксперт и инструктор в области цифровой криминалистики в правоохранительных органах с 2005 года, специализирующийся на экспертизе мобильных устройств.

Майк Дикинсон: Начальник отдела развития бизнеса в компании MSAB и бывший сотрудник правоохранительных органов.

Маттиа Эпифани: Аналитик в области цифровой криминалистики и генеральный директор Reality Net; сертифицированный инструктор института SANS; научный сотрудник Итальянского Национального Исследовательского Совета; профессор по контракту в Университете Генуи.

Джессика Хайд: Директор, криминалист в Magnet Forensics и внештатный профессор в Университете Джорджа Мейсона.

Владимир Каталов: Исполнительный вице-президент московской компании ElcomSoft. Владимир руководит исследованиями и разработками в области мобильной и облачной криминалистики.

Скотт Кёниг: Сотрудник правоохранительных органов штата и эксперт по цифровой криминалистике, специализирующийся на экспертизе мобильных устройств.

Пол Лорентс: Эксперт по технической поддержке/старший инженер по решениям в компании Cellebrite. Бывший сотрудник правоохранительных органов. Начинал заниматься DFIR как хобби, что затем стало его карьерным путём.

Кристофер Порье: Эксперт по кибербезопасности в энергетическом секторе, присяжный судебный эксперт с 2017 года.

Ли Рейбер: Управляющий директор Oxygen Forensics, Inc; автор книги "Mobile Forensic Investigations: A Guide to Evidence Collection, Analysis, and Presentation"; более 25 лет в правоохранительных органах и поддержке цифровой криминалистики правоохранительных органов.

Мартин Вестман: Специалист по продуктам цифровой криминалистики в MSAB и инструктор по цифровой криминалистике для правоохранительных органов с 2004 года, специализирующийся на мобильной криминалистике.

Майк Уильямсон: Технический консультант по криминалистике в компании Magnet Forensics. Бывший сотрудник правоохранительных органов. Специализируется на цифровой криминалистике, разработке программного обеспечения и реверс-инжиринге.

Ян Виффин: Старший эксперт по цифровому интеллекту в Cellebrite. Бывший сотрудник правоохранительных органов. Специализируется на мобильной криминалистике. Цифровая криминалистике — это его карьера и хобби.

Олег Скулкин: Старший аналитик по цифровой криминалистике и реагированию на инциденты в Group-IB и соавтор книги "Practical Mobile Forensics".

Попробовать Belkasoft X бесплатно:

Читайте также