Как судебные эксперты восстанавливают файлы на носителях?

Можно ли заставить компьютер вспомнить все? Ответ на этот вопрос знают специалисты отдела технических экспертиз Управления Государственного комитета судебных экспертиз Республики Беларусь по Брестской области, которые оказывают Фемиде особое содействие: помогают восстанавливать утраченные компьютерные данные.  

Упомянутый отдел объединяет порядка трех десятков специалистов самого широкого диапазона и разнообразия профилей  осуществляющих строительно-технические, товароведческие, автотовароведческие и автотехнические, а также экономические экспертизы. В этом же списке значатся и эксперты, чья обязанность  - проведение компьютерно– технических экспертиз и экспертиз радиоэлектронных устройств.

Сомнительные носители

Обилию разнообразных носителей информации на рабочем столе заместителя начальника отдела Сергея Шуки позавидует самый продвинутый компьютерщик. Сюда они попадают от правоохранителей на основании постановлений о назначении экспертиз: для одних требуется компьютерно-техническая экспертиза, объектами которой являются системные блоки, ноутбуки, карты памяти, флешки и прочие носители информации, для других - экспертиза радиоэлектронных устройств.

У каждого предмета своя история: один из них сам может быть объектом преступного посягательства (например, чья-то украденная собственность), другой способен хранить цифровые следы преступной деятельности.

Задача Сергея Шуки и его коллег – восстановить в максимально возможном объеме информацию, которую, в попытках замести следы нарушения закона, с носителей пробовали удалить. 

- Компьютерно-технические экспертизы у нас проводятся с 2008 года. В прошлом году мы получили допуск на производство экспертиз и радиоэлектронных устройств. Поле деятельности самое широкое – от электродетонаторов взрывных устройств до электроудочек, мобильных устройств, устройств для разблокировки автомобильных сигнализаций, металлоискателей, приемной и передающей радиоаппаратуры и даже техники, чье предназначение не установлено – поясняет, улыбаясь, Сергей Шука.

На вопрос «Какую информацию обычно удаляют?» мой собеседник затрудняется ответить однозначно: всякую, разнообразную,  одним словом ответить нельзя. Опять же восстановление удаленной информации подразумевает множество направлений – соответственно,  информацию графическую, текстовую, видеоинформацию, бухгалтерские базы данных, программы и учеты. Так, запросы по последнему названному виду экспертиз поступают практически каждый месяц, проверять приходится как государственные, так и частные структуры.

Особо памятен Сергею Шуке случай проверки информационных носителей женщины-предпринимательницы, от действий которой пострадало множество людей: недобросовестная «бизнес-леди» за изготовление памятников брала предоплату, однако либо не изготавливала их вовсе, либо с большой временной задержкой.

На данном этапе больше всего заявок на экспертизы поступает по уголовным делам, связанным с незаконным распространением наркотических веществ.

В связи с этим экспертам приходится давать ответы на множество вопросов, касающихся  историй и времени посещений Интернет-ресурсов, определения самых посещаемых веб-страничек, извлечения электронной переписки из мобильных устройств, где могут храниться следы преступной деятельности.

«Мы выдаем полный перечень сайтов, которые посещались, и на основании сделанных заключений сотрудники по наркоконтролю либо следователи проводят дальнейшие действия», - говорит Сергей Шука.

Кажется невероятным, но факт: иногда наркоту прячут ... на место этих самых сомнительных информационных носителей: однажды в отдел привезли ноутбук для назначенной компьютерно– технической экспертизы. Стали его разбирать, чтобы извлечь носитель информации, сняли крышку в нижней части ноутбука, и тут вдруг обнаружилось, что самого носителя там нет, а на месте его крепления находится пакет с кристаллическим порошкообразным веществом. Результат последующей химической экспертизы подтвердил: найденное  вещество оказалось наркотическим.

Информации не спрятаться

Число осуществляемых сотрудниками отдела исследований растет пропорционально увеличению находящейся в обращении техники, предназначенной для сохранения и передачи информации. Только с 1 января нынешнего года здесь произведено 195 компьютерно-технических экспертиз и 180 экспертиз радиоэлектронных устройств. В этом году в мае отдел уже успел выполнить прошлогоднюю норму – такое же их общее количество за 2014 год. Специфика работы такова, что один сотрудник способен одновременно осуществлять экспертизы в отношении сразу нескольких носителей.

«Часть исследования не требует участия эксперта. Системный блок или ноутбук мы даже не включаем: извлекаем сам носитель информации, подключаем его к адаптеру, одновременно блокируем доступ на запись. Тем самым мы не изменяем находящуюся здесь информацию и не перегружаем операционные системы», - поясняет мой собеседник.

Длительность проведения отдельных экспертиз достигает месяца – если, к примеру, речь идет о жестком диске объемом три терабайта.

Интересный момент: зачастую долгая и кропотливая работа никогда не проходит насмарку. Все, что изымается следователями либо оперативными работниками, содержит следы преступной деятельности. Другое дело – бывали случаи, когда хозяева изъятой техники с этой деятельностью никак не были связаны.

