Судебная Компьютерно-техническая экспертиза №32311, 2016 г.

Исследование компьютерного оборудования, восстановление удаленных данных, анализ содержимого цифровых данных, сортировка по списку терминов

На разрешение поставлены следующие вопросы:

1. Каковы тип (марка, модель) конфигурация и общие технические характеристики представленных компьютерных систем (объектов)?
2. Находятся ли представленные компьютерные системы (объекты) в рабочем состоянии? Имеются ли какие-либо неисправности в их работе?
3. Производилось ли удаление на представленных объектах баз данных 1С? В случае обнаружения, в том числе среди удаленной информации, баз данных «1С Бухгалтерия», прошу произвести их копирование.
4. Имеется ли на носителях данных представленных объектов файлы (с указанием даты создания), в том числе среди скрытых, архивных и удаленных, в названиях и содержаниях которых имеется текст:

   Термин1;
   Термин2;
   …
   Термин35.

Описание объектов, поступивших на экспертизу

Объект 1. Системный блок «Enjoy digital life» в корпусе черного цвета с аудио-динамиком на передней панели. Передняя панель и крышка корпуса оклеены бумажными наклейками с надписью: «Осторожно! Вещественные доказательства». По внешним признакам (царапинам, потертостям, наличию пыли) это системный блок персонального компьютера, бывшего в употреблении. Следов значительных механических повреждений не имеет.

Объект 2. Переносной компьютер (ноутбук) «Acer» черного цвета, серийный номер ********************. По внешним признакам (царапинам, потертостям, наличию пыли) это переносной компьютер, бывший в употреблении. Следов значительных механических повреждений не имеет.

Описанные выше объекты приняты Экспертом у старшего следователя в 12:30 по московскому времени хх-го ммммм 2016 года в помещении ООО «Восстановление данных».

Методика исследования

Исследование проведено на основе:

• специальных знаний о принципах хранения данных на цифровых носителях;
• практических навыков восстановления утерянной и удаленной информации с цифровых носителей;
• владения средствами автоматического поиска данных по маске в файловой системе и внутри файла, в том числе, с анализом содержимого файлов;
• владения специальными знаниями о принципах работы программных средств: операционных систем, пакета программ Microsoft Office, баз данных 1С, программ-архиваторов, почтовых серверов и почтовых клиентских приложений.

В ходе проведения исследования специалистом применялись следующие методы:

• применение частных методик восстановления информации, основанных на профессиональном опыте и теоретических знаниях о принципах хранения данных на цифровых носителях;
• использование средств автоматического поиска и сортировки данных по маске с анализом содержимого файлов;

В ходе исследования было изучено аппаратное состояние объектов, переданных для проведения экспертизы, их программное оснащение и цифровое содержимое накопителей информации, являющихся составными частями переданных объектов.

Этапы исследования

1. Из объектов исследования: системного блока и переносного компьютера (ноутбука) – в ходе проведения экспертизы были извлечены накопители на жестких магнитных дисках (далее «НЖМД»), обозначенные экспертом как «НЖМД «250Gb» (Жесткий диск из системного блока – Объекта 1 – далее «НЖМД «250Gb») и «НЖМД «1Tb» (Жесткий диск из переносного компьютера блока – Объекта 2 – далее «НЖМД «1Tb») соответственно.

2. На стендовом ПК посредством программно-аппаратного комплекса PC3000 на обоих НЖМД произведена блокировка автоматического монтирования разделов НЖМД для исключения записи через реестр ОС.
3. Посредством утилиты WinHex были созданы посекторные файл-образы обоих НЖМД, сохраненные на НЖМД SN: ************. При создании файл-образов были корректно считаны все сектора пользовательских зон обоих НЖМД. Это свидетельствует о том, что на накопителях отсутствуют сбойные сектора. Количество секторов и их цифровое содержимое каждого из полученных файл-образов идентичны количеству и содержимому секторов соответствующего НЖМД. Таким образом, дальнейший анализ полученных файл-образов для исследования цифрового содержимого НЖМД объектов исследования даст те же результаты, как если бы этот анализ проводился на самих НЖМД.
4. Далее на обоих НЖМД посредством Программно-аппаратного комплекса PC3000 сняты блокировки автоматического монтирования в операционной системе (далее «ОС»). Оба НЖМД установлены в соответствующие объекты исследования: системный блок и переносной компьютер – для их запуска, проверки их аппаратного состояния, изучения программного оснащения и фиксации всех сведений, необходимых для формулирования выводов по поставленным перед Экспертом вопросам. По завершении данного этапа исследования оба НЖМД извлечены из системного блока и переносного компьютера соответственно.
5. На Стендовом ПК посредством программы WinHex и Программно-аппаратного комплекса PC-3000 с использованием созданных ранее файл-образов цифровое содержимое обоих НЖМД приведено в исходное состояние. НЖМД установлены на свои места – в системный блок и переносной компьютер.

