Методы и технические средства выявления и фиксации компьютерных (электронных, цифровых) следов

Основными методами исследований цифровых следов являются общие и частные методы математики, радиоэлектроники и информатики, используемые в современных компьютерных технологиях: системный анализ, оптические методы, математическое и имитационное моделирование, топологические методы, инструментальный анализ, метод экспертных оценок и др. В практической деятельности эксперт (специалист) реализует вышеназванные методы не напрямую, а с помощью широкого набора специальных инструментальных (программных и технических) средств. Например, блокираторы записи, инструменты для получения изображений, копирования, средства документирования, инструменты для поиска и восстановления удаленных файлов, программы для просмотра информации, инструменты для декомпиляции и пошаговой трассировки, различные утилиты и т. д. Привести исчерпывающий перечень указанных средств невозможно в связи с тем, что их арсенал постоянно изменяется вслед за увеличением разнообразия технического и программного обеспечения современных компьютеров и их систем.

Используемые технические средства делятся на два класса: общеупотребительные, т. е. заимствованные криминалистикой из общей информатики для решения криминалистических задач, и специализированные средства, созданные для решения задач по исследованию компьютерной информации и техники, возникающих в правоприменительной деятельности.

Назовем только некоторые общераспространенные программные средства, применяемые в технико-криминалистическом исследовании. Так, в целях диагностики и анализа компьютерной информации используются такие программные средства, как System Information (Norton Utilites, Symantec), различные версии Norton Commander. Для просмотра содержимого дисков в операционных системах Windows широко используется стандартная оболочка для работы с файлами — Explorer, а также ряд специализированных прикладных программ (например, «Архивариус 3000»). Более широкий спектр возможностей, в том числе дешифровку ряда шифровальных алгоритмов данных и мониторинг дискового пространства, обеспечивают программы PowerDesk Utilities 98 и Turbo Browser. При исследовании баз данных могут быть использованы специализированные профессиональные программы: IRC, Data Mining, Data Extractor UDMA и др.

При получении доступа к графическим файлам и их последующем анализе в экспертных исследованиях применяются Adobe Photoshop, CorelDraw, Quick Time (for Win) и др. Сохранность исследуемой информации при копировании обеспечивается путем использования программных блокираторов записи (например, Disklock, HDSEntry и др.). Восстановление удаленных файлов или их фрагментов осуществляется с помощью программ UnErase Wisard. Конечно, любое восстановление исследуемых данных эксперт осуществляет только на стендовом винчестере.

Перечисленные программные средства применимы лишь к ЭВМ совместимым с IBM PC. При изучении иных типов компьютеров в экспертных исследованиях используются иные программные и аппаратные средства.

Особенное внимание при использовании общеупотребительных средств в процессе исследований необходимо уделять требованию сохранности компьютерных следов и иной информации в неизменном виде. Соблюдение данного требования обеспечивает возможность проведения повторных и дополнительных исследований. Указанный принцип технически реализуется путем создания точной копии исследуемой информации. Для этого используется широкий набор устройств и средств резервного копирования. Так, резервная копия информации, находящейся на жестком диске компьютера, для последующего производства экспертизы, как правило, создается на дополнительном жестком диске компьютера эксперта (стендового компьютера). В дальнейшем на нем и выполняются экспертные исследования объектов. При этом основные технические параметры этого дополнительного винчестера (емкость, среднее время доступа к данным и др.) должны совпадать с параметрами жесткого диска исследуемого компьютера. При невозможности получения резервной копии содержимого винчестера экспертом должны быть предприняты все меры для обеспечения сохранности исследуемой информации, например, путем использования вышеуказанных программных блокираторов записи.

В некоторых случаях соблюдение принципа неизменности компьютерной информации при ее исследовании исключает использование стандартных программ или аппаратных средств, так как их использование предполагает изменение компьютерной информации в процессе работы с ней.

Все большее распространение получают специализированные программно-аппаратные комплексы, которые специально предназначены для решения криминалистических задач в отношении компьютерной информации и техники. Использование таких криминалистических комплексов позволяет получить дополнительную информацию, которую нельзя извлечь при помощи стандартных программных средств, дает дополнительные гарантии неизменности объектов исследования, позволяет корректно решать задачи по преодолению защитных средств, препятствующих доступу к информации, облегчить работу экспертов и специалистов по документальному оформлению соответствующего исследования. В экспертную деятельность внедряются программноаппаратные комплексы, позволяющие комплексно решать целый ряд задач по исследованию компьютерной информации и техники (например, EnCase, Forensic IPC, UFED, XRY, Мобильный криминалист). Весьма перспективным направлением является использование в правоприменительной практике специализированных универсальных программноаппаратных комплексов, позволяющих исследовать широкий спектр различных мобильных электронных устройств от мобильных телефонов до планшетных компьютеров (например, UFED, XRY, Мобильный криминалист). Все вышеуказанные комплексы позволяют исследовать устройства, основанные на таких наиболее распространенных платформах, как iOS, Android, BlackBerry, Windows Phone и аппаратов на основе китайских чипсетов.

