Belkasoft Evidence Center X или, для краткости, Belkasoft X, – это новый флагманский продукт компании Белкасофт для производства цифровых криминалистических экспертиз и расследования корпоративных инцидентов.

На этой странице вы можете ознакомиться с усовершенствованиями, сделанными в новом продукте, по сравнению с его предшественником, Belkasoft Evidence Center 2020, продуктом, признанным в 2020-м году одним из трёх лучших коммерческих DFIR-инструментов в мире по версии конкурса Forensic 4:Cast Awards.

Улучшения в версии 1.0.6233

В этом разделе вы найдёте улучшения, вошедшие в версию 1.0.6233, выпущенную после исходного релиза 1.0.6190. Ниже вы найдёте информацию и о версии 1.0.6190.

  • Улучшен разбор больших образов APFS. Теперь находится больше артефактов
  • Агентное снятие с iOS-устройств:
    • Полная файловая система теперь снимается для iOS версий с 10 до 13.7
    • Кейчен теперь извлекается для iOS версий с 10 до 13.7
    • Замечание: эта функциональность не поддержана для моделей iPhone 6S и SE (первого поколения), на которых установлена версии iOS 13.5-13.7 (извлечение кейчена не поддержано для iOS 13.3.1-13.4.1), однако, для этих моделей и версий iOS вы можете использовать снятие, основанное на checkm8, которое поддерживает и извлечение полной файловой системы и кейчейн
  • Восстановлена скачка облачных данных WhatsApp. Эта функциональность была временно удалена вследствие изменений протоколов WhatsApp, но теперь снова доступна
  • Обновлена дешифрация Signal
  • Улучшен разбор приложения Odnoklassniki
  • Исправлено размытие изображений с детектированной порнографией
  • При снятии образов диска более не разрешается устанавливать размер 0 для многофайловых образов
  • Исправлено зависание при работе с мини-таймлайном
  • Добавлены фильтры для публичных и приватных ключей blockchain-кошельков
  • Добавлен глобальный фильтр по удалённым артефактам
  • Для узла Нераспределённое пространство в окне Файловая система теперь показывается размер
  • Теперь вы можете создавать отчёты для подузлов узла Изображения (такие как изображения с текстом, лицами и т.п.)
  • Добавлен фильтр по видео с извлечёнными ключевыми кадрами
  • Видео- и аудио-плееры теперь выдают предупреждение, если открываемый файл имеет нулевой размер или находится на отмонтированном источнике
  • Исправлена нечитаемая шкала кеша памяти в окне настроек (в случаях больших объёмов памяти, например, 256Гб)
  • Многочисленные улучшения в окнах Результаты поиска и Файловая система

Пользовательский интерфейс и новые окна

1. В пользовательском интерфейсе продукта более нет тулбара (панели инструментов с кнопками в верхней части окна). Также исчезла строка состояния снизу. Эти элементы интерфейса редко использовались заказчиками и занимали место, которое теперь используется более эффективно. Аналогично, удалено главное меню

2. Появилось новое окно верхнего уровня: Домашнее. На этом окне вы можете начать работу с делом, создав его или открыв существующее. Тут вы также можете настроить опции. Мы целенаправленно отделили это окно от списка недавно открытых дел и окна Главное, чтобы избежать путаницы, возникавшей в прошлом продукте

3. Окна Обозреватель дела и Обзор объединены в единое окно верхнего уровня Артефакты, внутри которого можно переключиться между режимами Структура (аналог Обозревателя дела) и Обзор. Это изменение подчёркивает тот факт, что оба режима отображают одинаковую информацию с несколько разных углов

4. Окно Главное теперь показывает информацию только об открытом деле. Оно было существенно переработано. Теперь на Главном вы можете увидеть данные об открытом деле, произвести основные действия с ним, просмотреть подключённые источники данных. Прогресс анализа показывается внутри каждого источника, отображаемого на этом окне. Добавлена ссылка на окно Задачи, куда можно перейти для просмотра детальной информации о задачах, идущих в рамках анализа выбранного источника

5. Окно Диспетчер задач теперь называется Задачи. Мы упростили имя, чтобы избежать путаницы с окном Диспетчера задач Windows. Окно более не разделено на две части, вместо этого каждая задача, содержащая подзадачи, может быть раскрыта, и вы увидите прогресс каждой дочерней задачи

6. Убрано разбиение на страницы во всех списках и таблицах. Просто прокручивайте страницу вниз! (В старом продукте внизу каждого списка артефактов с большим количеством элементов продукт показывал кнопки с номерами страниц, что привносило путаницу: на какой странице требуемые мне данные? Где они будут, если я применю фильтр?)