Описанные выше этапы исследования обеспечивают:

• корректность выводов по вопросам 1 и 2 об аппаратном состоянии и программном обеспечении исследуемых объектов, поставленным перед Экспертом, а также
• корректность выводов по вопросам 3 и 4, касающихся цифрового содержимого НЖМД исследуемых объектов, так как до создания посекторных файл-образов были соблюдены все предосторожности, обеспечивающие неизменность цифрового содержимого обоих НЖМД, а дальнейшая работа с файл-образами велась только на чтение;
• цифровое содержимое НЖМД исследуемых объектов, а также их аппаратное состояние и программное обеспечение на моменты приема их Экспертом и обратной передачи Принимающей стороне идентичны.

7. Анализ созданных файл-образов и восстановление данных с виртуальных разделов, в них содержащихся, были произведены посредством Программы R-Studio. Данные восстановлены на НЖМД SN: ************. При этом данные, распознанные как существующие в соответствующих файловых системах, были сохранены отдельно (название папок описано ниже) от данных, распознанных в качестве удаленных. По мимо методики восстановления, основанной на анализе содержимого файловых систем, был использован метод посигнатурного восстановления данных по типам файлов (далее «Посигнатуртный поиск»). Для этого исследовались части виртуальных разделов, обозначенные соответствующими файловыми системами как свободные от существующих данных. Таким образом, с каждого виртуального раздела в отдельную папку были сохранены:

• данные, распознанные как существующие в соответствующей файловой системе;
• данные, распознанные как удаленные, информация о которых получена из анализа содержимого соответствующих файловых систем;
• данные, восстановленные посигнатурным поиском с областей дискового пространства виртуальных разделов, распознанных в качестве свободных от существующих в соответствующих файловых системах данных.

Описанный выше этап, сочетающий два варианта восстановления удаленных данных, дает наиболее полный результат, так как по мимо удаленных данных, сведения о которых еще хранятся в соответствующих файловых системах, позволяет также получить данные, о которых в файловых системах нет никаких сведений, например, по причине замены файловой записи новой.

7.1. Данные, распознанные как существующие в соответствующей файловой системе, сохранены на НЖМД SN: ************ в следующих папках:

• “\32311\1Tb\То что есть сейчас\..” – для данных с логического раздела с меткой тома «Acer» НЖМД «1Tb»;
• “\32311\250gb\1\То что есть сейчас\..” – для данных с логического раздела с меткой тома «system» НЖМД «250Gb»;
• “\32311\250gb\2\То что есть сейчас\..”– для данных с логического раздела с меткой тома «data» НЖМД «250Gb».

Атрибут «Скрытый» для всех сохраняемых данных в перечисленных папках был снят для удобства дальнейшего исследования и наглядности результата. Остальные свойства файлов, их имена и содержимое, а также папочная структура данных сохранены без изменений.

Сохраненные описанным способом файлы пригодны к последующему анализу и поиску в имени и содержимом файла со следующими замечаниями:

• Поиск по имени файла корректен. Наличие искомой символьной комбинации (далее «Термин») в имени найденного файла означает, что файл с этой комбинацией в имени существует на соответствующем логическом разделе.
• Если в ходе поиска файлов, содержащих определенную символьную комбинацию, найден целостный файл, то можно утверждать, что файл с искомой комбинацией в своем содержимом существует на рассматриваемом разделе, все отображаемые свойства этого файла корректны. Такие файлы могут быть открыты в программах для работы с соответствующим типом файлов. В наличии искомой символьной комбинации в теле такого файла можно убедиться средствами используемой для работы с файлами этого типа программы.
• Если в ходе поиска файлов, содержащих определенную символьную комбинацию, найден поврежденный файл, то достоверно можно утверждать, что искомая комбинация присутствует в найденном файле, а его целостность нарушена вследствие программного сбоя в ходе работы с НЖМД до начала экспертизы.