Технически указанные средства обеспечивают ручное, логическое извлечение информации и извлечение данных на физическом уровне.

Ручное извлечение данных заключается в доступе к информации через пользовательские стандартные средства доступа (клавиатуру, сенсорный экран). Обнаруженная информация фиксируется фотои видеосъемкой. С помощью данного способа невозможно получить всю информацию, находящуюся в электронном устройстве, произвести восстановление удаленных данных. В то же время в некоторых случаях некоторые виды сведений можно получить только указанным методом (например, сведения об электронной почте в устройствах Apple).

Логическое извлечение предполагает извлечение данных при помощи операционной системы устройства путем взаимодействия средств извлечения информации с соответствующей операционной системой и побитового копирования файлов и каталогов, находящихся на логических дисках системы. Запрашивают информацию из системы. Данный способ позволяет получить большую часть информации (не всю), находящейся на электронном носителе. Невозможно восстановление уничтоженных данных (кроме некоторых баз данных в операционных системах IOS, Android). В большинстве случаев логическое извлечение невозможно при блокировке устройств.

Извлечение данных на физическом уровне осуществляется путем побитового копирования всей внутренней памяти устройства. Метод позволяет восстановить удаленные данные, извлекать данные из заблокированных устройств.

Менее распространенным способом является извлечение данных из интегральной схемы памяти. Извлечение данных из интегральной схемы памяти возможно двумя путями. В первом случае интегральная схема извлекается из устройства и помещается в специальное считывающее устройство или устройство, аналогичное устройству, из которого данную схему извлекли. Указанным способом можно получить информацию из памяти неисправных мобильных устройств. Во втором случае используется отладочный интерфейс, который подключается через порт, предназначенный для тестирования, и через данный интерфейс копируются все данные на интегральной схеме памяти.

Очень редко в силу его трудоемкости и высокой стоимости применяется извлечение данных на микроуровне. Интегральная схема памяти изучается через электронный микроскоп, выявленные данные преобразуются в двоичный код, а затем в ASCII символы для последующей окончательной перекодировки в символы алфавита или десятичной системы цифр.

Важным преимуществом анализируемых комплексов является их способность в автоматизированном режиме решать значительное количество поисковых, классификационных и диагностических задач во время проведения следственных действий^[1]. В число таких задач входят получение и анализ пользовательской информации, находящейся в мобильных устройствах; получение и анализ электронной переписки (электронная почта, SMS и др.); установление местонахождения устройства в определенное время (дату или период); получение и анализ данных о соединениях с другими мобильными устройствами; получение информации о программных средствах, приложениях и т. п., установленных на устройстве, в том числе имевшихся ранее и удаленных на момент исследования; получение и анализ информации об использовании устройством сети Интернет, включая использование определенных ресурсов сети Интернет; получение с помощью мобильного устройства доступа к пользовательской информации, находящейся в удаленных хранилищах информации (облачных сервисах); получение картографической информации GPS, восстановление удаленной информации, в некоторых случаях получения доступа к информации, защищенной паролями или иными кодовыми средствами, получать физические образы устройств. Аналитические функции комплексов позволяют обнаруживать общие места пребывания нескольких лиц, выстраивать маршруты передвижения таких лиц на встроенных картах, устанавливать общие связи между различными мобильными устройствами, выделять различные уровни общения пользователя, просматривать все действия пользователя в хронологическом порядке и выявлять разные степени активности пользователя в зависимости от временного периода, использовать контекстный анализ по ключевым словам и другим параметрам для быстрого поиска информации. Результаты предоставляются субъекту доказывания в текстовом и графическом виде, а также в формате мультимедиа.

В криминалистической практике были сформулированы следующие общие требования к программным и аппаратным средствам, используемым в технико-криминалистическом исследовании компьютерной информации и техники. Они должны обеспечивать:

• 1) доступ и работу с информацией на представленных машинных (электронных) носителях без изменения ее содержания, служебных свойств;
• 2) возможность блокирования информации на таких носителях;
• 3) возможность копирования информации с представленных машинных (электронных) носителей на дополнительные машинные носители;
• 4) возможность доступа к файловой системе исследуемой информации;
• 5) возможность вычисления хеш-функций файлов, каталогов, разделов, диапазона секторов;
• 6) возможность просмотра и интерпретации информации, создаваемой наиболее распространенными программными средствами;
• 7) возможность восстановления удаленной информации, получения доступа к заблокированной информации;
• 8) возможность просмотра и интерпретации системной и служебной информации;
• 9) возможность поиска и манипуляции с информацией по различным критериям (контексту, свойствам, хеш-функциям);
• 10) возможности оформления результатов исследования и сохранения их в неизменном виде.

Все общеупотребительные и специализированные средства, предназначенные для исследования компьютерной информации, должны быть сертифицированы, лицензированы или пройти процедуру валидации.

• [1] Созданы версии, технически позволяющие субъекту, ведущему расследованиерешать большой крут задач без привлечения специалиста или эксперта.