Компьютерная
криминалистика

Хотите навсегда избавиться от нежелательной ссылки в результатах поиска Google? Наша профессиональная услуга по удалению ссылок поможет Вам очистить Вашу онлайн-репутацию и защитить личную информацию. Мы гарантируем полное удаление одной ссылки из поисковой системы Google, обеспечивая Вам спокойствие!

Предлагаем услугу по удалению ссылок из поисковой системы Яндекс. Это поможет Вам защитить свои личные данные и репутацию. Гарантируем полное удаление одной ссылки, обеспечивая Вашу конфиденциальность.

В современном мире, где интернет играет огромную роль в формировании личной и профессиональной репутации, нежелательная информация о Вас в сети может нанести значительный вред. Понимая это, мы предлагаем Вам нашу профессиональную услугу по удалению нежелательной информации из интернета. Наша цель — помочь Вам восстановить и защитить Вашу онлайн репутацию, обеспечивая конфиденциальность и эффективность на каждом шагу.

Сбор и анализ информации о любом человеке по Вашему запросу. Наша команда использует современные методы и технологии для получения достоверных данных из различных источников.

Расследование и анализ различных цифровых инцидентов. Поможем Вам выявить и устранить угрозы, а также собрать необходимые данные для решения ваших задач в киберпространстве.

Введение: ты носишь радиомаяк в кармане

Каждый раз, когда ты прикладываешь карту к турникету метро, открываешь офис пропуском или платишь бесконтактно в кафе – ты оставляешь цифровой след. Не где-нибудь, а в нескольких независимых системах одновременно. И если кто-то захочет восстановить хронологию твоих перемещений за последние полгода, ему даже не нужно взламывать смартфон. Достаточно получить доступ к данным двух-трёх инфраструктур, с которыми ты добровольно взаимодействуешь каждый день. Добро пожаловать в форензику NFC и RFID.

Физика вопроса: что такое NFC и RFID

Low vs High Frequency RFID 

Прежде чем копать, надо понять, с чем работаем. RFID (Radio Frequency Identification) – это технология идентификации по радиочастоте. NFC (Near Field Communication) – её подвид для ближнего поля, работающий на частоте 13,56 МГц и расстоянии до ~20 см. Карты старого поколения на 125 кГц (Prox, EM4100) – это «дедушки» технологии, у них почти нет защиты.

Ключевые стандарты, которые встретишь в полевой работе:

• MIFARE Classic – самый распространённый стандарт в транспортных системах (метро, автобусы). Использует устаревшее крипто CRYPTO1, которое взламывается за секунды
• MIFARE DESFire – более современный, с AES-шифрованием, но и его уязвимости находят регулярно
• NTAG213/215/216 – пассивные NFC-метки, используются в маркетинге, умных домах, логистике
• ISO/IEC 14443 A/B – базовый протокол для платёжных карт (Visa payWave, Mastercard PayPass)
• ISO/IEC 15693 – для меток дальнего чтения, склады и библиотеки

Как карта строит карту твоих перемещений

И вот здесь начинается самое интересное с форензической точки зрения. Бесконтактная карта – это не просто «ключ». Это активный участник распределённой системы логирования.

Транспортные системы

Каждый проход через турникет порождает транзакцию, которая содержит:

• Уникальный идентификатор карты (UID)
• Временну́ю метку с точностью до секунды
• Идентификатор конкретного турникета и станции
• Остаток баланса до и после списания

Эти данные хранятся в нескольких местах одновременно: на сервере транспортного оператора, в журналах терминала, и – внимание – в памяти самой карты. MIFARE Classic хранит последние транзакции прямо в секторах памяти чипа. То есть физическая карта в твоём кармане является носителем части твоей истории перемещений. Форензик-аналитик, получивший карту на изучение, может без подключения к каким-либо серверам прочитать последние поездки.