7.2. Данные, распознанные как удаленные, информация о которых получена из анализа содержимого соответствующих файловых систем, сохранены на НЖМД SN: ************ в следующих папках:

“\32311\1Tb\Восстановленное\Логика_только удаленные\..”– для удаленных данных с логического раздела с меткой тома «Acer» НЖМД «1Tb»;

“\32311\250gb\1\Восстановленное\Логика_только удаленные\..” – для удаленных данных с логического раздела с меткой тома «system» НЖМД «250Gb»;

“\32311\250gb\2\Восстановленное\Логика_только удаленные\..” – для удаленных данных с логического раздела с меткой тома «data» НЖМД «250Gb».

Атрибут «Скрытый» для всех сохраняемых данных в перечисленных папках был снят для удобства дальнейшего исследования и наглядности результата. Остальные свойства файлов, их имена и содержимое, а также папочная структура данных сохранены в том виде, в котором это возможно сделать на данный момент. Возможность частичного нарушения папочной структуры и наличия некорректных символов в именах файлов и папок обусловлена вероятностью того, что достоверная информация о состоянии файловой записи на момент удаления соответствующего файла или папки может быть повреждена или утрачена при последующей после этого удаления работе с НЖМД.

Восстановленные описанным способом файлы могут полностью сохранять свою целостность по сравнению с состоянием на момент удаления, если информация из файловой системы о занятых этими файлами кластерах корректна, и соответствующие кластеры не были перезаписаны другими данными в ходе последующей работы с НЖМД. Такие целостные данные могут быть корректно открыты программами, предназначенными для работы с файлами соответствующего типа. Данные, частично или полностью перезаписанные в ходе работы с НЖМД после их удаления, программами для работы с файлами соответствующего типа могут открываться с ошибками или не открываться вовсе.

Восстановленные описанным способом файлы пригодны к последующему анализу и поиску в имени и содержимом файла со следующими замечаниями:

• Поиск по имени файла корректен, вне зависимости от целостности восстановленного файла. Наличие искомой символьной комбинации в имени найденного файла означает, что файл с этой комбинацией в имени существовал на соответствующем логическом разделе.
• Если в ходе поиска файлов, содержащих в своем теле определенную символьную комбинацию, найден целостный файл, то можно утверждать, что файл с искомой комбинацией в своем содержимом существовал на рассматриваемом разделе, был удален, но может быть корректно восстановлен с сохранением целостности и всех свойств. Такие файлы могут быть открыты в программах для работы с соответствующим типом файлов. В наличии искомой символьной комбинации в теле такого файла можно убедиться средствами используемой программы.
• Если в ходе поиска файлов, содержащих определенную символьную комбинацию, найден поврежденный файл, то достоверно можно утверждать, что искомая комбинация либо присутствовала в найденном файле до его удаления, либо содержалась в файле, которым найденный файл был полностью или частично перезаписан при последующей работе с НЖМД. Для проверки каждой из гипотез (если такая задача будет иметь место) в каждом конкретном случае необходим анализ логической структуры конкретного файла. Без такого анализа достоверно можно утверждать, что искомая символьная комбинация на момент поиска находится в кластерах рассматриваемого логического раздела, перечисленных в качестве частей найденного файла, вне зависимости от целостности этого файла.

7.3. Данные, восстановленные Посигнатурным поиском, сохранены на НЖМД SN: ************ в следующих папках:

“\32311\1Tb\Восстановленное\Без структуры\..”– для удаленных данных с логического раздела с меткой тома «Acer» НЖМД «1Tb»;

“\32311\250gb\1\Восстановленное\ Без структуры \..” – для удаленных данных с логического раздела с меткой тома «system» НЖМД «250Gb»;

“\32311\250gb\2\Восстановленное\ Без структуры \..” – для удаленных данных с логического раздела с меткой тома «data» НЖМД «250Gb».

