Восстановление данных в России и СНГ
Лаборатория
Москва
Малая Пироговская, 18с1, офис 406
В будние дни 9:00-21:00, в выходные 09:00-18:00

Ваш город - Москва?

Да Выбрать другой город/страну
Круглосуточный телефон
8 (495) 280-18-99

Исследование цифрового содержимого трех жестких дисков

Судебная компьютерно-техническая экспертиза № 141020, 2014 г

Исследование цифрового содержимого трех жестких дисков, поиск по списку терминов.

Объекты исследования

Системный блок белого цвета с гофрированной вставкой на передней панели и бумажной наклейкой с пояснительным текстом: «*************».

На разрешение компьютерно-технического исследования поставлены следующие вопросы:

  1. Имеются на представленных на исследование системном блоке в корпусе белого цвета базы данных экономических программных продуктов «1С», «2НДФЛ»? Если да, то на какие юридические лица и каких индивидуальных предпринимателей они зарегистрированы? При положительном ответе, прошу скопировать данные программы на съемный носитель.
  2. Имеются ли на вышеуказанных электронных носителях документы в электронном виде в тестовом и графическом изображении, содержащие следующие ключевые слова: ООО «Ааааа», ООО «Ссссс», Ппппп П.П., Ммммм М.М., …, Ввввв В.В.? При положительном ответе, прошу скопировать данные программы на съемный носитель.
  3. Каковы сведения о выводе на печать и датах изменения файлов, содержащих тесты: ООО «Ааааа», ООО «Ссссс», Ппппп П.П., Ммммм М.М., …, Ввввв В.В.? 

Компьютерно-техническую экспертизу провел: Рыжиков Александр Сергеевич

Описание объектов, поступивших на исследование

После вскрытия системного блока были извлечены три накопителя на жестких магнитных дисках (далее НЖМД), обозначенные экспертом как НЖМД №№ 1-3 соответственно.

НЖМД №1 относится к дискам с интерфейсом SCSI, форм-фактор 3,5 дюйма, имеющим в том числе маркировку: «SeagateCheetahULTRA320 SCSI» «MODELNUMBER : *ST336607LW*» «SERIALNUMBER : **********».

НЖМД №2 относится к дискам с интерфейсом SCSI, форм-фактор 3,5 дюйма, имеющим в том числе маркировку: «SeagateCheetahULTRA320 SCSI» «MODELNUMBER : *ST336607LW*» «SERIALNUMBER : **********».

НЖМД №3 относится к дискам с интерфейсом SCSI, форм-фактор 3,5 дюйма, имеющим в том числе маркировку: «SeagateCheetahULTRA320 SCSI» «MODELNUMBER : *ST336607LW*» «SERIALNUMBER : **********».

SeagateCheetahULTRA320 SCSI ST336607LW
Диск Seagate Cheetah ULTRA320 SCSI ST336607LW
ST336607LW

В ходе исследования проводились следующие работы

Для проведения исследования НЖМД с помощью SCSI контроллера поочередно были подключены к стендовому компьютеру. При этом производилась блокировка автоматического монтирования разделов НЖМД для исключения записи через реестр ОС.

Параметры подключения НЖМД к стендовому компьютеру определены автоматически и при помощи программы «R-Studio 7.1» установлена структура данных, приведенная в табличном виде.

Для исследования содержимого представленных НЖМД и ответа на поставленные вопросы были использованы следующее программное обеспечение:

  • «R-Studio 7.1»;
  • «WinHex 17.1»;
  • «Active@FileRecovery v10.0.8»;
  • «PhotoRec».

В ходе экспертизы было определено, что НЖМД №2 не содержит никакой информации, так как при просмотре содержимого диска на уровне секторов было установлено, что все сектора НЖМД №2 заполнены одинаковыми байтами «0х6С». На НЖМД№1 и НЖМД№3 проводилось восстановление путем поиска и анализа элементов файловой системы, а также восстановление файлов по сигнатурам (уникальной последовательности байт, принадлежащей конкретному типу файлов) при серьезном повреждении или отсутствии файловой системы.