Платёжные карты

Банковские карты с RFID/NFC хранят на чипе:

• Усечённый номер карты (PAN)
• Историю последних 5–15 транзакций (сумма, дата, идентификатор терминала)
• Геолокационные данные торговой точки (через идентификатор мерчанта)

Пройтись NFC-ридером по карте и вытащить эти данные можно без ПИН-кода и авторизации – они хранятся в открытых файлах приложения. Специалисты Trend Micro показали, что для этого достаточно смартфона с NFC и соответствующего приложения. По цепочке транзакций восстанавливается не просто «что покупал», но и где физически находился в конкретное время.

Корпоративные пропускные системы

СКУД (системы контроля и управления доступом) – настоящий золотой рудник для корпоративного форензика. Каждый факт прохода через дверь логируется с точностью до миллисекунды. Совокупность этих логов восстанавливает:

• Маршрут сотрудника внутри здания в течение дня
• Время прихода и ухода
• Факты нахождения в «нежелательных» зонах
• Аномалии поведения (вход в серверную в 3 ночи – привет, инсайдерское расследование)

Инструментарий форензика: чем копают

Это не просто теория – вот что реально используется в полевых условиях:

Железо

• Proxmark3 – швейцарский нож RFID-форензики. Читает, эмулирует, атакует карты всех форматов, работает как анализатор трафика между картой и считывателем
• ACR122U / ACR1252U – легальные NFC-ридеры, используются для чтения транспортных и банковских карт
• Flipper Zero – компактный мультитул, поддерживает 125 кГц и 13,56 МГц, популярен среди пентестеров
• HackRF One + ChameleonMini – для перехвата и анализа радиообмена в пассивном режиме

Программный стек

• LibNFC – открытая библиотека для работы с NFC-устройствами, основа большинства инструментов
• MFCUK / MFOC – утилиты для атаки на MIFARE Classic через nested-атаку и darkside-атаку
• NFCGate – фреймворк для перехвата и анализа APDU-команд в реальном времени, превращает Android-смартфон в полноценный анализатор
• Mifare Classic Tool (MCT) – Android-приложение для чтения и записи MIFARE-карт
• RFIDler – open-source программируемый RFID-ридер/эмулятор

APDU-команды: язык, на котором говорят карты

Когда карта «разговаривает» с терминалом, она использует APDU (Application Protocol Data Unit) – строго структурированные пакеты команд по стандарту ISO 7816. Это и есть тот «тайный язык», который форензик учится читать.

Структура команды APDU:

CLA | INS | P1 | P2 | Lc | Data | Le

Перехватив эти пакеты с помощью NFCGate или Proxmark3, аналитик видит:

• Какое приложение на карте вызывается (AID – Application Identifier)
• Какие файлы читаются (и их содержимое, если нет шифрования)
• Динамические данные аутентификации (для анализа уязвимостей)
• Счётчики транзакций, которые сложно подделать

Атаки и форензические сценарии

Сценарий 1: Установление алиби / опровержение алиби

В ходе расследования инцидента сотрудник утверждает, что «весь день был в офисе». Данные СКУД показывают: в 14:37 он вышел через боковой выход (турникет №7), а вернулся в 17:12 через главный вход. История транзакций на транспортной карте подтверждает две поездки на метро. Банковская карта зафиксировала оплату в кафе на другом конце города в 15:20. Алиби рассыпалось без единого взломанного устройства.

Сценарий 2: Реконструкция маршрута подозреваемого

Транспортная карта, найденная на месте происшествия или изъятая при задержании, позволяет восстановить все перемещения за период хранения данных в памяти чипа. В сочетании с данными оператора (которые хранятся значительно дольше) это даёт полную хронологию.

Сценарий 3: Корпоративный шпионаж

Клонирование пропуска сотрудника с доступом в серверную – классика. Proxmark3 в кармане злоумышленника, 5 секунд рядом с жертвой в лифте – и копия готова. Форензика потом восстанавливает этот факт через аномальный паттерн использования (один и тот же UID одновременно на двух турникетах – физически невозможно).