Использованная процедура извлечения данных основана на сканировании пространства логического раздела и поиске на нем известных сигнатур файлов – некоторых специфических признаков файлов каждого из типов.

Этот способ восстановления обладает следующими свойствами:

• невозможно восстановить фрагментированный файл, расположенный в нескольких кластерах раздела, идущих не подряд. С помощью сигнатурного поиска можно найти лишь начало файла, а иногда и его конец, но, если тело файла распределено по частям раздела, остальные фрагменты, не содержащие никаких характерных признаков, найти не удается.
• данные восстанавливаются с автоматически присваиваемыми именами, отсортированными по типу. Свойства файлов, их имена, а также папочная структура данных при таком подходе не восстанавливаются, так как алгоритм не использует сведения из файловых систем.

Восстановленные описанным способом файлы могут полностью сохранять свою целостность по сравнению с состоянием на момент удаления, если они не были фрагментированы (все части файла записаны в кластерах раздела, следующих подряд, друг за другом) и если они не были частично или полностью перезаписаны другими данными. Такие целостные данные могут быть корректно открыты программами, предназначенными для работы с файлами соответствующего типа. Данные фрагментированные (хранящиеся в кластерах раздела, не следующих подряд), а также частично или полностью перезаписанные в ходе работы с НЖМД после их удаления, восстанавливаются поврежденными. Программами для работы с файлами соответствующего типа могут открываться с ошибками или не открываться вовсе.

Восстановленные описанным способом файлы пригодны к последующему анализу и поиску в содержимом файла со следующими замечаниями:

• Процедура поиска заданной символьной комбинации в имени файла не применима.
• Если в ходе поиска файлов, содержащих в своем теле определенную символьную комбинацию, найден целостный файл, то можно утверждать, что файл с искомой комбинацией в своем содержимом существовал на рассматриваемом разделе, был удален, но может быть корректно восстановлен без сохранения свойств, но с целостным содержимым. Такие файлы могут быть открыты в программах для работы с соответствующим типом файлов. В наличии искомой символьной комбинации в теле такого файла можно убедиться средствами используемой программы.
• Если в ходе поиска файлов, содержащих определенную символьную комбинацию, найден поврежденный файл, то достоверно можно утверждать, что искомая символьная комбинация на момент поиска находится в кластерах рассматриваемого логического раздела, распознанных алгоритмом восстановления в качестве частей найденного файла, вне зависимости от его целостности.

Следующее замечание справедливо для данных, сохраненных посредством трех описанных выше процедур (7.1. – 7.3.):

Если искомая символьная комбинация не найдена ни в именах, ни в содержимом файлов, это не позволяет утверждать, что файлов, соответствующих критериям поиска, на исследуемом НЖМД никогда не было. Также нельзя утверждать, что перечень найденных файлов, соответствующих критериям поиска, исчерпывающий.

Всего в ходе экспертизы восстановлено данных: 1174589 файлов общим объемом 499 Гб.

8. К данным, сохраненным на этапе 7, описанном выше, были применены поиски на вхождение символьной комбинации в имя файла, а также в его содержимое.

8.1. Регистронезависимый (учитывающий любые сочетания верхних и нижних регистров символов в искомом Термине) поиск на вхождение символьной комбинации в имя файла реализован посредством последовательного использования программ «Find» и «Grep» из Пакета программ «Cygwin».

Посредством программы «Find» создан общий список имен файлов (с указанием пути), восстановленных в ходе этапа 7 исследования, описанного выше. Затем посредством программы «Grep» по данному списку имен файлов произведен поиск на вхождение символьных комбинаций. Для каждой искомой комбинации был сформирован текстовый файл с перечнем имен файлов (с указанием пути), ее содержащих.

8.2. Поиск на вхождение Термина в тело файла реализован посредством Программы FileLocator. Поиск проводился регистронезависимо по всем данным, восстановленным в ходе выполнения этапа 7, описанного выше. В качестве отчета о результатах поиска сформирована таблица «Поиск по содержимому.xlsx» с перечнем:

• искомых Терминов, которые были найдены в содержимом файлов;
• имен файлов (с указанием пути) соответствующих вхождению термина;
• дат и времени создания найденных файлов;
• дат и времени последнего редактирования найденных файлов;
• количества вхождений искомого Термина в данный файл.