Юзабилити, рабочий процесс и лёгкость использования

7. Появились глобальные фильтры. Эти фильтры доступны по нажатию иконки в правом верхнем углу окна Артефакты и применяются для всех артефактов в деле. В прошлом продукта, вам было необходимо применить фильтр в каждом отдельном списке. Теперь вам не нужно более дублировать работу

8. Появился глобальный фильтр, показывающий только данные закладок

9. Увеличены количество и ассортимент локальных фильтров. Теперь, даже для редких артефактов (например, данные сна из фитнес-браслетов) вы можете найти фильтры по различным критериям

10. Мини-таймлайн. В новом продукте введён новый специальный фильтр, а именно фильтр по дате. Этот фильтр отделён от прочих и представлен как визуальная временная шкала сверху окна Артефакты. Вы можете быстро выбрать период времени, чтобы увидеть только данные из него 

11. Список Свойств теперь показывается справа от артефактов. Копирование из Свойств стало проще и удобней, скопированные данные более не включают разделители, как раньше. Свойства теперь могут быть многострочными. Вы можете видеть свойства одновременно с просмотрщиками (такими как Hex и SQLite), потому что они теперь разделены

12. Все вспомогательные окна теперь могут быть схлопнуты: группы свойств, панель Свойства, Конвертор типов (часть Шестнадцатиричного просмотрщика) и даже вся панель Инструментов. Это позволяет вам использовать пространство вашего монитора максимально эффективно

13. В левой части окон Артефакты, Исследование инцидентов, Временная шкала, Закладки и прочих теперь доступны галочки у каждого узла. Галочки помогают включить в единый отчёт данные из нескольких элементов, что не было возможно в предыдущем продукте

14. Ранее вам требовалось открыть новое дело, чтобы появилась возможность удалить старое. Теперь вы можете удалить текущее дело

15. Более не надо перезапускать Belkasoft X, чтобы применить настройку языка или выбрать обновлённую лицензию

16. Кнопка Открыть на полный экран, которая показывает просмотрщики SQLite, Hex, реестров и файлов Plist в окне верхнего уровня, сделана больше и понятнее

17. Появилась тёмная тема. Прекрасная визуально, эта тема помогает вашим глазам не напрягаться, если вы работаете ночью, в тёмной комнате или просто предпочитаете использовать все приложения в подобной цветовой гамме. Вам также доступна светлая тема, устанавливаемая по умолчанию

18. Улучшения пузырькового вида чатов:

  1. Пузырьковый вид сделан более чистым визуально
  2. Даже на экранах с большим разрешением, чаты более не выравниваются по левому краю (как было в прошлом продукте)
  3. Иконка закладки показывается даже в пузырьковом виде (ранее она была доступна только в табличном виде)
  4. Появилась линия, отделяющая чаты, сделанные в разные даты

19. Улучшения галереи:

  1. Галереи сделаны более чистыми визуально
  2. Иконка закладки показывается даже для элементов галереи (ранее она была доступна только в табличном виде)
  3. Появились три иконки для более лёгкой сортировки (по имени файла, по времени и размеру), повторное нажатие меняет порядок сортировки
  4. Каждый элемент галереи (изображение, видео или документ) подписан не только именем (как в прошлом продукте), но также и временем модификации и размером
  5. Элементы галереи можно выделить галочкой для групповых операций

Экран Добавить источник данных

Мы существенно переработали экран Добавить источник данных, один из важнейших экранов в продукте. В результате он стал проще, гибче и мощнее.

20. Окно Добавить источник данных теперь может быть открыто прямо в процессе создания дела. Теперь процесс создания дела и добавления источника является одношаговым и менее смущающим

21. Вы получаете больше контроля над задачами, которые вы планируете произвести с источником данных:

  1. Вы можете выбрать части источника для анализа (к примеру, только выбранные разделы)
  2. Вы можете извлечь процессы памяти и запустить детектирование вредоносного кода в них без необходимости карвить исследуемый дамп памяти (что требовалось в прошлом продукте)
  3. Вы можете указать, следует ли Belkasoft X монтировать и анализировать вложенные источники данных или нет
  4. Вы можете ввести пароли от зашифрованных разделов и томов, а также для резервных копий iTunes backups в момент добавления источника. Если пароль верен, будет показана структура источника данных, и вы сможете выбрать части для анализа
  5. Вы можете указать, что следует проанализировать только непосредственное содержимое выбранной папки без анализа подпапок
  6. Вы можете выбрать опцию поиска профилей без извлечения данных из них. Эта настройка позволяет вам запускать так называемый triage-анализ (быстрый анализ в условиях дефицита времени) и создавать профили triage
  7. Появились опции анализа медиа-файлов: в прошлом продукте вы могли запустить детектирование типов изображений (такое как определение лиц) только после окончания базового анализа. Теперь вы можете указать эти опции в момент добавления источника данных
  8. Поиск зашифрованных файлов и томов стал более понятным: теперь соответствующая настройка вынесена в отдельную вкладку с отдельной галочкой (в прошлом продукте эта опция находилась среди типов артефактов, что создавало путаницу)

22. Появилось понятие "профиля анализа". Профиль содержит в себе наборы опций анализа, таких как список приложений, которые требуется найти, извлекать ли данные или проводить triage, каким образом подсчитывать хеш-значения и как анализировать медиа-данные, искать ли шифрацию и т.п. Вы можете создавать собственные профили и переиспользовать в других делах, экономя время на настройке. Вы также можете использовать и редактировать встроенные, такие как Windows, Android, iOS, Internet-расследования, Корпоративные расследования и другие

Triage

Этот тип анализа настолько важен и настолько часто был запрашиваем заказчиками Белкасофт, что мы добавили отдельную поддержку специально для него. Представьте, что у вас есть всего лишь час на анализ компьютера, на котором хранится множество документов, чат-приложений, браузерных историй и огромный PST-файл Outlook размером 50Гб.

Одно только извлечение данных почтового ящика займёт пару десятков часов, чего вы не можете себе позволить. В этот момент triage-анализ может спасти ситуацию. Во время такого анализа, Belkasoft X не будет извлекать никакие данные приложений (например, письма и почтовые папки из PST-файла, чаты из WhatsApp, ссылки браузеров и т.п.), однако, покажет все найденные профили приложений вместе с основными свойствами, такими как путь, размер, дата и время. Вы сможете решить, следует ли извлекать данные из самых важных найденных профилей или продолжить изучение другого источника данных из очереди.

23. В окно Добавить источник данных добавлена кнопка Triage

24. Появилась галочка Не извлекать историю, только искать профили. С помощью этой настройки вы можете создавать свои профили triage (или использовать профиль, встроенный в Belkasoft X), а также производить одноразовый triage-анализ

25. После того, как быстрый анализ источника данных завершён, вы можете выбрать любой профиль приложения (или файл) и извлечь полные данные из него

Снятие данных

Если у вас ещё нет образа или дампа, вы можете снять его с помощью нового продукта. Поддерживаемые типы источников: жёсткий диск или съемный носитель, мобильное устройство, облака.

26. Экран Снятие данных переделан, сделан более визуально и логически согласованным

27. Обратите внимание на мощные функции снятия данных с устройств на базе iOS (а также см. "Анализ iOS" ниже)

Анализ iOS

Новый продукт Белкасофт является одним из лучших доступных на рынке с точки зрения снятия данных и анализа iOS-устройств. Он полностью поддерживает checkm8 и агентное снятие данных, извлекая полную копию файловой системы и keychain. По сравнению со старым продуктом появилось множество новых функций для исследования iOS:

28. iOS-агент: извлечение keychain поддержано для iOS до версии 13.3 включительно! Напоминаем, что агентное снятие полной ФС поддержано для версий iOS от 10 до 13.4.1

29. Поддержка iOS 14-14.2:

  1. Поддержано снятие резервных копий iTunes
  2. Поддержано снятие, основанное на checkm8 для следующий моделей устройств: 6S, 6S+, SE первого поколения, 7, 7+ и соответствующих моделей iPad (первый DFIR-продукт в мире, который поддерживает такой набор устройств, работающих на iOS 14.2!)
  3. Напоминаем, что для более старых версий iOS 12.0-13.7, checkm8 поддержан для моделей от iPhone 5S до iPhone X и соответствующих моделей iPad

30. checkm8 поддержан для сетевых лицензий

31. Поддержано извлечение и дешифрация keychain из резервных копий iTunes

32. Добавлена дешифрация мессенджера Wickr, основанная на keychain

См. также: новые и обновлённые артефакты iOS ниже

Компьютерная криминалистика

33. Поддержано монтирование и анализ образов в набирающем популярность формате AFF4

34. Поддержан анализ динамических дисков (без RAID)

35. Добавлена дешифрация WDE и FVE следующих типов:

  1. APFS
  2. Bitlocker
  3. DriveCrypt
  4. FileVault
  5. McAfee Endpoint Security
  6. PGP и Symantec PGP
  7. TrueCrypt
  8. VeraCrypt
36. Файлы $MFT теперь отображаются в окне Файловые системы

Работа с закладками

37. Закладки теперь могут принадлежать различным категориям, что отображается разными цветами. Появилась новая колонка, показывающая цвет закладки (и даже два цвета, если элемент добавлен в несколько закладок)

38. Элемент, добавленный в закладку, помечается иконкой не только в таблицах, но также в пузырьковом виде и в галерее

39. Клавиши NumPad позволяют мгновенно добавить выбранный элемент в закладку соответствующей категории. Комбинации клавиш Ctrl-B и Ctrl-Shift-B работают как в прошлом продукте

40. Вы можете отфильтровать только элементы, добавленные в закладки с помощью глобального фильтра, доступного в в окне Артефакты

41. Внутри окна Закладки поддержано создание отчёта из множества закладок

Просмотрщики и предварительный просмотр

42. Добавлен проигрыватель аудио-файлов

43. В галерее для видео теперь для каждого видео показывается миниатюра кадра, извлечённого из видео

44. Добавлен проигрыватель видео-файлов, включающий функции перемотки вперёд и назад, а также создания снимка текущего видеокадра

45. В галерее для документов добавлен предпросмотр файлов Microsoft Word, Excel и PowerPoint

46. Для офисных документов на панели инструментов стал доступен предпросмотр всех страниц, листов и слайдов

Анализ медиа-файлов

47. Добавлен анализ аудио-файлов: теперь вы можете детектировать аудио-файлы и извлечь их метаданные, фильтровать и искать их по разным критериям

48. Поддержано извлечение ключевых кадров для дополнительных видеоформатов, таких как mp4 и mkv

49. Добавлено детектирование вторичных видео-потоков:

  1. Для каждого видео показывается количество видео-потоков
  2. Доступен фильтр, показывающий только видео, в которых содержится более одного видео-потока
  3. Поддержано извлечение ключевых кадров даже из вторичных видео-потоков
  4. Вы можете запустить анализ, такой как поиск лиц и порнографии на ключевых кадрах, извлечённых даже из вторичных видео-потоков

50. Алгоритмы поиска лиц обновлены, теперь мы используем самые новые и самые точные нейронные сети

Новые и обновлённые артефакты

51. Артефакты Android:

  1. WhatsApp (обновлён)
  2. Line (обновлён)
  3. Fitbit (обновлён)
  4. MiFit (обновлён)
  5. Uber (обновлён)
  6. Firefox (обновлён)
  7. Likee (поддержан)
  8. Zangi (поддержан)
  9. TamTam (поддержан)
  10. Likee (поддержан)

52. Артефакты iOS, обратите особое внимание на набор артефактов, поддержанных для системных файлов:

  1. Health (поддержан)
  2. Uber (обновлён)
  3. Likee (поддержан)
  4. TamTam (поддержан)
  5. Confide (поддержан)
  6. Facebook Messenger (обновлён)
  7. Yandex Mail.ru (поддержан)
  8. Системные файлы iOS (поддержаны):
    1. Уведомления пользователя
    2. Конфигурации мобильной связи
    3. Учётные записи
    4. Информация об устройстве
    5. Статистика использования: ADDataStore, DataUsage, knowledgeC
  9. Wickr (поддержан)

53. Артефакты Windows и macOS:

  1. Facebook Messenger App для Windows
  2. Facebook Messenger App для macOS
  3. Facebook Desktop для macOS
  4. Улучшен разбор файлов setupapi.dev.log

Остальные улучшения

54. Обновлена поддержка снятия с устройств Android и скачивания облаков, исправлены различные ошибки

55. Вы можете сконфигурировать продукт таким образом, чтобы он проверял обновления при каждом запуске. Как и ранее, если на вашем компьютере нет интернет-соединения, продукт будет прекрасно работать и без него, т.к. он полностью поддерживает работу в офлайн-режиме

56. Смена языка теперь возможна "на лету", без перезапуска продукта

57. Поддержан поиск по списку регулярных выражений: вы можете указать текстовый файл и пометить, что он содержит регулярные выражения (одно на строку)

58. Переработанное окно Активация лицензии упрощает решение проблем лицензирования

59. Подсказки показываются для геолокационных точек: теперь при нажатии на точку в окне Карта откроется окно с указанием артефактов, расположенных в данной локации (включая кластеры точек)