Сценарий 4: Скимминг данных

Кустарный RFID-ридер в сумке или папке, поднесённый к жертве в транспорте, считывает открытые данные банковской карты. Никакого физического контакта, никаких следов. Форензика здесь работает по другую сторону: восстановление факта скимминга по логам транзакций и временны́м аномалиям.

Следы, которые остаются в инфраструктуре

Даже если сама карта уничтожена, форензик работает с цифровыми следами:

Защита: как минимизировать след

Раз уж ты теперь знаешь, что оставляешь – несколько практических советов:

• RFID-блокирующий кошелёк – защищает от пассивного скимминга в общественных местах, но не от данных, уже записанных в системах оператора
• Разделение карт – не используй одну карту для транспорта, работы и платежей: это связывает все три потока данных в единый профиль
• Виртуальные карты в смартфоне (Apple Pay / Google Pay) – токенизация скрывает реальный PAN, каждая транзакция использует уникальный динамический код
• Регулярная замена транспортных карт – обрывает цепочку идентификации по UID
• Осознанность при использовании корпоративных пропусков – каждый проход логируется, это не паранойя, это факт

Правовой контекст

Форензика NFC/RFID в России регулируется несколькими нормами. Несанкционированный доступ к данным карт – ст. 272 УК РФ (неправомерный доступ к компьютерной информации). Скимминг квалифицируется как мошенничество по ст. 159.3 УК РФ. При этом сами транспортные операторы и работодатели законно хранят и используют данные транзакций и СКУД в рамках своих политик – и могут передавать их по запросу правоохранительных органов.

Бесконтактная карта в твоём кармане – это не просто удобный способ платить. Это персональный цифровой хронометр, который фиксирует твои перемещения в десятках независимых систем. Форензика NFC/RFID – это искусство читать эти записи. И поверь: когда нужно, их читают очень внимательно.

Proxmark3 – законный инструмент для тестирования безопасности собственных систем. Использование его против чужих карт без разрешения – уголовное дело. Я серьёзно.

Введение: иллюзия удаления

Ты нажал «Форматировать». Потом ещё раз. Потом скачал какой-то «eraser» с сомнительного сайта и прогнал флешку через него трижды. Поздравляю – ты только что создал работу для форензик-аналитика. Потому что флеш-память устроена не так, как ты думаешь, и «затереть» её так, чтобы не осталось вообще ничего, – это отдельное искусство, о котором большинство людей не имеет ни малейшего понятия.

Добро пожаловать в USB-археологию. Копаем.

Как устроена флеш-память: враг твоей конфиденциальности

Прежде чем говорить о восстановлении, надо понять, почему оно вообще возможно. NAND-флеш (а это основа любой USB-флешки) работает не как жёсткий диск. Здесь нет магнитных пластин, которые можно «перезаписать» поверх старых данных. Флеш-память имеет несколько неприятных для тебя особенностей:

• Wear Leveling (выравнивание износа) – контроллер флешки намеренно распределяет записи по всей поверхности памяти, чтобы ни одна ячейка не изнашивалась слишком быстро. Это значит, что когда ты «перезаписываешь» файл, контроллер может записать новые данные совершенно в другое место, оставив старые нетронутыми.
• Over-Provisioning – производитель резервирует часть памяти (от 7% до 28%), которая недоступна файловой системе, но контроллер использует её активно. Туда уходят данные, туда ты никогда не доберёшься стандартными средствами.
• Bad Block Management – ячейки, помеченные как «плохие», исключаются из работы, но физически остаются на чипе со всеми своими данными.
• Garbage Collection – процесс очистки блоков памяти, который происходит асинхронно и не всегда завершается до того, как ты вытащишь флешку.

Итог: даже если файловая система говорит «здесь пусто», физически чип может хранить призраки десятков гигабайт данных.

Что реально можно вытащить

Слой 1: Файловая система (для новичков)

Самый банальный уровень. Быстрое форматирование (Quick Format) вообще ничего не удаляет – оно просто обнуляет таблицу файловой системы (FAT/exFAT/NTFS), говоря «здесь ничего нет». Данные физически остаются нетронутыми до момента перезаписи.