С учетом особенностей процедур поиска по символьным комбинациям как в именах, так и в содержимом файлов, изучив перечень поисковых строк, приведенный в вопросе 4, эксперт составил список Терминов, наиболее, по его мнению, подходящих для определения множества файлов, соответствующих заданным в вопросе 4 критериям (далее «Список Терминов»): Термин1, …, Термин 35.

Поисковые процедуры, описанные в качестве восьмого этапа исследования, проводились для указанного Списка Терминов.

9. Все перечисленные отчеты о результатах поисковых процедур сохранены на НЖМД SN: ************.

Выводы

По первому вопросу

В качестве объекта исследования на экспертизу поступил cистемный блок «Enjoy digital life» – Объект 1

Персональный настольный компьютер. Тип компьютера ACPI x64-based PC.

Конфигурация.

Центральный процессор – «DualCore Intel Pentium CPU 3.00 GHz»,

системная плата Gigabyte GA-H67MA-USB3-B3  (2 PCI-E x1, 2 PCI-E x16, 4 DDR3 DIMM, Audio, Video, Gigabit LAN (Realtek PCIe GBE Family Controller)) с интегрированным в ЦП графическим ядром Intel(R) HD Graphics 2000,

блок питания FOX ATX-400BT,

оперативная память: DIMM1, Kingston 99U5458-002.A00LF, 2 ГБ и DIMM2, Corsair Dominator CMP4GX3M2A1600C9,2 ГБ. Общий объем ОЗУ – 4 Гб.

НЖМД «250Gb»: Дисковый накопитель (НЖМД) Western Digital (WDC) WD2500AAKX-001CA0 ATA, 250 ГБ, 7200 RPM, SATA-III, серийный номер: ************.

Разделы:

1. Файловая система NTFS, 99 МБ (69 МБ свободно), метка тома «Зарезервировано системой» – служебная (резервная) область операционной системы, пользовательских данных не содержит. В исследовании и дальнейших выводах не фигурирует.
2. Файловая система NTFS, 99898 МБ (7856 МБ свободно), метка тома «system», системный раздел, содержит операционную систему, программы и данные. Существующие и удаленные данные из этого раздела были восстановлены в ходе экспертизы (этап 7, описанный выше) и сохранены в папку «\32311\250gb\1» на НЖМД SN:************.
3. Файловая система NTFS, 135.2 ГБ (110.3 ГБ свободно), метка тома «data», раздел с данными. Существующие и удаленные данные из этого раздела были восстановлены в ходе экспертизы (этап 7, описанный выше) и сохранены в папку «\32311\250gb\2» на НЖМД SN:************.

Операционная система (ОС) Microsoft Windows 7 Профессиональная, Service Pack 1, тип системы 32-разрядная.

В системе зарегистрированы следующие учетные записи пользователей: «user», «Пользователь», «Default», «Public».

Системное время компьютера отстает от московского времени на 8 минут.

В качестве объекта исследования на экспертизу поступил персональный переносной компьютер (ноутбук) «Acer» черного цвета, серийный номер ******************** – Объект 2

Переносной компьютер (ноутбук). Тип компьютера ACPI x86-based PC (Mobile).

Конфигурация.

Центральный процессор – «QuadCore Intel Pentium CPU N3540, 2666 MHz x64,

системная плата Acer Aspire ES1-512, чипсет системной платы Intel Bay Trail-M,

оперативная память: DDR3-1600, SK Hynix HMT451S6BFR8A-PB, 4 ГБ. Общий объем ОЗУ – 4 Гб.

НЖМД «1Tb»: дисковый накопитель (НЖМД) Western Digital (WDC) WD10JPVX-22JC3T0, 1 ТБ, 5400 RPM, SATA-III, серийный номер: WXH1EC4EPTW7.

