Что нового в Belkasoft X v.1.10 Sep 20, 2021

Belkasoft Evidence Center X или, для краткости, Belkasoft X, — это новый флагманский продукт компании Белкасофт для производства цифровых криминалистических экспертиз и расследования корпоративных инцидентов.

В версии 1.10 появилась такая функциональность, как встроенный просмотрщик MFT, поддержка альтернативных потоков данных (ADS), автоматизация снимков экрана для любых приложений на устройствах под управлением Android, скачка облачных данных Office 365, улучшения агентного снятия данных с iOS-устройств, и ещё целый ряд новых и обновлённых артефактов для iOS, Android, macOS и Windows.

Все пользователи Belkasoft X предыдущих версий с действующей поддержкой могут обновить продукт, скачав версию 1.10 из Личного кабинета. Кончился срок поддержки? Запросите предложение по продлению.

Пользователи Belkasoft Evidence Center (версии 9.9 и ниже) с действующей поддержкой могут обратиться за предложением о переходе на новый продукт Belkasoft X со скидкой, написав по адресу sales@belkasoft.com. Обратите внимание, поддержка BEC истекает 1 ноября 2021 года.

Подробнее о новых функциях

Просмотрщик MFT

MFT (Master File Table), или главная файловая таблица — это функциональность файловой системы NTFS. Эта файловая таблица хранится в специальном файле, невидимом для обычного пользователя компьютера, который называется $MFT, и в нём содержатся записи о каждом файле файловой системы, включая сам файл $MFT. В MFT вы можете обнаружить большое количество полезной информации о файлах, включая их размер, дату и время создания, права доступа (а для резидентных файлов и их содержимое).

Для целей низкоуровневой криминалистики эксперт может проанализировать метаданные файла прямо из MFT. Для таких случаев в Belkasoft Х в окне "Файловая система" появилась отдельная вкладка, отображающая информацию MFT для выбранного файла. Вкладка содержит информацию о каждом атрибуте метаданных в текстовом представлении.

Поддержка альтернативных потоков данных (ADS)

Альтернативные потоки данных — это ещё одна интересная функциональность NTFS. Данная функциональность позволяет каждому файлу иметь несколько потоков данных, помимо основного. Размер второстепенных потоков данных может произвольно варьироваться, их размер может даже быть больше, чем основной поток. Именно в них злонамеренные пользователи могут пытаться скрыть от эксперта нелегальную информацию. К сожалению, оперативная система имеет ограниченные возможности работы с альтернативными потоками данных, как и, впрочем, многие инструменты цифровой криминалистики.

Белкасофт поддерживает просмотрщик для ADS в новейшей версии 1.10 Belkasoft X. Каждый альтернативный поток данных представлен на отдельной вкладке в окне "Файловая система". Такая вкладка содержит шестнадцатеричный просмотрщик c бинарными данными выбранного альтернативного потока.

Снятие экранов любых приложений на устройствах Android

В предыдущих версиях Belkasoft X мы поддержали целый ряд методов извлечения данных из устройств Android, в том числе и автоматизированное снятие снимков экранов приложений. Преимуществами этих методов является безопасность и возможность извлекать данные, не содержащиеся в стандартных резервных копиях Android. Требования к данному методу такие же, как и для резервных копий ADB. Есть несколько причин использовать метод автоматизированного снятия экранов, но одной из наиболее важных является тот факт, что эксперту необходимо следовать широко принятому правилу использования наименее рискованных методов извлечения данных. Это означает, что делать снимки экранов следует до того, как вы используете такие методы как, например, понижение версии приложения, и тем более, рутирование или chip-off.

В предыдущей версии Belkasoft X осуществлял поддержку только трёх приложений: Signal, Telegram и WhatsApp. В версии 1.10 вы сможете снимать экраны любых приложений, установленных на устройстве. Вы можете выбрать количество прокруток для конкретных экранов, кроме того, вы можете выбрать направление, в котором продукт будет прокручивать экран (вверх или вниз).

Переработанный процесс снятия данных из мобильных устройств

С прошлого года наш продукт Belkasoft X был существенно улучшен в направлении снятия данных с мобильных устройств. Серьёзно увеличено количество разных доступных эксперту методов, добавлены функции наподобие снятия ограниченного режима USB и подбора паролей.