Что достаётся элементарно:

• Удалённые файлы с сохранёнными именами и путями (из записей директорий)
• Метаданные файлов: дата создания, изменения, доступа
• Фрагменты файлов в slack space (остатки старых данных в конце кластера)
• Временны́е файлы, которые ОС создавала автоматически

Инструменты уровня «научился вчера»: Recuva, PhotoRec, TestDisk. Запустил – получил файлы. Никакой магии.

Слой 2: Метаданные и артефакты файловой системы

Это уже интереснее. Даже после полного форматирования структуры файловой системы оставляют следы:

• Journal (журнал файловой системы) в NTFS/ext4 хранит историю транзакций – что когда писалось и удалялось. Это настоящий дневник флешки.
• $MFT (Master File Table) в NTFS содержит записи обо всех файлах, которые когда-либо существовали, включая удалённые.
• Volume Shadow Copies – если флешка использовалась в Windows как системный диск или с включёнными теневыми копиями, там могут быть снапшоты состояний файловой системы.
• LNK-файлы и артефакты – Windows автоматически создаёт ярлыки и записи о недавно открытых файлах, которые могут оставаться на флешке.

Слой 3: Аппаратный уровень (для настоящих параноиков)

Вот здесь начинается настоящая форензика. Если стандартные методы не дали результата, приходит время паяльника и электронного микроскопа.

Chip-Off – это извлечение NAND-чипа прямо с платы флешки и его прямое считывание через специализированный программатор. Контроллер флешки со всей своей логикой wear leveling обходится полностью. Ты работаешь с сырыми данными чипа.

Что это даёт:

• Доступ к over-provisioned зонам
• Данные из bad blocks, которые контроллер скрывал
• Возможность восстановить данные с физически повреждённых флешек, где контроллер мёртв

Это требует: паяльной станции с горячим воздухом, программатора типа UP-828 или RT-809H, программного обеспечения для работы с сырыми NAND-дампами (PC-3000 Flash, NAND Flash Tools) и понимания структуры конкретного чипа.

JTAG/ISP – менее деструктивный метод: подключение к отладочным точкам на плате для прямого чтения памяти. Работает не на всех флешках, но когда работает – это изящно.

Слой 4: Разведка по косвенным признакам (OSINT-уровень)

Помимо самих данных, флешка может рассказать много интересного:

• Серийный номер контроллера – позволяет идентифицировать партию, место производства, иногда привязать к конкретной закупке
• Идентификаторы USB (VID/PID) – логируются операционной системой хоста; если ты занимаешься расследованием, журналы Windows (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR) расскажут, когда и к каким компьютерам подключалась флешка
• Временны́е метки контроллера – некоторые контроллеры хранят внутренние временны́е метки операций, независимо от файловой системы

Мифы о «безопасном удалении»

Разберём популярные заблуждения – и я не буду жалеть чувства тех, кто в них верит.

«Я перезаписал флешку нулями 7 раз по методу Гутмана» – поздравляю, ты потратил время впустую. Метод Гутмана разработан для магнитных HDD 1996 года. На флешке wear leveling просто разложит твои «нули» по разным блокам, оставив оригинальные данные в других местах. Один проход нулями для флешки – это максимум что имеет смысл делать на логическом уровне.

«Я сделал Secure Erase» – работает только если реализован честно на уровне прошивки контроллера. У 80% дешёвых флешек эта команда либо не поддерживается, либо реализована криво. Проверить это без специального оборудования нельзя.

«Флешка сломана, значит данные недоступны» – chip-off говорит «привет».

