Процесс компьютерно-технической экспертизы

Компьютерная криминалистика — сложная область, требующая применения специальных знаний и навыков.

Цель данной статьи — дать базовое представление о задачах и проблемах, с которыми ежедневно сталкиваются эксперты в области компьютерной криминалистики. Несмотря на то, что эта область является технической, важно понимать роль эксперта и основные проблемы, с которыми он сталкивается.

Область компьютерной криминалистики динамична и постоянно адаптируется к изменяющимся законам и технологиям. Компьютерная экспертиза предполагает использование надлежащих процедур и передовых технологий для обеспечения сохранности доказательств и точности результатов экспертизы. В данной статье не рассматриваются все возможные сценарии, встречающиеся при проведении экспертизы, но приводятся некоторые общие примеры.

Эксперты, проводящие компьютерную экспертизу, принимают меры для обеспечения сохранности информации, хранящейся на носителях, от изменений в процессе проведения экспертизы. По возможности исходный носитель дублируется, физически осматривается и хранится без каких-либо изменений. Затем эксперт исследует дубликат, а не оригинальный носитель. На языке компьютерной криминалистики этот дубликат называется «образом». 

Не смотря на повышенную стоимость компьютерной экспертризы в выездном формате, он остается наилучшим вариантом.

Почему предпочтительна выездная компьютерная экспертиза

Существует несколько причин, по которым криминалистическую экспертизу лучше всего проводить за пределами предприятия, в защищенной лаборатории компьютерной экспертизы.

Во-первых, судебная экспертиза может быть очень сложной, требующей решения таких задач, как взлом паролей или шифрование, для чего может потребоваться специальное программное или аппаратное обеспечение.

Во-вторых, в условиях защищенной лаборатории лучше сохраняется целостность доказательств.

В-третьих, компьютерная экспертиза может занимать много времени. Один только процесс создания образа носителя информации может занять значительное время, в зависимости от используемого аппаратного и программного обеспечения. Если процесс создания образа не удался, эксперту может потребоваться его повторить.

Пребывание эксперта на объекте может привести к убыткам для контролеров помещений, прерыванию экспертизы или задержке на неопределенное время. Кроме того, если эксперт остается на месте, к доказательствам могут получить доступ другие лица, что может нарушить цепочку хранения и поставить под угрозу проведение всей экспертизы.

Простота электронной передачи данных

Электронные данные и файлы легко переносятся, копируются, загружаются или пересылаются с одного носителя информации на другой. С этими задачами может справиться даже пользователь компьютера с минимальными навыками. Криминалистическая экспертиза часто бывает наиболее успешной, если исследуются все носители информации.

Более того, перенос файлов или данных может свидетельствовать о том, что пользователь компьютера знал о существовании файла или данных на конкретном носителе и намеревался завладеть этим файлом или данными.

Исследование нераспределенных областей носителя

Доказательства могут быть найдены в любом месте носителя или изображения, включая области, не занятые выделенными файлами. Выделенные файлы — это файлы, имеющие запись в файловой системе и занимающие зарезервированное физическое место на носителе данных для предотвращения перезаписи. Все остальное пространство на носителе данных считается нераспределенным пространством.

Нераспределенное пространство — это любая часть носителя, не содержащая выделенного файла и не зарезервированная для использования файловой системой. Данные, находящиеся в нераспределенном пространстве, могут быть перезаписаны файлами или автоматическими процессами. Часто нераспределенное пространство содержит большие объемы данных, включая удаленные файлы.

Компьютерные криминалисты должны выявить и извлечь данные и файлы из нераспределенного пространства, а также проанализировать их на предмет доказательной силы.

Восстановление удаленных файлов

Когда пользователь сохраняет файл, он записывается на небольшие физические сегменты носителя, называемые секторами. Файловая система помечает сектора, используемые файлом, как выделенные для этого файла, не позволяя другим новым данным перезаписывать выделенный файл.

Когда пользователь удаляет файл, файловая система помечает сектора как нераспределенные и доступные для новых данных. Важно отметить, что данные из удаленного файла не удаляются с носителя физически, если не используется специальное программное обеспечение.

В зависимости от того, были ли старые файлы перезаписаны новыми данными, криминалисты могут частично или полностью восстановить удаленные файлы, иногда даже спустя годы после удаления, поскольку носители, в частности жесткие диски, обладают огромной емкостью для хранения данных.

Понимание системных и сопутствующих файлов

Часто операционная система или конкретное приложение автоматически создает файл и записывает данные на жесткий диск, либо записывает данные в существующий файл, журнал или местоположение. Файлы или данные, созданные в ходе этих процессов, часто оказываются крайне важными для криминалиста, поскольку они могут помочь идентифицировать пользователя компьютера в момент расследуемого инцидента.

Например, при работе в Интернете с помощью программы Internet Explorer на жестком диске сохраняется или кэшируется копия всего или части Интернет-сайта, а также история посещений. В некоторых случаях при посещении пользователем Интернета на жестком диске сохраняется небольшой текстовый файл, называемый «cookie», который в основном используется для идентификации конкретной компьютерной системы/пользователя при повторном посещении того же сайта. Cookie может идентифицировать имя пользователя, а также посещаемый сайт.

Источник: https://rtmtech.ru/