Доступные альтернативы «Мобильному криминалисту» и «UFED (Cellebrite)»

от

В цифровой криминалистике нет «бесплатного» или «платного». Есть инструменты, пригодные для суда, и инструменты, пригодные для поиска истины. Мудрый специалист использует и те, и другие.

тезис сгенерирован AI DeepSeek

Общие сведения (информация от производителя)

«Мобильный Криминалист» многофункциональный инструмент для высокоскоростной и эффективной работы с данными из мобильных устройств, дронов, облачных сервисов и ПК.

Программа поддерживает извлечение информации из широкого ряда цифровых источников, среди которых:

  1. Более 40000 смартфонов и планшетов различных брендов (Apple, Samsung, Huawei и др.) под управлением iOS, Android и KaiOS, а также карты памяти и SIM-карты.
  2. Персональные компьютеры под управлением Windows, macOS и GNU/Linux, физические образы жестких дисков в форматах Е01, EX01, RAW (DD, BIN, IMG, 001, 000, 0000, 0001), DMG, ISO; логические образы ПК в форматах L01, LX01,
    AD1, ZIP, 7Z, RAR, TAR; файлы виртуальной машины VirtualBox, VMware; диски виртуальной машины в форматах VDI, VHD, VMDK, а также резервные копии Time Machine для macOS. Поддерживаемые файловые системы: NTFS, FAT16,
    FAT32, EXFAT, EXT2, EXT3, EXT4, HFS, HFS+ и APFS.
  3. Более 100 облачных сервисов, включая доступ к корпоративным облакам: Flock, WhatsApp QR Multi-Device и др.
  4. Более 700 уникальных приложений и больше 34000 их версий: WhatsApp, Telegram, TenChat, Signal, Silent Phone, Zoom, Wickr Pro, Spark, Burner, Kufar, ДругВокруг, Runkeeper, GiveAway, Craigslist и др.

UFED (Cellebrite) — серия продуктов израильской компании Cellebrite, используемых для извлечения и анализа данных с мобильных устройств.

UFED использует три основных метода извлечения данных:

  1. Логическое извлечение — работает через стандартные протоколы операционной системы, такие как ADB для Android или iTunes для iOS. UFED подключается к телефону и собирает сообщения, контакты, фотографии, видео, историю браузера, заметки. Фиксирует метаданные и сохраняет все в читабельном формате. Ограничение: логическое извлечение ограничено тем, что телефон сам готов показать — если данные зашифрованы, удалены или спрятаны в системных папках, этот метод их не достанет.
  2. Файловое извлечение — UFED проникает в структуру файловой системы, доставая не только пользовательские данные, но и системные файлы, настройки, логи и метаданные. Например, может вытащить кэш приложений, временные файлы или скрытые папки, где хранятся следы активности. Для файлового извлечения UFED часто использует root-доступ или jailbreak для iOS, чтобы получить полный доступ к системе.
  3. Физическое извлечение — создает бит-в-бит копию всей памяти устройства, включая нераспределённое пространство, где могут прятаться удалённые файлы, фрагменты данных или следы старых чатов. Физическое извлечение позволяет восстановить удаленные сообщения, найти остатки зашифрованных данных или даже вытащить логи системы, которые указывают на действия пользователя.

Доступные альтернативы

Необходимо отметить, что полноценной бесплатной замены коммерческим комплексным инструментам вроде UFED (Cellebrite) или «Мобильного криминалиста» не существует, так как их ценность — в законности, верифицированных алгоритмах, поддержке тысяч устройств и юридической надежности. Однако для ознакомления, обучения, проведения предварительного анализа или решения отдельных задач существуют мощные бесплатные и открытые инструменты. Их можно использовать в связке.

Создание физических / логических образов

Android Debug Bridge (ADB) — инструмент командной строки, который позволяет взаимодействовать с устройством. Команда adb упрощает выполнение различных действий с устройством, например таких как установка и отладка приложений, и обеспечивает доступ к оболочке Unix, которую можно использовать для выполнения различных команд на устройстве. Это базовый инструмент от Google. Позволяет сделать логический дамп, если на устройстве включена отладка по USB. Ссылка для скачивания и документация.

TWRP Recovery (Team Win Recovery Project) — программа с открытым исходным кодом для восстановления Android-устройств. Это «кастомный рекавери», который заменяет стандартное средство восстановления, идущее, как правило, в составе заводской прошивки устройства. Если она установлена на устройстве, можно сделать полный бэкап. Ссылка для скачивания и документация.

Magnet Acquire — инструмент для создания образов с мобильных устройств, компьютеров и из облаков. Поддерживает множество протоколов. Ссылка для скачивания и документация.

Анализ данных

Autopsy — это графический интерфейс The Sleuth Kit и других цифровых инструментов криминалистики с открытым исходным кодом. Один из самых мощных и доступных инструментов форензики. Подробная информация об установке, настройке и работе с данной программой представлены здесь.

DB Browser for SQLite — инструмент с открытым исходным кодом для работы с базами данных SQLite. Это визуальное приложение, которое предоставляет интерфейс, похожий на электронную таблицу. Незаменим для ручного просмотра и запросов к базам данных приложений. Ссылка для скачивания и документация.

Free Hex Editor (HxD, Bless) — программы для редактирования шестнадцатеричных (двоичных) данных, распространяемые бесплатно. Можно использовать для ручного просмотра сырых данных. Ссылка для скачивания и документация.

Анализ файлов и метаданных

ExifTool — бесплатное программное обеспечение с открытым исходным кодом для чтения, записи и манипулирования метаданными изображений, аудио, видео и PDF. Ссылка для скачивания и документация.

Strings (из Sysinternals или GNU) — инструмент для командной строки, который позволяет искать строки, встроенные в файлы. Используется для извлечения текстовых строк из бинарных файлов и образов. Ссылка для скачивания и документация.

Анализ сетевого трафика

Wireshark — программа для анализа сетевого трафика, которая позволяет перехватывать и изучать данные, передаваемые по сети. Может использоваться для изучения трафика приложений при условии настройки прокси на устройстве. Ссылка для скачивания и документация.

Парсинг артефактов

Andriller — Набор утилит для добычи данных с Android-устройств (при наличии ADB и root-прав в некоторых случаях). Умеет извлекать данные блокировки, пароли Wi-Fi, анализировать популярные приложения (WhatsApp, Signal, Telegram). Ссылка на проект.

iLEAPP (iOS Logs, Events, And Plist Parser) / ALEAPP (Android) — открытые скриптовые инструменты для парсинга артефактов из логических образов iOS и Android. Работают с выводом Autopsy или сырыми файлами. Постоянно обновляются сообществом. Ссылка на проект.

Примерный рабочий пайплайн

  1. Получение данных: Magnet Acquire или ADB backup (логический образ).
  2. Анализ образа: Autopsy (основная работа: таймлайн, ключевые слова, восстановление).
  3. Парсинг артефактов: Экспорт файлов БД из Autopsy и анализ в DB Browser for SQLite + запуск iLEAPP/ALEAPP на экспортированных файлах.
  4. Анализ метаданных: ExifTool для медиафайлов.
  5. Документирование: Ручное составление отчета.

Вывод:

Этот набор даст глубокое понимание процессов мобильной криминалистики и позволит выполнить большинство технических задач, кроме прямого взлома паролей и обхода защит современных устройств. Начинайте изучение именно с Autopsy и их официальной документации.