Всем привет, меня зовут Василий. Я являлся государственным экспертом отдела компьютерных и радиотехнических экспертиз более 4 лет.
Целью технической экспертизы является выявление существующей или удаленной информации по заданным критериям, в данном случае условие отбора задает следователь. Снятие информации происходит с любого объекта, имеющего накопитель информации, начиная от micro-sd накопителя и заканчивая серверным оборудованием.
Первое, что происходит с объектом исследования – это его фотофиксация в запакованном виде, для отображения в заключении эксперта целостности упаковки. После вскрытия упаковки происходит непосредственная фотофиксация самого объекта исследования с приложенной криминалистической линейкой.
Рассмотрим, в качестве объекта исследования, ПК.
После фотофиксации объекта в упаковке и без, мы должны зафиксировать все носители информации (они могут быть разными, поэтому я обобщу), находящихся в ПК, а также его внутреннего содержимого с линейкой и зафиксировать S/N системного блока и накопителей информации.
В таком формате происходит постановка вопроса в заключении эксперта.
Перед экспертом поставлены вопросы:
«Имеется ли на накопительной системе (системном блоке) информация о номере банковской карты № XXXX XXXX XXXX XXXX (номер счета XXXXXXXXXXXXXXXXXXXX)?»
«Имеется ли на накопительной системе (системном блоке) информация об абонентском номере X-XXX-XXX-XX-XX?»
Примечание: вопросы №№1-2 были объединены и решались совместно.
Далее происходит описание упаковки и объекта.
Объект представлен в чёрном полимерном пакете. Системный блок (далее по тексту – СБ) в корпусе черного и серебристого цветов, имеет габаритные размеры 480×400×200 мм. На передней панели СБ имеется: кнопка включения/выключения, кнопка перезагрузки, разъемы для подключения интерфейсных устройств, а также светодиодные индикаторы. На задней панели СБ имеется разъем электропитания и разъемы для подключения интерфейсных устройств. В корпусе СБ установлено: блок питания, системная плата, в слотах которой имеется модуль оперативной памяти и плата видеоконтроллера, накопитель на жестких магнитных дисках (далее по тексту – НЖМД) с форм-фактором 3.5” и интерфейсом подключения SATA.
На корпусе НЖМД имеется этикетка с надписью «…TOSHIBA…S/N: XXXXXXXX…1.0TB…».
Для определения настроек даты/времени системной платы СБ производилось его включение с отключенным накопителем информации. Просмотром информации, отображаемой в базовой системе ввода-вывода (BIOS), установлено, что настройки даты/времени системной платы СБ соответствуют текущим значениям.
Для производства исследования НЖМД подключался к стенду в режиме «только чтение» (ReadOnly), при помощи программного обеспечения (далее по тексту – ПО) «R-Studio» версии «8.12» с него на накопитель стенда производилось побитовое копирование данных, содержащихся в памяти НЖМД. Все дальнейшие исследования производились с копией накопителя информации. Данный метод исследования обеспечивает сохранность и неизменность информации, содержащейся на накопителе информации. Информация о НЖМД, полученная посредством ПО «Paragon Hard Disk Manager 15» версии «10.1», приведена в таблице.
Информация о НЖМД | ||||
№ Раздела |
Метка |
Объем в байтах |
Файловая система |
|
Всего, байт |
Занято, байт |
|||
1 |
Без метки |
266 038 868 480 |
47 029 936 640 |
NTFS |
2 |
Без метки |
850 487 891 968 |
13 371 819 008 |
NTFS |
При помощи ПО «R-Studio» версии «8.12» проведено восстановление данных из свободной области НЖМД (удаленных файлов). Восстановленные данные скопированы на накопитель стенда. В дальнейшем поиск информации проводился как среди файлов, имеющихся в явном виде, так и среди данных, восстановленных в процессе исследования.
Просмотром содержимого файловых систем НЖМД, а также при помощи ПО «Windows Registry Recovery» версии «2.2» установлено, что в Разделе 1 имеется операционная система, атрибутирующая себя как «Windows 10 Home», дата установки – «17.05.2020».
Решение вопросов №№ 1-2
Для решения вопроса использовалось ПО «Архивариус 3000» версии «4.72», а также просматривалось содержимое файловых систем НЖМД. В результате в памяти НЖМД файлы содержащие ключевые слова: «XXXX XXXX XXXX XXXX», «XXXXXXXXXXXXXXXXXXXX», не обнаружены. Информация об абонентском номере «XXXXXXXXXXX» имеется в значении полей автозаполнения. Обнаруженная информация приведена в файле с именем «Автозаполнение.xslx» который записан на оптический диск, прилагаемый к заключению эксперта.
Далее происходит формирование предвыводов и выводов. Между ними происходит указание S/N DVD-диска, на который была записана информация и опись упаковки, в которую был упакован объект после производства экспертизы.
