Что нового в Belkasoft Evidence Center 2019 версии 9.3

Belkasoft Evidence Center 2019 v.9.3 (сокращённо BEC) – это всеобъемлющее решение для компьютерной криминалистики, соединяющее экспертизу компьютеров, мобильных устройств, оперативной памяти и облачных сервисов в одном продукте. Доступная цена и мощные возможности BEC делают его одним из лучших вариантов среди аналогичных продуктов на рынке.

В версии BEC 2019 9.3 была существенно расширена функциональность всех поддерживаемых типов извлечения и анализа данных.

Поддержано снятие образа с мобильных устройств на базе Android с использованием агентов и режима EDL
Поддержано добавление и анализ iOS образов Elcomsoft и GrayKey
Поддержан анализ zip и tar архивов
Новый важный артефакт: Windows 10 Timeline
Карвинг данных по пользовательским сигнатурам, а также возможность проимпортировать наборы сигнатур Scalpel и FTK
Полностью обновлена работа с облачными хранилищами данных
Хранение вспомогательных данных дела в одном файле позволяет быстро копировать и удалять дела, а также экономить место на диске
Обнаружение порнографических изображений с использованием искусственных нейронных сетей. Переобучение на пользовательских наборах данных позволяет находить специфичные для анализируемого дела изображения
Как обычно, добавлена поддержка новых и обновлены раннее поддержанные приложения для компьютеров и мобильных устройств
Кроме того, вместе с BEC 2019 Belkasoft предлагает официальные тренинги и сертификацию BelkaCE. Доступны два курса: Belkasoft Essentials и Belkasoft Advanced, продолжительностью по 2 дня каждый.

Запишитесь на вебинар по BEC 9.3!

Скачать Запросить цену

Обновление до версии 9.3 бесплатно для всех клиентов с неистёкшим сроком действия поддержки. Модуль файловых систем может быть приобретён отдельно. Клиенты с истёкшим сроком поддержки могут приобрести продление в своем Личном кабинете. Мы также предлагаем недорогой тренинг для тех, кто хочет освежить в памяти навыки работы с BEC и узнать, как применять новые функции.

Более подробно

Снятие образов

Поддержано снятие образов Android-устройств с использованием агентов. В стандартной резервной копии ADB отсутствуют многие важные для расследования данные и процесс ее создания неустойчив: одно приложение, ведущее себя некорректно, может не дать создать бэкап. Агентный подход позволяет получить данные более надёжным способом. Небольшая программа, называемая «агент», временно загружается на телефон, что позволяет получить максимальный объём данных на выходе без зависимости от капризов приложений. По завершении снятия образа агент удаляется.
EDL для Android-устройств. Устройства Android с процессорами Qualcomm позволяют войти в так называемый режим аварийной загрузки (сокращенно EDL). Используя этот режим, BEC 2019 может получить данные, которые недоступны при использовании стандартного и агентного подходов.

Анализ

Поддержаны образы Elcomsoft и GrayKey для iOS-устройств. Продукты Elcomsoft позволяют пользователю снимать образ iOS с помощью jailbreak, в то время как GrayKey позволяет снимать образ даже с заблокированного iPhone. Оба типа образов теперь поддерживаются BEC 2019: вы можете подключать их и анализировать различные артефакты iOS.
Поддержано обнаружение порнографических изображений с помощью искусственных нейронных сетей. В предыдущей версии продукта был использовали метод обнаружения кожи для поиска подобных изображений. Это может привести к ложным срабатываниям, поскольку не все изображения с кожей являются порнографическими. Используя новые технологии, такие как ИНС, можно обнаружить такие изображения с гораздо большей точностью. В BEC 2019 включена предварительно обученная нейронная сеть, однако, если у вас есть определённый набор изображений, которые вы хотели бы использовать в качестве примера того, что вы обычно ищете, можно "обучить" BEC на этом наборе, чтобы эффективнее обнаруживать соответствующий тип изображений.
Важно: эта функция требует наличия графического процессора с поддержкой технологии CUDA. Без него функция будет недоступна.
Поддержан анализ Windows 10 Timeline. Windows 10 Timeline - новый важный артефакт, отчасти похожий на jumplist, но включающий много дополнительной информации.
Появилась возможность указывать пользовательские сигнатуры для карвинга. Прежде для использования своей сигнатуры вам требовалось написать скрипт с помощью функции BelkaScript, что требовало некоторого опыта программирования. Теперь вы можете указать произвольную сигнатуру или импортировать сторонние сигнатуры, такие как сигнатуры Scalpel или FTK.
Улучшена поддержка APFS. После выпуска версии 9.3 анализ образов APFS работает еще быстрее.

