Что нового в Belkasoft X v.1.11 Dec 14, 2021

Belkasoft Evidence Center X (Belkasoft X), — это флагманский продукт компании Белкасофт для производства цифровых криминалистических экспертиз и расследования корпоративных инцидентов.

Версия 1.11 содержит следующие важные улучшения:

  • Поддержана загрузка резервных копий iCloud, в том числе поддержана двухфакторная аутентификация (2FA)
  • Значительно обновлена поддержка облачных сервисов, включая облака Google, Gmail, WhatsApp и Office 365. 2FA теперь поддержана для всех облачных сервисов
  • Существенно улучшен анализ теневых копий (Volume Shadow Copy)
  • Поддержана дешифрация секретных чатов Facebook
  • Сделаны многочисленные улучшения в извлечении данных Android и iOS
  • Поддержана дешифрация данных Wickr, Signal и других iOS приложений с помощью связки ключей, извлечённой сторонним инструментом
  • Добавлено несколько новых системных артефактов Linux, поддержана последняя версия ICQ для Windows, поддержана дешифрация пароля Wi-Fi на ПК

Все пользователи Belkasoft X предыдущих версий с действующей поддержкой могут обновить продукт, скачав версию 1.11 из Личного кабинета. Кончился срок поддержки? Запросите предложение по продлению.

Подробнее о новых функциях

Облачная криминалистика

Загрузка резервных копий iCloud

Белкасофт уже на протяжении продолжительного времени поддерживает загрузку данных из iCloud, однако ранее продукт мог загружать лишь отдельные артефакты, такие как фотографии, почту, заметки, iCloud Drive и т. д.

В Belkasoft X 1.11 поддержана загрузка резервных копий устройств iOS, хранящихся в iCloud. Эта функциональность крайне важна, поскольку телефон может быть заблокирован на момент расследования или же извлечение данных с телефона может быть невозможно по другим причинам. Более того, поскольку iCloud позволяет хранить до четырёх последних резервных копий, есть шанс восстановить данные, которые уже не хранятся на телефоне.

Обратите внимание на то, что вы можете скачать все резервные копии всех устройств, привязанных к учётной записи, а не только для одного устройства.

Поддержана двухфакторная аутентификация. Поддержанные версии iOS: 9.0 – 15.1.1.

Другие улучшения в облачной криминалистике

Были обновлены методы загрузки данных из следующих облачных сервисов:

  • WhatsApp
  • Office 365
  • Google
    • Поддержка аутентификации 2FA для всех облаков Google
    • Google Timeline
    • Gmail
  • Загрузка "живых" фотографий из iCloud

Мобильная криминалистика

Важные улучшения коснулись практически всех поддерживаемых методов извлечения мобильных данных. Читайте более подробно про методы извлечения данных с мобильных устройств с помощью Belkasoft X.

  • Снятие снимков экрана Android
    • Поддержано увеличение изображений (путём нажатия на них в сообщенияз)
    • Поддержан текущий пользовательский интерфейс Signal (в том числе с целью предотвращения совершения случайного звонка вместо прокрутки экрана)
    • Исправлено снятие снимков экрана на Galaxy S8
  • Понижение версии приложений Android (понижение версии APK)
    • Исправлено извлечение Facebook, Instagram, OneDrive, Skype и Tumblr для Samsung S8+
    • Исправлена ошибка операции USB с кодом 433 для Galaxy S8+
    • Исправлена проблема с извлечением Hangouts
  • Продвинутое ADB-снятие
    • Исправлена ошибка, возникающая в случае, если пользователь не нажал 'Установить' для приложения
    • Исправлено продвинутое ADB-снятие для Galaxy S8+
  • Снятие физического и логического образов Android
    • В случае физического извлечения добавлен флажок 'Выбрать все' (полезно в том случае, когда устройстве содержит множество разделов)
    • Методы физического и логического снятия, а также снятия с помощью MTK-агента, улучшены таким образом, чтобы минимизировать вероятность повреждения данных во время передачи образа с телефона на компьютер
    • Для Alcatel 5033D исправлена проблема неверного подсчёта размера разделов, а также нулевые результаты в случае физического снятия образа
  • Снятие данных Android через протокол MTP
    • Исправлено снятие MTP для Huawei P Smart
  • Агентное снятие образа iOS
    • Исправлено извлечение связки ключей для iPhone 6 с iOS 12.4 9
    • Улучшено агентное снятие для iOS 13.2
    • Исправлена ошибка установки агента, возникающая в некоторых специфичных случаях
    • Улучшена визуализация процесса снятия образа (показываются более точные числа)
    • Исправлен ряд проблем со стабильностью и сделаны улучшения по запросу пользователей
  • Снятие данных на базе уязвимости checkm8
    • Исправлена проблема с извлечением паролей из связки ключей для Signal и Wickr
    • Исправлен ряд проблем со стабильностью и сделаны улучшения по запросу пользователей
  • Извлечение журнала сбоев iOS
    • Исправлены проблемы с извлечением журнала сбоев для iPhone XR 13.5.1 и iPhone 6 12.4.4
  • Резервное копирования iTunes
    • Поддержан iOS 15.1.1