P.S. Данная статья написана для освещения другого отличного мира, чтобы ваше воображение могло соприкоснуться с данной сферой. Описана простейшая производственная экспертиза.
Комментарии (40)
Markscheider
00.00.0000 00:00+13А надо мной все смеялись, когда я в передаваемых по мессенджерам номерам (по причине паранойи) заменял 3 на З, 0 на О, 1 на I и так далее...
alexsibtone
00.00.0000 00:00+4Добрый день. Ваш лайфхак беру себе на заметку. Век живи, век учись грамотному подходу ))
iig
00.00.0000 00:00Следующий уровень паранойи - вместо 3 - тройка, вместо 1 - однёрка, вперемешку. Записывайте ;)
hw_store
00.00.0000 00:00Во времена разгула спаммеров, по совместительству времена неразвитого ИИ, по совместительству времена, когда не было "службы безопасности сбербанка",
я указывал свой номер телефона в открытых местах (объявления на форумах, etc) словами. Или частично цифрами, частично словами. И адрес email тоже иносказательно.
Но за 20 лет всё сильно изменилось.
pavel_raskin
00.00.0000 00:00На заметку ещё более отбитым параноикам: отправлять голосовым или картинкой, не забыв добавить шумов.
Didimus
00.00.0000 00:00От какого сценария это защитит?
Markscheider
00.00.0000 00:00Если эксперт ограничится поиском по подстроке с номером карты (2345...) то вхождения (2З45...) не будут найдены.
Но это, конечно, несерьезная защита.
SerjV
00.00.0000 00:00+3Данная статья написана для освещения другого отличного мира
Идея неплохая, но для "другого мира" было бы неплохо пояснить не только "что" делается, но и "почему так" делается. Т.к. часть идёт для ответа по существу на вопросы (копирование данных с оригинального носителя и дальнейшая работа с его образом - это одна из типовых процедур при восстановлении данных), а часть - скорее из процессуальных соображений (в который тоже есть смысл, а не просто писанина ради числа слов в заключении экспертизы).
msuhanov
00.00.0000 00:00+6«Имеется ли на накопительной системе (системном блоке) информация о номере банковской карты № XXXX XXXX XXXX XXXX (номер счета XXXXXXXXXXXXXXXXXXXX)?»
«Имеется ли на накопительной системе (системном блоке) информация об абонентском номере X-XXX-XXX-XX-XX?»
Ответы на эти вопросы не требуют цитирования (указания в заключении или записи на прилагаемый носитель) всех обнаруженных данных. По сути, следователю можно дать и ответ "да, информация о номере банковской карты обнаружена, точка", а в исследовательской части указать только одно вхождение.
Объект представлен в чёрном полимерном пакете.
А как эксперт определил, что пакет именно полимерный? Какие исследования проводил для этого? Это, как бы, не общие, а специальные знания уже. И не в той области.
установлено, что настройки даты/времени системной платы СБ соответствуют текущим значениям
Вот прямо так и соответствуют? Обычно отклонения есть, хотя бы секунд 5. Объект все-таки еще в очереди лежит месяц-другой.
Занято, байт
Это значение зависит от версии драйвера NTFS. Наличие в Windows функции Storage Reserve может искусственно занижать объем свободного пространства в томе (даже если это внешний накопитель).
А где подписка эксперта? По ней вообще иногда можно сразу сказать, что эксперт лжет (статью 57 УПК РФ не читал, либо дал подписку после оформления заключения).
pavel_raskin
00.00.0000 00:00+2Это значение зависит от версии драйвера NTFS. Наличие в Windows функции Storage Reserve может искусственно занижать объем свободного пространства в томе (даже если это внешний накопитель).
Однако, упоминаемое в тексте экспертизы ПО «Paragon Hard Disk Manager 15» версии «10.1» выдаст одни и те же значения для одного и того же носителя. И если тоже самое ПО при очередной экспертизе покажет иные значения, значит в промежутке между ними состояние (содержимое) носителя могло измениться, или это и вовсе другой носитель.
temnikov_vasiliy
00.00.0000 00:00+3это какой-то детсад а не форенЗика..
