Проведение технической экспертизы в рамках уголовного дела04.03.2023 13:01

c02ef4bb411ec3b25f21a6c369f10102.jpg

Всем привет, меня зовут Василий. Я являлся государственным экспертом отдела компьютерных и радиотехнических экспертиз более 4 лет.

  Целью технической экспертизы является выявление существующей или удаленной информации по заданным критериям, в данном случае условие отбора задает следователь. Снятие информации происходит с любого объекта, имеющего накопитель информации, начиная от micro-sd накопителя и заканчивая серверным оборудованием.

   Первое, что происходит с объектом исследования — это его фотофиксация в запакованном виде, для отображения в заключении эксперта целостности упаковки. После вскрытия упаковки происходит непосредственная фотофиксация самого объекта исследования с приложенной криминалистической линейкой.

   Рассмотрим, в качестве объекта исследования, ПК.

  После фотофиксации объекта в упаковке и без, мы должны зафиксировать все носители информации (они могут быть разными, поэтому я обобщу), находящихся в ПК, а также его внутреннего содержимого с линейкой и зафиксировать S/N системного блока и накопителей информации.

  В таком формате происходит постановка вопроса в заключении эксперта.

Перед экспертом поставлены вопросы:

  1. «Имеется ли на накопительной системе (системном блоке) информация о номере банковской карты № XXXX XXXX XXXX XXXX (номер счета XXXXXXXXXXXXXXXXXXXX)?»

  2. «Имеется ли на накопительной системе (системном блоке) информация об абонентском номере X-XXX-XXX-XX-XX?»

Примечание: вопросы №№1–2 были объединены и решались совместно.

   Далее происходит описание упаковки и объекта.

  Объект представлен в чёрном полимерном пакете. Системный блок (далее по тексту — СБ) в корпусе черного и серебристого цветов, имеет габаритные размеры 480×400×200 мм. На передней панели СБ имеется: кнопка включения/выключения, кнопка перезагрузки, разъемы для подключения интерфейсных устройств, а также светодиодные индикаторы. На задней панели СБ имеется разъем электропитания и разъемы для подключения интерфейсных устройств. В корпусе СБ установлено: блок питания, системная плата, в слотах которой имеется модуль оперативной памяти и плата видеоконтроллера, накопитель на жестких магнитных дисках (далее по тексту — НЖМД) с форм-фактором 3.5» и интерфейсом подключения SATA.

На корпусе НЖМД имеется этикетка с надписью »…TOSHIBA…S/N: XXXXXXXX…1.0TB…».

Для определения настроек даты/времени системной платы СБ производилось его включение с отключенным накопителем информации. Просмотром информации, отображаемой в базовой системе ввода-вывода (BIOS), установлено, что настройки даты/времени системной платы СБ соответствуют текущим значениям.

Для производства исследования НЖМД подключался к стенду в режиме «только чтение» (ReadOnly), при помощи программного обеспечения (далее по тексту — ПО) «R-Studio» версии »8.12» с него на накопитель стенда производилось побитовое копирование данных, содержащихся в памяти НЖМД. Все дальнейшие исследования производились с копией накопителя информации. Данный метод исследования обеспечивает сохранность и неизменность информации, содержащейся на накопителе информации. Информация о НЖМД, полученная посредством ПО «Paragon Hard Disk Manager 15» версии »10.1», приведена в таблице.

Информация о НЖМД

№ Раздела

Метка

Объем в байтах

Файловая система

Всего, байт

Занято, байт

1

Без метки

266 038 868 480

47 029 936 640

NTFS

2

Без метки

850 487 891 968

13 371 819 008

NTFS

  При помощи ПО «R-Studio» версии »8.12» проведено восстановление данных из свободной области НЖМД (удаленных файлов). Восстановленные данные скопированы на накопитель стенда. В дальнейшем поиск информации проводился как среди файлов, имеющихся в явном виде, так и среди данных, восстановленных в процессе исследования.

  Просмотром содержимого файловых систем НЖМД, а также при помощи ПО «Windows Registry Recovery» версии »2.2» установлено, что в Разделе 1 имеется операционная система, атрибутирующая себя как «Windows 10 Home», дата установки — »17.05.2020».

Решение вопросов №№ 1–2

  Для решения вопроса использовалось ПО «Архивариус 3000» версии »4.72», а также просматривалось содержимое файловых систем НЖМД. В результате в памяти НЖМД файлы содержащие ключевые слова: «XXXX XXXX XXXX XXXX», «XXXXXXXXXXXXXXXXXXXX», не обнаружены. Информация об абонентском номере «XXXXXXXXXXX» имеется в значении полей автозаполнения. Обнаруженная информация приведена в файле с именем «Автозаполнение.xslx» который записан на оптический диск, прилагаемый к заключению эксперта.

Далее происходит формирование предвыводов и выводов. Между ними происходит указание S/N DVD-диска, на который была записана информация и опись упаковки, в которую был упакован объект после производства экспертизы.

P.S. Данная статья написана для освещения другого отличного мира, чтобы ваше воображение могло соприкоснуться с данной сферой. Описана простейшая производственная экспертиза.

© Habrahabr.ru