60. Подготовить лог-файлы: эта функция упрощает решение проблем, возникающих при использовании продукта. Нажав всего одну кнопку, вы получите zip-архив со всеми относящимися к делу лог-файлами, который можно отправить в Белкасофт для диагностики

61. На окне Домашнее вам доступны видеоуроки, помогающие быстрее освоить продукт

62. Перекрёстный анализ дел автоматически запускается на всех существующих делах, не задавая лишний вопрос о том, какие прошлые дела следует включить в поиск

63. Улучшение полосы прокрутки: полоса визуально красива и тонка, покуда вы не наведёте на неё мышкой, что приведёт к расширению области, с которой вы оперируете. Это очень удобно!

64. Переработано окно Графа связей: оно стало визуально более чистым; добавлен слайдер Ограничение по количеству связей, который помогает убрать с экрана людей, имеющих незначительное количество коммуникации, и поэтому менее важных

65. Обновлены тестовые истории: теперь они доступны в виде образа E01. Пользователь может предпочесть не устанавливать этот образ (мы регулярно получали жалобы в стиле "почему я вижу чаты, относящиеся к Белкасофт, на моём жёстком диске?"). Обновлённый образ содержит самые популярные и новые приложения, в нём более нет коммуникаций, относящихся к доисторическому 2010-му году

66. Эмодзи поддержаны в списках артефактов, и в виде таблицы и в пузырьковом виде, а также в окне Свойств и даже просмотрщике SQLite

67. Стало возможным сохранение карверных данных в базу (и затем в Evidence Reader)

68. Появилось окно ввода паролей, позволяющее экранировать ввод, в случаях, когда вы работает за компьютером не один. Все пароли по умолчанию скрываются, но у вас есть возможность показать их с помощью иконки глаза

69. Продукт может быть запущен без прав администратора. То же и для Evidence Reader

70. Анализ наборов хеш-значений:

  1. Поддержан импорт json-файлов из Project Vic версий 1.3 и 2.0
  2. Поддержан импорт плоских файлов хеш-значений. Поместите хеш-значения одно на строку, неважно, MD5, SHA1 или SHA256 (список может содержать смесь хеш-значений разных типов) и используйте для поиска совпадений
  3. Вы можете также экспортировать ваши хеш-наборы для других

71. Появилось публичное API. Хотите встроить мощные функции Belkasoft X в ваш продукт? Теперь это можно сделать!

72. Появилась специальная версия для академических учреждений. Пригодится для обучения студентов

Улучшения модели продаж

Изменилась модель продаж, появились новые конфигурации:

1. X Computer: начальная редакция для заказчиков с ограниченным бюджетом, которые анализируют только компьютеры

2. X Mobile: начальная редакция для заказчиков с ограниченным бюджетом, которые анализируют только мобильные устройства и не собираются пользоваться функцией снятия данных с iOS при помощи checkm8

3. X Forensic: рекомендуемая для правоохранительных учреждений, эта конфигурация объединяет функции исследования компьютеров и мобильных устройств, а также добавляет облачную криминалистику, дешифрацию WDE/FVE (например, Bitlocker и APFS), а также снятие c iOS с помощью checkm8

4. X Corporate: созданная специально для корпоративных заказчиков, эта редакция объединяет все функции редакции X Forensic, а также модули Исследования инцидентов и Перекрёстного анализа дел

Ранее платный модуль Файловых систем теперь включён в базовую конфигурацию продукта и более того, общая стоимость стартовых редакций продукта УМЕНЬШИЛАСЬ! Редакция X Forensic стала ещё более доступной: имея такую же цену, как и конфигурация Evidence Center с функцией checkm8, она предлагает ещё и дешифрацию WDE без дополнительной платы!

Больше информации о конфигурациях доступно на https://belkasoft.com/ru/x#belkasoft-x-editions

Послание от команды: "Спасибо вам!"

Вложив все силы и душу в улучшение интерфейса и удобства, в мощные функции нового продукта Belkasoft X, мы искренне надеемся, что вы оцените изменения, даже если какие-то из них поначалу покажутся вам необычными, особенно тем, кто привык к старым версиям "белки".

Мы хотим сказать "спасибо" всем, кто помогал нам с улучшениями, присылал лог-файлы, идеи для внедрения, тестовые данные. Пожалуйста, продолжайте слать нам свои пожелания и отзывы по функциям и удобству использования Belkasoft X. Похвала тоже не будет лишней.