Производительность и удобство использования

Значительно улучшилась дедупликация накарвленных данных. Благодаря дедупликации процесс карвинга не создает файлы, уже извлечённые с помощью других видов анализа, что уменьшает размер дела и общее время анализа.
Введен единый контейнер для дела. В предыдущих версиях все созданные продуктом файлы, такие как файлы, восстановленные карвингом, файлы, извлеченные из сложений электронной почты или внедрённые в документы, хранились отдельно в папке дела. Теперь все они хранятся в едином файле дела, что уменьшает пространство, требуемое на диске, значительно ускоряет перемещение дела, его экспорт в Evidence Reader и удаление.
Оптимизирована структура профилей браузеров. Существенно переработан и улучшен алгоритм, с помощью которого BEC 2019 обнаруживает и показывает профили браузера, что приводит к значительному уменьшению количества узлов в окне Обозревателя Дел и упрощает обзор извлечённых данных браузера.
Значительно улучшена работа поиска (включая предопределенный поиск), что обеспечивает меньшее количество ложных срабатываний, более точное соответствие поисковому запросу и т.д.

Интерфейс

Новый интерфейс позволяет вам импортировать наборы сигнатур FTK и Scalpel для осуществления пользовательского карвинга.
Теперь для элементов из закладок можно просмотреть исходные столбцы.
Существенно улучшено отображение результатов карвинга. Предыдущие версии BEC показывали данные карвинга в отдельных узлах Обозревателя Дел, а теперь данные объединяются в соответствующие узлы с артефактами, найденными обычным анализом. Например, найденный при помощи карвинга чат отображается в узле Чаты вместе с чатами, извлечёнными из существующих профилей. Это значительно упрощает изучение артефактов того же типа, потому что вам больше не нужно искать их в разных местах.
В список писем можно добавить колонку предварительного просмотра текста письма.
Улучшена производительность интерфейса в целом.

Отчёты

Полный текст электронного письма теперь можно добавить в отчет.
Для того чтобы настроить столбцы в отчёте, вы можете выбрать нужные колонки в окне «Дополнительные параметры отчёта».
Теперь можно создать отчёт для просмотра сообщений в пузырьковом виде.

Облачная криминалистика

Были обновлены методы загрузки данных со всех основных облачных сервисов:

Загрузка данных G Suite (различные облачные сервисы Google)
Загрузка данных iCloud
Загрузка данных Instagram

Новые и обновленные артефакты

Анализ браузеров обновлён для всех поддерживаемых браузеров.
Добавлено извлечение информации о подключенных Bluetooth-устройствах в iOS.
Обновлена поддержка Apple Mail.
Поддержаны приложения inbox.lv, inbox.lt, mail.ee.
Поддержан Windows 10 Timeline.

Сделано около 200 небольших улучшений и исправлений.

Скачать Запросить цену

Статьи

Recovering Destroyed SQLite Evidence, iPhone/Android Messages, Cleared Skype Logs

The SQLite format is extremely popular with developers. Android and Apple iOS are using SQLite extensively throughout the system, storing call logs, calendars, appointments, search history, messages, system logs and other essential information. ... Читать далее

I Have Been Hacked

This article was inspired by an active discussion in one of the forensic listservs. Original post was asking on how to fight with an argument “This is not me, this is a malware”. The suspect was allegedly downloading and viewing illicit child ... Читать далее

Подписаться на новости