Сведения о временных параметрах, указанных в исследовательской части, определялись относительно системного времени по датам создания или изменения файлов, либо по иной информации содержащихся в файлах. Однако эти параметры могут изменяться пользователем путем изменения системного времени при создании или изменении файла, или другими способами.

Для ответа на вопрос номер один на представленных НЖМД, при помощи «TotalCommander 8.1» производился поиск баз данных программных продуктов «1С» и «2НДФЛ» как в явном виде, так и среди восстановленных после удаления.  Для восстановления файлов использовались программы «R-Studio 7.1», «[email protected]» и «PhotoRec». На представленных НЖМД в явном виде не присутствуют каталоги и файлы указанных программ. Но эти программы работают и содержат данные в файлах баз данных с расширением DBF и CDX. В ходе восстановления такие типы файлов нашлись, но к какой программе они принадлежат установить не удалось.  Сведения о месте расположения, имени, дате и времени изменения файлов содержатся в файловой структуре. Так как данные файлы были найдены только в результатах восстановления по сигнатурам, то информация о месте расположения, имени, дате и времени изменения отсутствует. Имена фалов и их размер приведены в табличном виде.

Для ответа на вторую часть вопроса о том, на какие юридические лица и каких индивидуальных предпринимателей они зарегистрированы, информации не найдено.

Для ответа на вопрос номер один на представленных НЖМД, при помощи «TotalCommander 8.1» производился контекстный поиск файлов, содержащих ключевые слова, которые указаны в вопросе, как в явном виде, так и среди восстановленных после удаления.  Для восстановления файлов использовались программы «R-Studio 7.1», «[email protected]» и «PhotoRec». Сведения о имени, дате и времени создания и изменения (где это возможно) файлов, содержащих ключевые слова, приведены в табличном виде.

Файлы расширений rar, doc, xls, pdf открываются соответствующими программами, а для просмотра содержимого файлов dbf необходима программа DBFViewer2000 . Некоторые файлы могут не открываться, так как часть файла повреждена, но искомое слово при контекстном поиске в теле файла содержится.

Для ответа на вопрос номер три был произведен поиск информации о выводе на печать документов, которая сохраняется в одном из лог файлов ОС, если включена соответствующая служба. Файла с такой информацией найдено не было по причине либо файл удален безвозвратно, либо не была включена соответствующая служба и лог файл не велся. Дату изменения файла, возможно узнать только при условии наличия файловой записи описывающий данный файл. Таким образом, информация о дате создания и изменения файлов присутствует только в результатах восстановления с НЖМД №1

Выводы

  1. На представленных НЖМД найдены файлы форматов, которые используют экономические программные продукты “1С” и “2НДФЛ”. Такие файлы были найдены только в результатах восстановления по сигнатурам и определить к какой именно программе принадлежат файлы установить не удалось.
  2. На представленном НЖМД №2 никакой информации не найдено.
  3. На представленном НЖМД №1 найдены файлы, содержащие следующие ключевые слова: ООО «Ааааа», ООО «Ссссс», Ппппп П.П., Ммммм М.М., …, Ввввв В.В. Имена файлов, дата создания и изменения, где эта информация присутствует, представлены в пункте 2 исследовательской части в таблице №3.
  4. На представленном НЖМД №3 найдены файлы, содержащие следующие ключевые слова: ООО «Ааааа», ООО «Ссссс», Ппппп П.П., Ммммм М.М., …, Ввввв В.В. Информация о имени файлов, дате создания и изменения здесь отсутствует, так как восстановление файлов производилось по сигнатурам, а при таком режиме восстановление определить оригинальные имена фалов, дату создания и изменения невозможно.
  5. Сведений о выводе на печать файлов ни на одном из дисков не обнаружено
Закажите восстановление данных

Закажите бесплатную диагностику

Лаборатория

Малая Пироговская, 18с1, офис 406

В будние дни 9:00-21:00, в выходные 09:00-18:00

8 (495) 280-18-99

na