Как на самом деле уничтожить данные

Раз уж мы здесь, дам тебе честный ответ на вопрос «как сделать флешку безопасной для утилизации»:

1. ATA Secure Erase через утилиту производителя – если контроллер нормальный, это сотрёт всё включая over-provisioned зоны
2. Полное шифрование перед использованием (VeraCrypt, BitLocker To Go) – тогда даже если кто-то вытащит сырые данные chip-off методом, он получит зашифрованный мусор
3. Физическое уничтожение – дрель, молоток, кислота, печь. Да, это звучит параноидально. Но для по-настоящему чувствительных данных – это единственный стопроцентный способ

Кейс из практики

Классика жанра: флешка корпоративного сотрудника, который «случайно» унёс домой базу данных клиентов, а потом отформатировал флешку и вернул её в офис. Через три часа работы с Autopsy и Foremost – вся база была восстановлена, вместе с временны́ми метками, именем пользователя из метаданных документов и историей подключений из реестра Windows его рабочего компьютера. Человек думал, что он умный. Флешка думала иначе.

Инструментарий форензик-аналитика

Для тех, кто хочет копать сам (легально, на своём оборудовании):

• Autopsy / Sleuth Kit – открытый форензик-фреймворк, отраслевой стандарт
• FTK Imager – снятие образов дисков, быстрый просмотр
• PhotoRec / TestDisk – восстановление файлов по сигнатурам
• Bulk Extractor – извлечение структурированных данных (emails, URLs, номера карт) из сырых дампов
• Binwalk – анализ прошивок и бинарных данных
• PC-3000 Flash – профессиональный инструмент для chip-off, стоит как небольшой автомобиль, но работает

Флешка – это не просто кусок пластика с памятью. Это цифровой свидетель, который молчит до тех пор, пока не появится кто-то с правильными инструментами. И теперь ты знаешь, что «затёртая 100 раз» – это просто красивая история, которую люди рассказывают сами себе.

Не повторяйте chip-off дома без должной подготовки. Я серьёзно – NAND-чипы нежные, паяльник безжалостный, а данные можно уничтожить физически быстрее, чем прочитать. Что иногда и является целью.

Видеорегистратор – это не просто безобидная камера на лобовом стекле, а полноценный черный ящик, который сдаст вас с потрохами при первом же удобном случае. Эти маленькие пластиковые шпионы методично пишут не только красивый пейзаж за окном, но и каждую вашу ошибку на дороге, превращая сырые байты в железобетонный приговор.​

Скрытые слои метаданных

Большинство водителей наивно полагают, что удаление видеофайла стирает все следы их ночных приключений. На деле регистратор непрерывно пишет скрытые логи: точные GPS-координаты, показатели встроенного акселерометра и реальную скорость движения в каждый момент времени. Современные форензик-инструменты легко вытягивают эту телеметрию, позволяя следователю наложить ваш маршрут на интерактивную карту и посекундно разобрать траекторию.

Хардкорная экстракция

Даже если регистратор размазало по асфальту при ДТП, для опытного криминалиста это лишь легкая разминка. Помимо банального извлечения данных с уцелевшей SD-карты, мы регулярно используем JTAG-подключение или варварский метод Chip-off, когда чип памяти выпаивается прямо с убитой платы. Если устройство поддерживает Wi-Fi или облачную синхронизацию, резервные копии маршрута часто остаются на серверах производителя или в памяти вашего сопряженного смартфона.​

Распознавание невидимого

Когда метаданные повреждены, в игру вступают алгоритмы OCR (оптического распознавания символов), которые беспощадно вытаскивают вшитые прямо в видеоряд цифры скорости и даты. Софт автоматически транскрибирует аудиозаписи салона, фиксируя ваши разговоры и звуки срабатывания систем предупреждения о столкновении. Экспертиза также может легко выявить монтаж видео по уникальному цифровому шуму матрицы (PRNU), так что склеить себе алиби в редакторе не выйдет.

Векторы сбора улик

В зависимости от состояния девайса и параноидальности водителя, цифровые следы извлекаются на совершенно разных уровнях. Ниже показано, какими путями мы достаем данные из автомобильных регистраторов.

Стерилизация следов

Если вы хотите реально защитить свои данные от изъятия, банальное форматирование флешки не спасет – только аппаратное шифрование носителя и физическое отключение записи звука. Я рассказываю вам про эти уязвимости и векторы атак исключительно для повышения цифровой грамотности, поэтому не повторяйте это дома, я серьезно.