Форензика мессенджеров нового поколения: Session, Matrix, Element

Времена, когда мы изымали смартфон, выкачивали открытую SQLite-базу WhatsApp и шли пить кофе, закончились. Преступники, хактивисты и просто параноики давно поняли, что Telegram сливает логи, а Signal привязан к номеру телефона. Сейчас на телефонах фигурантов всё чаще мелькают три названия: Session, Matrix и Element.

Если вы думаете, что вскроете их стандартным UFED в пару кликов – я вас разочарую. Это другой уровень. Здесь правят децентрализация, федеративные сети и сквозное шифрование (E2EE). Давайте разберем, как искать иголки в этом криптографическом стоге сена, пока фигурант ехидно улыбается на допросе. И да, не повторяйте это дома, я серьезно.

Session: Луковая маршрутизация и никакого телефона

Session – это дитя паранойи, выросшее из кодовой базы Signal, но посаженное на блокчейн и систему узлов (похожую на Tor). Здесь нет номеров телефонов. Идентификатором выступает Session ID – 66-символьная строка. Нет телефона – нет биллинга. Нет центрального сервера – некуда отправлять судебный запрос.

Что ищем на устройстве (Android)

Под капотом Session работает с базой данных signal.db. Да, разработчики не стали изобретать велосипед.

• Ключ шифрования лежит в файле настроек network.loki.messenger_preferences.xml (ищите тег pref_database_encrypted_secret).
• Проблема в том, что этот ключ зашифрован мастер-ключами, которые хранятся в Android Keystore.
• Если у фигуранта современный смартфон с аппаратным чипом безопасности (вроде Titan M на Pixel) – просто скопировать дамп и ковырять его на своем компе не выйдет. Ключи привязаны к железу.

Как ломать: Если у вас есть физический доступ к разблокированному устройству и root-права, можно вытащить ключи непосредственно из Keystore через Frida, снять шифрование с базы SQLCipher и читать переписку. Но помните про исчезающие сообщения: если таймер стоял на 5 минут, база может оказаться стерильно чистой. И нет, скрытых логов там не остается.

Matrix и Element: Федеративный хаос

Тут новички часто путаются. Matrix – это протокол. Element – это самый популярный клиент (приложение) для этого протокола.

Matrix – это федерация. Представьте электронную почту: вы с Gmail можете писать на Яндекс. Здесь так же. Данные могут лежать на публичном matrix.org, а могут – на сервере, поднятом фигурантом в подвале на Raspberry Pi.

Серверная форензика (Synapse)

Если вам повезло и сервер фигуранта физически стоит в вашей юрисдикции (или вы его “случайно” нашли):

• База данных сервера (обычно PostgreSQL или SQLite для мелких серверов) хранит всё.
• Там лежат все события, IP-адреса, метаданные.
• Но сообщения в личных чатах зашифрованы алгоритмом Megolm (сквозное шифрование). В базе сервера они будут выглядеть как криптографический мусор. Однако, метаданные не шифруются: вы всегда увидите, кто, кому и когда писал, даже если не прочитаете текст.

Клиентская форензика (Element)

На устройствах пользователей (смартфонах или ПК) данные зашифрованы. Но здесь есть слабое место, о котором забывают 90% “кухонных хакеров”.

• Кэш браузера/приложения. В десктопной и веб-версии Element ключи сессий и куски сообщений падают в IndexedDB / LevelDB.
• Key Backup (Резервное копирование ключей). Это самая сладкая находка следователя. Чтобы пользователь не потерял переписку при смене телефона, Element предлагает сохранить резервные ключи шифрования. Если вы найдете файл восстановления или фразу (обычно это 48 символов) в заметках или менеджере паролей фигуранта – вы расшифруете всю историю чатов.

С апреля 2026 года в Matrix v1.18 закрутили гайки: теперь обязательна жесткая верификация устройств для E2EE-сообщений. Это значит, что вы не сможете просто склонировать сессию на свой левый телефон и читать чаты в реальном времени.

Сухой остаток для оперов и безопасников

Если перед вами устройство с этими мессенджерами:

1. Не выключайте телефон! Если смарт уйдет в BFU (Before First Unlock), вы потеряете ключи шифрования из оперативной памяти.
2. Ищите резервные фразы (Recovery Keys). Люди ленивы, они сохраняют их в 1.txt на рабочем столе.
3. Для Matrix – ищите адрес домашнего сервера. Если это не публичный сервер, IP-адрес хоста может стать ключом к деанону всей сети.

И помните: форензика – это не про волшебные кнопки в программах за миллион долларов. Это про умение думать, понимать архитектуру и находить человеческую глупость там, где математика работает идеально.