Всем привет, меня зовут Василий. Я являлся государственным экспертом отдела компьютерных и радиотехнических экспертиз более 4 лет.
Целью технической экспертизы является выявление существующей или удаленной информации по заданным критериям, в данном случае условие отбора задает следователь. Снятие информации происходит с любого объекта, имеющего накопитель информации, начиная от micro-sd накопителя и заканчивая серверным оборудованием.
Первое, что происходит с объектом исследования – это его фотофиксация в запакованном виде, для отображения в заключении эксперта целостности упаковки. После вскрытия упаковки происходит непосредственная фотофиксация самого объекта исследования с приложенной криминалистической линейкой.
Рассмотрим, в качестве объекта исследования, ПК.
После фотофиксации объекта в упаковке и без, мы должны зафиксировать все носители информации (они могут быть разными, поэтому я обобщу), находящихся в ПК, а также его внутреннего содержимого с линейкой и зафиксировать S/N системного блока и накопителей информации.
В таком формате происходит постановка вопроса в заключении эксперта.
Перед экспертом поставлены вопросы:
«Имеется ли на накопительной системе (системном блоке) информация о номере банковской карты № XXXX XXXX XXXX XXXX (номер счета XXXXXXXXXXXXXXXXXXXX)?»
«Имеется ли на накопительной системе (системном блоке) информация об абонентском номере X-XXX-XXX-XX-XX?»
Примечание: вопросы №№1-2 были объединены и решались совместно.
Далее происходит описание упаковки и объекта.
Объект представлен в чёрном полимерном пакете. Системный блок (далее по тексту – СБ) в корпусе черного и серебристого цветов, имеет габаритные размеры 480×400×200 мм. На передней панели СБ имеется: кнопка включения/выключения, кнопка перезагрузки, разъемы для подключения интерфейсных устройств, а также светодиодные индикаторы. На задней панели СБ имеется разъем электропитания и разъемы для подключения интерфейсных устройств. В корпусе СБ установлено: блок питания, системная плата, в слотах которой имеется модуль оперативной памяти и плата видеоконтроллера, накопитель на жестких магнитных дисках (далее по тексту – НЖМД) с форм-фактором 3.5” и интерфейсом подключения SATA.
На корпусе НЖМД имеется этикетка с надписью «…TOSHIBA…S/N: XXXXXXXX…1.0TB…».
Для определения настроек даты/времени системной платы СБ производилось его включение с отключенным накопителем информации. Просмотром информации, отображаемой в базовой системе ввода-вывода (BIOS), установлено, что настройки даты/времени системной платы СБ соответствуют текущим значениям.
Для производства исследования НЖМД подключался к стенду в режиме «только чтение» (ReadOnly), при помощи программного обеспечения (далее по тексту – ПО) «R-Studio» версии «8.12» с него на накопитель стенда производилось побитовое копирование данных, содержащихся в памяти НЖМД. Все дальнейшие исследования производились с копией накопителя информации. Данный метод исследования обеспечивает сохранность и неизменность информации, содержащейся на накопителе информации. Информация о НЖМД, полученная посредством ПО «Paragon Hard Disk Manager 15» версии «10.1», приведена в таблице.
Информация о НЖМД | ||||
№ Раздела | Метка | Объем в байтах | Файловая система | |
Всего, байт | Занято, байт | |||
1 | Без метки | 266 038 868 480 | 47 029 936 640 | NTFS |
2 | Без метки | 850 487 891 968 | 13 371 819 008 | NTFS |
При помощи ПО «R-Studio» версии «8.12» проведено восстановление данных из свободной области НЖМД (удаленных файлов). Восстановленные данные скопированы на накопитель стенда. В дальнейшем поиск информации проводился как среди файлов, имеющихся в явном виде, так и среди данных, восстановленных в процессе исследования.
Просмотром содержимого файловых систем НЖМД, а также при помощи ПО «Windows Registry Recovery» версии «2.2» установлено, что в Разделе 1 имеется операционная система, атрибутирующая себя как «Windows 10 Home», дата установки – «17.05.2020».
Решение вопросов №№ 1-2
Для решения вопроса использовалось ПО «Архивариус 3000» версии «4.72», а также просматривалось содержимое файловых систем НЖМД. В результате в памяти НЖМД файлы содержащие ключевые слова: «XXXX XXXX XXXX XXXX», «XXXXXXXXXXXXXXXXXXXX», не обнаружены. Информация об абонентском номере «XXXXXXXXXXX» имеется в значении полей автозаполнения. Обнаруженная информация приведена в файле с именем «Автозаполнение.xslx» который записан на оптический диск, прилагаемый к заключению эксперта.
Далее происходит формирование предвыводов и выводов. Между ними происходит указание S/N DVD-диска, на который была записана информация и опись упаковки, в которую был упакован объект после производства экспертизы.
P.S. Данная статья написана для освещения другого отличного мира, чтобы ваше воображение могло соприкоснуться с данной сферой. Описана простейшая производственная экспертиза.