Разделы:

1. Файловая система NTFS, 600 МБ (313 МБ свободно), метка тома «Recovery»;
2. Файловая система NTFS, 915.8 ГБ (831.4 ГБ свободно), метка тома «Acer».

Оптический накопитель MATSHITA DVD-RAM UJ8HC,

операционная система (ОС) Microsoft Windows 10 Домашняя, тип системы 64-разрядная.

В системе зарегистрированы следующие учетные записи пользователей: «1023438», «Администратор», «Default», «Public».

Системное время компьютера соответствует московскому времени.

По второму вопросу

Представленные компьютерные системы (объекты) находятся в рабочем состоянии. Какие-либо неисправности в их работе не выявлены.

По третьему вопросу

Среди восстановленных данных, распознанных в файловой системе раздела в качестве удаленных обнаружена папка “\32311\250gb\2\Восстановленное\Логика_только удаленные\Root\База 1С8\..“

со следующим содержимым: ********************

То есть можно утверждать, что со второго раздела НЖМД «250Gb» была удалена папка «База 1С8», содержащая подпапки: **********************

Также среди восстановленных данных, распознанных в файловой системе раздела в качестве удаленных обнаружена папка “\32311\250gb\2\Восстановленное\Логика_только удаленные\Root\ААААААААААА“. Содержимое этой папки отображено в списке: **************.

Из приведенного списка видно, что в данной папке находится вложенная структура каталогов, содержащих файлы-архивы типа «ZIP». Пример содержимого этих архивных файлов: “\32311\250gb\2\Восстановленное\Логика_только удаленные\Root\Архив баз 1С и документов\2016\2016.06 (Июнь)\2016-06-01 (09-07-21)\Базы 1С 8\2016-06-01 (09-20)  КККККККК.zip\1Cv8.1CD“– является файлом базы данных 1С 8й версии. Из названий папок и файлов, представленных в виде дат (год-месяц-число), наличия в структуре повторяющихся папок «Базы 1С 8» и «Документы», а также названий файлов Экспертом делается вывод, что эта папочная структура представляет собой ничто иное, как резервные копии Документов и Баз данных 1С, предположительно, имеющих отношение к названиям компаний, фигурирующим в именах файлов. Данные копии создавались программой архиватором (предположительно «7-Zip») в течение четырех месяцев (с апреля по июль) 2016 года: в апреле – 8 раз, в мае – 11 раз, в июне – 2 раза, в июле – 4 раза. По имеющейся в файловой системе раздела с меткой тома «data» НЖМД «250Gb» информации, папка «Архив баз 1С и документов» со всей вложенной в нее структурой папок и файлов была удалена при следующих значениях системной даты и времени компьютера: «**-**-**» и «*-**».

На основании выше изложенного Экспертом делается вывод по третьему вопросу: на ПК (Объект 1) с НЖМД «250Gb» производилось удаление баз данных 1С.

По четвертому вопросу

На основании перечисленных в четвертом вопросе поисковых фраз Экспертом был сформулирован список Терминов, по его мнению, более подходящих для поиска.

Среди данных, восстановленных с накопителей информации обоих объектов исследования, для каждого Термина из сформированного списка произведен поиск файлов, содержащих данный термин в имени файла. Для части Терминов были найдены файлы, содержащие соответствующий термин в имени. Перечень Имен файлов (с указанием пути) по каждому из списка Терминов содержится в файле-отчете вида «Термин.txt». Все файлы помещены в папку “\Результаты поиска\поиск по именам файлов\..” и подлежат передаче принимающей стороне вместе со всеми остальными результатами экспертизы.

Среди данных, восстановленных с накопителей информации обоих объектов исследования, для каждого Термина из сформированного Экспертом списка произведен поиск файлов, содержащих данный термин в теле файла. Для части Терминов были найдены файлы, содержащие соответствующий Термин. Отчет о результатах поиска Терминов в содержимом файлов представлен в таблице «Поиск по содержимому.xlsx» (15392 строки) с перечнем:

• искомых Терминов, которые были найдены в содержимом файлов;
• имен файлов (с указанием пути) соответствующих вхождению термина;
• дат и времени создания найденных файлов;
• дат и времени последнего редактирования найденных файлов;
• количества вхождений искомого Термина в данный файл.