С развитием поддержки всё большего количества методов возникла потребность переделать процедуру снятия данных в продукте. Теперь вначале вам предлагается выбрать производителя устройства и его модель. После этого продукт предложит только те методы извлечения данных, которые подходят для выбранного устройства. Кроме того, соединение с устройством теперь происходит лишь после уточнения всех требуемых деталей извлечения, что существенно повышает надёжность снятия, особенно в продвинутых методах.

Наконец, возможно выбрать модель устройства по изображению может помочь в случаях, когда вы не до конца уверены в том, что за телефон попал вам в руки. Вы также сможете отфильтровать устройства по подстроке внутри имени производителя или модели.

Поддержка Microsoft Office 365

Cкачивание облачных данных из Office 365 является одним из самых популярных запросов от наших заказчиков.

Office 365 — это Microsoft Office в облаке. Он не ограничивается лишь Word, Excel и PowerPoint, но они, пожалуй, являются наиболее популярными сервисами, и только лишь их было бы достаточно, чтобы функция скачивания их данных из облака Microsoft оказалась достаточно полезной.

Microsoft предлагает 1 терабайт памяти пользователям своих сервисов для хранения документов, и, конечно, было бы очень полезно иметь возможность скачать эти данные в ходе проведения цифровой экспертизы или расследования инцидентов. В версии 1.10 Belkasoft X может скачивать пользовательские документы из хранилища данных OneDrive. Для этого вам понадобится имя учётной записи и пароль пользователя.

Улучшения в работе агентного метода снятия данных с iOS-устройств

Агентный метод снятия данных с iOS устройств существует с самой первой версии Belkasoft X, но он был значительно улучшен в последней версии.

Напоминаем, что вы можете использовать этот метод для любых моделей iPhone или iPad с версией iOS от 10 до 14.3. На выходе вы получите образ полной файловой системы, а также связку ключей (до iOS 13.7), что очень важно, когда вы пытаетесь расшифровать данные таких приложений как Signal или Wickr Me. Хотя этот метод не нов, он постоянно улучшается благодаря отзывам наших пользователей. Учитывая разнообразие устройств и версий iOS, даже успешное тестирование на нескольких десятках телефонов и планшетов в нашей лаборатории не покрывает всех особенностей отдельных устройств, встречающихся в реальных экспертизах заказчиков.

Команда разработчиков Белкасофт хочет поблагодарить всех наших пользователей, кто неустанно присылает свои логи и отчёты об ошибках. Благодаря им с каждым новым обновлением Belkasoft X сообщество экспертов получает всё более высокий процент успешного снятия данных с помощью агентного метода.

Улучшение анализа артефактов

  • Добавлена поддержка приложения Google Keep на Android
  • Извлекается точный размер в пикселях оригинальной картинки в Tinder
  • Улучшена производительность анализа системных логов macOS
  • Контакты и чаты WhatsApp теперь извлекаются из hiberfil.sys
  • Для приложения Facebook Messenger на iOS теперь извлекается абонент для групповых звонков
  • Для Apple Mail теперь извлекаются получатели

Другие улучшения

  • Улучшено скачивание из облака Instagram
  • Улучшено планирование задач: если вы встречались с проблемой "зависания" запланированных задач, попробуйте новую версию
  • Улучшена проверка корректности API-ключа VirusTotal
  • Улучшен выбор блоков байтов в шестнадцатеричном просмотрщике
  • Улучшена проверка интернет-соединения для более стабильного скачивания WhatsApp по QR-коду
  • Добавлена инструкция для восстановления сбойного приложения в методе понижения версии APK

Исправленные проблемы

  • Исправлено извлечение данных Tinder из образа, полученного методом понижения версии приложения
  • Улучшен анализ Skype для Linux
  • Исправлена ошибка извлечения времени последнего запуска для элементов jumplist
  • Восстановлено добавление закладки по горячей клавише
  • Устранена ошибка отображения элементов из зашифрованных резервных копий iTunes в файловой системе
  • Устранена ошибка отображения окна с QR-кодом для скачивания WhatsApp
  • Исправлена ошибка предпросмотра изображений в случае, когда источник данных отключен
  • Окно фильтров в панели Задачи корректно отображает выбранность всех статусов по умолчанию
  • Улучшено отображение доступных свойств для SMS
  • В списке элементов ShellBag теперь корректно отображается название столбцов
  • Только отмеченные приложения выбираются методом понижения версии приложений
  • Исправлено использование linkedin.apk в методе понижения версии приложений
  • Восстановлена двухфакторная авторизация с помощью кода и SMS в скачивании iCloud
  • Исправлены десятки других проблем