Медиафайлы

  • Встроенный просмотрщик изображений был значительно обновлён
    • Теперь вы можете переходить между изображениями, ключевыми кадрами видео, страницами документов, файлами миниатюр и т. д.
    • Поддержана навигация с помощью клавиатуры и мыши
    • Просмотрщик изображений теперь учитывает выделение, фильтры и сортировку, применённые в соответствующем списке артефактов
    • Непосредственно в просмотрщике изображений можно создавать закладки, без необходимости возвращаться к списку артефактов

  • Родительские свойства видео теперь отображаются для видеофайлов, полученных из контейнеров, таких как электронное письмо или документ
  • Улучшено извлечение ключевых кадров видео для ситуаций, когда одновременно анализируются несколько видео

Низкоуровневый анализ

  • Значительно улучшена поддержка теневых копий NTFS:
    • Переработан алгоритм анализа снимков VSC, улучшены скорость и стабильность анализа
    • При добавлении источника данных можно выбирать отдельные снимки для последующего анализа (в предыдущих версиях можно было выбрать или всё или ничего)
    • Снимки можно выбрать отдельно от родительского раздела (необязательно анализировать соответствующий родительский раздел)
  • Улучшена функциональность 'Показать в файловой системе' для ряда типов артефактов (например, приложений такси)
  • Полный путь к текущей выбранной папке теперь отображается в нижней части вкладки 'Файловая система', и с его помощью можно навигироваться
  • Добавлена возможность открыть шестнадцатеричный просмотрщик альтернативного потока данных (ADS) на полный экран
  • Улучшено восстановление данных SQLite в том случае, когда для основного файла базы данных есть и файл журнала, и WAL-файл
  • Добавлен ряд форматов даты и времени в просмотрщике SQLite (выбор типа столбца) и шестнадцатеричном (конвертор типов), включая время Apple Cocoa

Обновлённые артефакты

  • iOS
    • Расшифровка зашифрованных артефактов: если у вас есть связка ключей, извлечённая с помощью стороннего инструмента, Belkasoft X поможет расшифровать данные с помощью поля для ввода значения из связки ключей. Это пригодится для дешифрации Wickr, Signal и других приложений iOS
    • Расшифровка секретных чатов Facebook (поддержана)
    • Instagram (обновлён)
    • NextPlus (обновлён)
    • Одноклассники (обновлено)
    • Signal (обновлён: улучшена расшифровка)
    • Snapchat (обновлён)
    • Tumblr (обновлён)
    • Viber (обновлён)
  • Android
    • Evernote (обновлён)
    • Расшифровка секретных чатов Facebook (поддержана)
    • Приложение Line (обновлено)
    • Одноклассники (обновлено)
    • Telegram (обновлён)
    • Twitter (обновлён)
    • Voxer (обновлён)
    • WeChat (обновлён)
  • Linux (все артефакты новые)
    • История Bash
    • Brosix
    • Информация об идентификаторе устройства
    • Извлечение установленных пакетов
    • Сетевые интерфейсы
    • Информация об ОС
    • Список USB-устройств
    • Учётные записи пользователей
  • Windows
    • Вложения Thunderbird правильно конвертируются в EML при создании отчёта
    • Пароли Wi-Fi для ПК (поддержана дешифрация)
    • ICQ (обновлён до версии 10)
  • macOS
    • Dropbox (поддержан)
  • Cloud
    • iCloud Apple Mail (обновлён)

