Независимая компьютерно-техническая экспертиза № 18001, 2013 г.

Исследование почтового контейнера outlook

Объект исследования

файл “ppppppppp.pst”, переданный на CD-R S/N:***********.

На разрешение компьютерно-технической экспертизы поставлены следующие вопросы

1. Присутствует ли в данном контейнере переписка между владельцами адресов электронных ящиков [email protected] и [email protected] ?
2. Подтвердить в хронологическом порядке достоверность писем, адресов электронных почтовых ящиков обоих адресатов, информацию о дате и времени отправки сообщений, сведения о серверах почты с которых осуществлялась отправка, изложить содержание писем и их вложений.
3. Распечатать и заверить переписку между адресатами.

Экспертом назначен: Мочалов Вячеслав Сергеевич

Методика исследования

Исследование проведено на основе:

• специальных знаний о принципах хранения данных на цифровых;
• практических навыков восстановления утерянной и удаленной информации с цифровых носителей;
• владения средствами автоматического поиска данных по маске в файловой системе и внутри файла, в том числе, с анализом содержимого файлов;
• владения специальными знаниями о принципах работы программных средств: операционных систем, почтовых серверов и почтовых клиентских программ.

В ходе проведения исследования специалистом применялись следующие методы:

• применение частных методик восстановления информации, основанных на профессиональном опыте и теоретических знаниях о принципах хранения данных на цифровых носителях;
• использование средств автоматического поиска данных по маске с анализом содержимого файлов;
• Анализ содержимого служебных заголовков электронных писем.

В ходе исследования проводился анализ содержимого почтового контейнера Outlook, предоставленного на экспертизу. Были изучены служебные заголовки писем RFC-822, содержащие необходимую для ответа на поставленные вопросы информацию.

Выводы

По первому вопросу

В почтовом контейнере ppppppppp.pst обнаружено 18 (Восемнадцать) “Входящих” электронных писем с отправителем “Ззззззззз”, отправленных с электронного ящика [email protected] на адрес электронной почты [email protected] для получателя “Ппппппппп”.

В почтовом контейнере ppppppppp.pst обнаружено 21 (Двадцать одно) “Отправленное” электронное письмо с отправителем “Ппппппппп”, отправленное с электронного ящика [email protected] на адрес электронной почты [email protected] для получателя “[email protected]”.

По второму вопросу

Для удобства все исследуемые письма пронумерованы порядковыми номерами от 1 до 39. Все файлы, вложенные в данные письма также пронумерованы порядковыми номерами от 1 до 16. На основании исследования служебных заголовков писем, подготовлены выводы по второму вопросу экспертизы, представленные в табличном виде.

Исследование служебных заголовков позволило установить почтовые сервера отправителя писем:

• письма №№ 1-18 – “mail.****.ru” (IP-адрес: **.***.***.*);
• письма №№ 19-39 – “mail.*-*.ru” (IP-адрес: ***.***.*.**)
• Письма №№ 2, 5, 6, 7, 10, 14, 17 и 18 содержат вложения – файлы следующих типов: *.doc, *.docx, *.pdf.

Содержимое всех файлов соответствует названным типам, корректно отображается в программах Microsoft Word 2007 и Adobe Reader.

Содержимое всех вложений распечатано в неизмененном состоянии, письменно заверено Мочаловым В.С. на каждом листе по формату: “Вложение №, стр.№ из №, Распечатано Мочаловым В.С. Подпись. Печать”, где № вложения соответствует номеру, указанному в пятом столбце Таблицы 1.

Все распечатанные и заверенные вложения №№1-16 приложены к данному заключению и передаются ХХХ “Хххххххххх”.

По третьему вопросу

Содержимое всех писем распечатано в неизмененном состоянии, письменно заверено Мочаловым В.С. на каждом листе по формату: “Письмо №, стр.№ из №, Распечатано Мочаловым В.С. Подпись. Печать””, где № письма соответствует номеру, указанному в первом столбце Таблицы 1.

В распечатанных письмах отображены значения полей “От”, “Дата отправления”, “Кому”, “Тема”, а также перечислены названия вложенных файлов.