а ну, да, у автора это же форенсика ))
vilgeforce
00.00.0000 00:00+3"Для производства исследования НЖМД подключался к стенду в режиме «только чтение»" - это как, простите? На современных дисках я не припоминаю джампера "Read Only". Или вы сначала диск подключаете, а потом в винде ему ReadOnly назначаете каким-то образом? Или у вас специальный BIOS, который умеет блокировать запись?
garwall
00.00.0000 00:00+1исходя из того, что я читал про форенсику, его через какую-то прибулуду подключают. хотя может быть это в лучшем мире.
vilgeforce
00.00.0000 00:00+1Я тоже про такое читал. И даже работал со специальным копировщиком носителей. Но что-то мне подсказывает что это не описанный случай ;-)
Akr0n
00.00.0000 00:00+8Всегда интересовал вопрос - что мешает эксперту закинуть на исследуемый ЖД, к примеру, любой файл, отредактировать его атрибуты, подкрутить кое-что в файловых таблицах и написать заключение, что есть такой файл? Как доказать потом, что имел место факт "подброса"?
vilgeforce
00.00.0000 00:00+2В идеальном мире эксперт работает с носителем исключительно через устройства, исключающие какую-либо запись на носитель. Существуют копировщики дисков для работы "в поле", то есть копии можно снять непосредственно во время обыска и опечатать диск на случай подобных ситуаций.
screwer
00.00.0000 00:00+4Не будет там полного ридонлм, прошивка что-нибудь да запишет. Хотя бы счётчики SMART.
Для теоретически надёжного ридонлм надо пакет дисков вынимать. Что почти нереально с уровнем современных технологий (точность допусков). И тем более нереально при банальной полицейской экспертизе
ahdenchik
00.00.0000 00:00+4Давно уже есть прошивки для HDD, которые стирают с него данные, если к какому-то диапазону секторов у компьютера повышенный интерес на чтение.
Используется так: создаётся бессмысленный раздел в этом специальном диапазоне, забивается имитацией полезных данных, и когда тов. майор начинает себе делать бэкап или просто шариться в этом разделе, то прошивка понимает это и очищает диск.Akr0n
00.00.0000 00:00+1А если какой-то фоновый процесс ОС активно пошёл в эти сектора? Какую-нибудь индексатор или дефрагментатор?
megaslowpoke
00.00.0000 00:00+2Индексируются и дефрагментируются файлы, а предполагается что в этом разделе даже файловой системы нет.
Akr0n
00.00.0000 00:00+3Это я понимаю, но что в принципе мешает эксперту перед этим подключить ЖД на запись и что угодно подбросить? При копировании в присутствии хозяина, возможно, есть какая-то минимальная гарантия, да, но у нас так не делают, тупо изымают вместе с системником и привет.
oller
00.00.0000 00:00+2Представляю сколько времени нужно на обследование 500tb сервера на zfs, raid z2 забитого на 90+ мелкими файлами
rudnik85
00.00.0000 00:00+7Ну ёмоё, только начал читать, а статья уже кончилась...
А если диск зашифрован, как поступаете?
P.S. Данная статья написана для освещения другого отличного мира, чтобы ваше воображение могло соприкоснуться с данной сферой. Описана простейшая производственная экспертиза.
Интересно было бы почитать, про экспертизу подтверждения соответствия IP адрес - конкретное физ лицо.
hw_store
00.00.0000 00:00Кажется, автор статьи за сутки не ответил ни на один из комментариев, так что похоже озвученная цель соответствует поставленной
NickyX3
00.00.0000 00:00+1соответствия IP адрес - конкретное физ лицо
Насколько я понимаю - у провайдера запрашиваются данные о сеансовых ip-адресах в конкретные время. В случае мобильных устройств - привязка к IMEI есть. То есть вычислить конкретное мобильное устройство можно.
Я хоть и не эксперт, но поучаствовал в проверках в качестве проверяемых. В органы было отправлено электронное письмо с мобильного устройства в кафе через wi-fi о ложном минировании, соответственно у мобильных операторов органы выдернули какое-то количество мобильных которые светились на базовых станциях в этом районе, граждане приглашались в отдел полиции для проверки как самих мобильных устройств, так и по желанию на полиграфе.
SerjV
00.00.0000 00:00Я вот вообще сомневают в возможности проведения такой экспертизы, но поскольку автор отвечать не горит желанием в комментариях, то и влезать не стал.
Потому что есть задача установить физ. лицо, выполнившее определённое действие, а потом - еще и доказать вину этого лица, ибо объективное вменение запрещено.
ervovka
00.00.0000 00:00+1В режиме ReadOnly через программу Studio?
Это с каких пор она так умеет? Ладно там safeblock какой нибудь, а тут rstudio.
А вообще должны аппаратные блокираторы использовать в идеале.
AVX
Что с шифрованием? Например, если на диске есть архивы с шифрованием - как их проверяют? Терморектальный криптоанализатор только? ????
Вообще часто бывает, что есть архив шифрованный, но где-то на компе есть от него пароль - в почте, в мессенджерах или ещë где-то. Это как-то проверяется?
Arhammon
Сколько я видел экспертиз в рамках ЗОЗПП, там по большей части работа эксперта записать конторским языком совершенно обычные вещи. Здесь подозреваю всё тоже. Именно те, что спросили - спросят про зашифрованные архивы, будет ответ про зашифрованные архивы. Спросят не записан ли номер в пейнте, будет ответ про пеинт.