- В одном из районных центров нашей области несколько лет назад началась серия разбойных нападений и грабежей. Эти преступления долгое время оставались нераскрытыми. И вдруг в местный районный отдел милиции поступает записка с напечатанным текстом, в котором содержались не только угрозы, в том числе и в адрес работников милиции, но и признание в совершении этих преступлений. Неизвестный утверждал, что его не поймают. Однако в результате проведенной дактилоскопической экспертизы при обработке листа бумаги были найдены следы пальцев рук некоего гражданина. Тот был задержан, но категорически отрицал причастность к разбоям и грабежам: листа бумаги, возможно, где-то и касался, но ничего противозаконного не совершал, ничего не печатал. Естественно, у оперативных работников возник закономерный вопрос – на чем печатали записку? У самого подозреваемого не было ни принтера, ни компьютера, ни ноутбука. Тогда изъяли системный блок у его подруги – там и обнаружился полный текст этой записки в трех местах, – вспоминает Сергей Шука.

В основном в отделе исследуют мобильные устройства - планшеты, мобильные телефоны, смартфоны и так далее. Системный блок компьютера, информационный носитель ноутбука также часто попадают в руки эксперта. Но не обходится в служебной деятельности и без исключений. Майор юстиции демонстрирует на первый взгляд обыкновенные часы, напоминающие командирские. 

- За циферблатом был размещен дополнительный электронный носитель и это еще не все: под стеклом крышки – сразу в глаза не бросается – там, где цифра «6», – находится «глазок» миниатюрной видеокамеры. Сейчас она не снимает, но такая функция есть. Эти часы могут снимать фото, видео, вот это аккумулятор, который заряжается, а здесь вставляется карта памяти до 32 гигабайт. Тут есть и встроенная память на четыре гигабайта, и разъем для подключения и зарядки через кабель  – демонстрирует чудо техники эксперт. По его словам, широкое распространение таких часов ограничено, использовались они для скрытой съемки, а извлеченная информация носила противоправный характер. 

Потеряли? Восстановим!

Остается отметить, что в отдел технических экспертиз все чаще обращаются обычные граждане. Поводом служат банальные житейские ситуации, возникающие постоянно сплошь и рядом.

К примеру, готовит студент курсовую или дипломную работу, случайно удаляет либо неудачно перезаписывает текст  - пропадает результат его труда. Или при копировании с заполненной карты памяти исчезают фотографии и видеофайлы. В этих случаях знания сотрудников отдела в области высоких технологий, исследовании компьютерной техники, мобильных устройств, а также самое современное оборудование ведущих мировых производителей помогают восстановить утерянную информацию.

Стоимость данной процедуры для граждан зависит от количества затраченного времени: восстановление на небольших флеш-накопителях или картах памяти стандартных носителей – фотоаппаратов, телефонов и так далее – потребует приблизительно два-три часа работы эксперта, что ориентировочно обойдется в 300 – 400 тысяч белорусских рублей.    

Источник

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя savely

Остается отметить, что в отдел технических экспертиз все чаще обращаются обычные граждане. Поводом служат банальные житейские ситуации, возникающие постоянно сплошь и рядом.

Бардак, IMHO... Они и так там в общем-то "дети" (в плане - работают вполне стандартным по нынешним временам чисто софтом типа R-Studio) с нехилой нагрузкой, так еще и "халтурят" на "обычных гражданах". 

В общем - работает только для "дурных" граждан, у которых "там и обнаружился полный текст этой записки в трех местах"

Аватар пользователя mike

СудМЕДэкспертиза носителей? Оригинально!  :)

(Я бы сменил заголовок.)

Аватар пользователя SlavaII

"потребует приблизительно два-три часа работы эксперта, что ориентировочно обойдется в 300 – 400 тысяч белорусских рублей."

Я беру дороже...

Аватар пользователя mike

О, заголовок изменили; теперь более-менее. :)

Аватар пользователя mike

Но если накопитель твёрдотельный и умышленно прочищен, то на нём никто ничего не восстановит. :)

Аватар пользователя Dmitry

О, заголовок изменили

А в адресной строке осталось "kak-sudmedeksperty-vosstanavlivayut-faily-na-nositelyakh".

За замену адресной строки материалов, которые попадают в RSS, можно получить а-та-та от новостной службы Яндекса

Аватар пользователя Dmitry

За замену адресной строки материалов

Я в курсе), поэтому никогда не меняю заголовки.

Аватар пользователя Loza

как судебные зксперты восстанавливают файлы на носителях...

Системный блок или ноутбук мы даже не включаем: извлекаем сам носитель информации, подключаем его к адаптеру, одновременно блокируем доступ на запись...

Аватар пользователя mike

Над заголовком надо думать. В т.ч. и при перепечатке. Каждый раз. Это аксиома.

Также следует критически относится к источнику, править его стилистику.

Зачастую ... работа никогда не проходит насмарку.

Так "зачастую" или "никогда"? Гыгы.

Ну и журналистам следовало бы знать, что далеко не всега данные можно восстановить. Даже на HDD. Не говоря уже о стёртых данных в облаках.

Страницы