Обновлённый пользовательский интерфейс

  • Автоматическое обновление списка артефактов. Раньше пользователю приходилось переключаться между узлами дерева для того, чтобы в списке артефактов отображалась актуальная информация (например, после завершения таких операций, как обнаружение лиц, подбор пароля, при продолжающемся извлечении данных профиля, обнаружении вредоносных программ и т. д.). Теперь после каждой такой операции автоматически обновляется соответствующий список артефактов. Примечание: если вы выберете профиль, который всё ещё извлекается, новые элементы появятся в нижней части списка артефактов, без учёта применённой сортировки. Чтобы восстановить правильный порядок, переключитесь между узлами в дереве или смените сортировку
  • В окно “Главное” добавлена дата создания дела
  • Изменился формат отображения имён вложенных источников данных в окне “Главное”, для того, чтобы легче было отличать источники верхнего уровня от вложенных. Теперь имена вложенных источников отображаются в формате '[Родительский источник данных] > > [Вложенный источник данных]'
  • Поддержано сочетание клавиш Ctrl + '+/-', позволяющее измененить размер шрифта на лету. Теперь не нужно открывать окно настроек, чтобы подобрать нужный вам размер шрифта!
  • Окно 'Войдите в режим DFU' было улучшено, особенно для мелких шрифтов

Лицензирование и пробная версия

  • Улучшена активация пробной версии - попробуйте ещё раз, если у вас были проблемы с онлайн-активацией в v.1.10. Не забывайте, что в продукте также присутствует опция офлайн-активации
  • Обновлена работа сетевых ключей
    • Теперь мы можете привязать к сетевому ключу более 100 лицензий!
  • При попытке экспорта в Evidence Reader в пробной версии теперь показывается предупреждение о том, что данная функциональность недоступна
  • Метод снятия снимков экрана Android теперь включен и в пробную, и в академическую версии Belkasoft X

Другие улучшения

  • Улучшено имя закладки по умолчанию. Раньше имя по умолчанию выглядело как 'Новая закладка от <дата>', теперь в названии упоминается категория закладок
  • Восстановлена функциональность выбора шрифта в отчёте

Исправленные проблемы

  • Исправлены зависания пользовательского интерфейса
    • При нажатии 'Ввести недостающие данные' в окне 'Задачи'
    • При отмене задачи физического или логического снятия данных при подключенном нерутированном устройстве
    • В целом пользовательский интерфейс стал более отзывчивым и менее подверженным зависаниям
  • Исправлена проблема с расшифровкой WeChat при определенном местоположении папки Temp
  • Исправлен ряд проблем с извлечением ключевых кадров видео из мобильных приложений
  • Теперь при попытке открыть неподдерживаемое или поврежденное видео в Медиа-просмотрщике показывается сообщение
  • Исправлено отображение списка файлов в Файловой системе при применёном фильтре 'Удалено'
  • Шестнадцатеричный просмотрщик теперь доступен для вредоносных процессов
  • Исправлена проблема с обновлением окно графической временной шкалы после применения фильтра по дате
  • Улучшен оффлайн просмотрщик кэша браузера
  • Исправлено сохранение документов, изображений и миниатюр в архив TAR
  • Теперь правильно отображается количество отмеченных элементов в окне задач
  • Исправлен ряд визуальных проблем в пользовательском интерфейсе, вызванных изменением разрешения экрана. В частности, в том случае когда Belkasoft X используется через удалённое соединение
  • Исправлено представление структуры папок для образов .belkaml (облачных данных, загруженных с помощью Belkasoft X)
  • Исправлена ошибка в работе сочетания клавиш Ctrl+B: ранее при её использовании выбранный артефакт добавлялся в первую закладку вместо последней
  • Теперь нажатие Ctrl+B во второй раз удаляет артефакт из закладки
  • Исправлено отображение прогресса во время анализа папки при помощи VirusTotal
  • Исправлено выделение в графе связей
  • Вкладка с результатами поиска теперь открывается автоматически после завершения поиска
  • Исправлена проблема с подсчетом элементов в Файловой системе при включении рекурсивного режима
  • Исправлено обнаружение и группировка похожих лиц для образа MTP