Олег Афонин, Elcomsoft
Microsoft разработала Windows 10 как единую ОС для всех типов устройств, от серверов до портативных устройств. Настольные компьютеры, ноутбуки, два-в-одном, планшеты и смартфоны могут (и делают) работать под управлением версии Windows 10. Существуют бесчисленные средства судебной экспертизы для получения доказательств из настольной версии Windows 10, а тем более для смартфонов на базе Windows.
Судебный анализ устройств с Windows 10 Mobile может быть сложным из-за экзотического статуса таких устройств. Из-за полного шифрования диска доступ на устройстве может быть невозможным. Тем не менее, Microsoft собирает огромное количество информации от своих пользователей. Эта информация затем сохраняется в учетной записи Microsoft пользователя. Некоторые биты данных полностью доступны для пользователя, в то время как доступ к некоторым другим битам (таким как резервные копии на мобильных устройствах) ограничен.
В этой статье мы рассмотрим, что именно доступно в облаке Microsoft, что можно извлечь и где хранится эта информация. Мы также перечислим шаги, необходимые для извлечения и просмотра данных.
(с) ДобаКунг на Flickr
Microsoft собирает информацию
Microsoft славится сбором информации от пользователей Windows 10. Количество данных, собираемых устройствами Windows 10, значительно возросло по сравнению со днями Windows 7. Эти данные «использования и диагностики», которые могут включать в себя текстовые фрагменты, данные об использовании приложений, подробную или приблизительную информацию о местоположении и т. Д., Автоматически собираются и передаются. на серверы Microsoft, если один явно не отказывается.
Пользователи мобильных телефонов под управлением Windows (Windows Phone 8.x и Windows 10 Mobile) имеют доступ к облачным резервным копиям в стиле iOS, созданным в их учетной записи Windows. После включения резервного копирования в облаке такие вещи, как данные приложений, журналы вызовов, текстовые сообщения и т. Д., Также будут храниться в облаке.
Наконец, некоторая информация синхронизируется настольными и мобильными устройствами под управлением Windows в режиме реального времени или близко к скорости в реальном времени. Это включает в себя историю веб-браузера, историю поиска Bing, данные о местоположении, а также другие вещи, такие как заметки, календари, контакты и т. Д.
Microsoft предлагает способы доступа, ограничения или удаления этой информации через портал конфиденциальности .
Однако мы обнаружили, что этот портал возвращает очень ограниченные объемы данных по сравнению с тем, что на самом деле собирается. По этой причине мы расширили поддержку учетной записи Microsoft в этой последней сборке EPB.
(c) wynpnt на Pixabay
Windows 10 Mobile: что в облаке?
История просмотра и поиска
Историю просмотра Windows можно извлечь из облака только с Windows 10 Mobile (телефоны) и с обычных устройств Windows 10, если Microsoft Edge использовался в качестве веб-браузера. История пограничного просмотра автоматически синхронизируется между настольными и мобильными устройствами Windows 10, вошедшими в одну учетную запись Microsoft. Устройства (телефоны) Windows 10 Mobile имеют веб-браузер по умолчанию (и наиболее распространенный) в качестве Microsoft Edge. Принятие Edge растет медленно, но неуклонно на настольных компьютерах. Обратите внимание, что у нас также есть инструменты для извлечения истории просмотров из других популярных веб-браузеров, таких как Chrome и Safari, с использованием их соответствующих облачных сервисов.
История поиска может быть извлечена со всех типов устройств, независимо от используемого веб-браузера, при условии, что поиск происходил на принадлежащем Microsoft Bing. Microsoft собирает поисковые запросы Bing, если пользователь во время поиска вошел в свою учетную запись Microsoft в веб-браузере.
Журналы вызовов
Журналы вызовов могут быть важным доказательством. Поскольку облачное резервное копирование по умолчанию включено для всех смартфонов Windows Phone 8, 8.1 и Windows 10 Mobile, журналы вызовов — это один из важных битов, которые нужно извлечь.
Microsoft не указывает источники данных о местоположении, которые она собирает на настольных и переносных компьютерах, планшетах и устройствах 2-в-1. По крайней мере, местоположение сообщается Cortana и через браузер Edge.
История местоположения
Microsoft собирает историю местоположений со всех стационарных и мобильных устройств Windows, начиная с Windows 8.1. Хотя пользователи могут просматривать историю своих местоположений, посещая https://account.microsoft.com/privacy/location и входя в свою учетную запись Microsoft, количество точек данных, возвращаемых на этой веб-странице, невелико. Отображается только последнее обнаруженное местоположение. Однако доступны криминалистические инструменты, позволяющие извлечь полную историю местоположений из облака.
Текстовые сообщения (SMS) и другие ранее извлекаемые данные
Пользователи мобильных телефонов с Windows 10 могут синхронизировать текстовые сообщения (SMS), заметки, события календаря, контакты и некоторую другую информацию с облаком. Эти данные могут быть извлечены.
Доступ к данным
Поскольку данные Windows 10 (Mobile) хранятся в облаке, для входа и извлечения данных требуются учетные данные пользователя для учетной записи Microsoft. Обратите внимание, что после того, как вы попытаетесь получить доступ к резервным копиям на мобильных устройствах, пользователь будет получать оповещения по электронной почте, в то время как вы увидите запрос на дополнительный фактор аутентификации — даже если двухфакторная аутентификация не включена в учетной записи пользователя. Это означает, что вам потребуется доступ к дополнительному фактору аутентификации, например, к SIM-карте пользователя с доверенным номером телефона, доверенному адресу электронной почты и т. П.
Вывод
Облачная криминалистика позволяет извлекать информацию из учетной записи Microsoft пользователя без физического доступа к реальному мобильному устройству. Учитывая объемы данных, которые Microsoft собирает, синхронизирует и хранит в облаке, облачная криминалистика — это то, что нужно при анализе устройств с Windows 10 Mobile, и может предоставить дополнительные доказательства при анализе ПК с Windows 10.
Эта статья была представлена ElcomSoft , поставщиком решений для цифровой криминалистики, специализирующимся на восстановлении паролей, мобильной и облачной экспертизе.
Поделиться:
