Судебная компьютерно-техническая экспертиза №1500 по уголовному делу № 20*6*34***, 2006 год
Исследование содержимого сервера, системных блоков и жестких дисков
Оборудование
- Три системных блока, изъятых в ходе обыска в фирме «******» 06.04.06г;
- Сервер, изъятый **.**.06г. в ходе обыска в фирме ООО «******»;
- Следующие жесткие диски, являющиеся объектами исследования:
№ п/п |
Тип оборудования |
Производитель |
Модель |
Серийный номер |
1.1 |
Жесткий диск |
Seagate |
ST380020A |
5GCO**** |
1.2 |
Жесткий диск |
Seagate |
5MR**** |
|
2.1 |
Жесткий диск |
Seagate |
5MR3**** |
|
2.2 |
Жесткий диск |
Seagate |
5MR3**** |
|
3.1 |
Жесткий диск |
Seagate |
ST120026AS |
3JT3**** |
3.2 |
Жесткий диск |
Seagate |
ST120026AS |
3JT3**** |
3.3 |
Жесткий диск |
Seagate |
ST120026AS |
3JT3**** |
4.1 |
Жесткий диск |
Western Digital |
WD800JB-00JJCO |
WMAM9D*****0 |
4.2 |
Жесткий диск |
Seagate |
3JV1**** |
|
5.1 |
Жесткий диск |
Western Digital |
WMAM9D4***** |
На разрешение технической судебной экспертизы поставлены следующие вопросы
- Имеется ли в памяти трёх системных блоков и сервере, представленных Вам на экспертизу текстовые файлы, принадлежащие фирме ООО «******»?
- Имеется ли в памяти трёх системных блоков и сервере, представленных Вам на экспертизу бухгалтерские документы (программа 1С бухгалтерия), принадлежащие фирме ООО «******»?
- Происходило ли уничтожение, модификация, блокировка, копирование компьютерной информации – текстовые файлы и файлы 1С бухгалтерия, принадлежащие фирме ООО «******» г. ******* на трёх системных блоках и сервере (указать на каком из системных блоков) , а также нарушение работы ЭВМ, системы ЭВМ или их сети? В чем это выразилось?
- Возможно ли восстановление указанных файлов, если да, то просим восстановить данную информацию.
- Имеется ли в памяти жёсткого диска, представленного Вам на экспертизу текстовые файлы, принадлежащие фирме ООО «******»?
- Имеется ли в памяти жёсткого диска, представленного Вам на экспертизу бухгалтерские документы (программа 1С бухгалтерия), принадлежащие фирме ООО «******»?
- Происходило ли уничтожение, модификация, блокировка, копирование компьютерной информации – текстовые файлы и файлы 1С бухгалтерия, принадлежащие фирме ООО «******» г. ******* на жёстком диске?
- Возможно ли восстановление файлов, ранее находящихся на жёстком диске, если да, то просим восстановить данную информацию.
Экспертом назначен: Мочалов Вячеслав Сергеевич.
Методика исследования
Исследование проведено на основе:
- специальных знаний о принципах хранения данных на магнитных цифровых носителях (в частности на жестком диске);
- владения специализированным программным обеспечением для восстановления утерянных и удаленных данных с цифровых носителей;
- практических навыков восстановления утерянной и удаленной информации с цифровых носителей;
- владения средствами автоматического поиска данных по маске с анализом содержимого файлов.
В ходе проведения исследования экспертом применялись следующие методы:
- применение частных методик восстановления информации, основанных на профессиональном опыте и теоретических знаниях о принципах хранения данных на жестком диске;
- использование средств автоматического поиска данных по маске с анализом содержимого файлов;
Описание процесса исследования
В ходе исследования анализировалось содержание жестких дисков, являющихся объектами исследования, посредством поиска данных по маске с анализом содержимого файлов. Производилось восстановление информации путём поиска остатков существовавших когда-либо разделов на носителях, поиска дескрипторов файлов, входящих в состав файловой системы, поиска файлов по типу заголовка файлов на входящих в состав файловой системы, а также путем сборки текстовых фрагментов в различных кодировках с указанных носителей на носители DATARC.
В составе восстановленной информации содержатся файлы и папки, существовавшие в файловых системах к моменту последнего выключения питания системных блоков, представленных в качестве материалов уголовного дела, а также файлы и папки, удаленные к тому времени.
Восстановленная информация рассортирована по папкам, название которых совпадает с надписями на стикерах, маркирующих жесткие диски – объекты исследования.
Выводы
По первому вопросу
Экспертом установлено, что в памяти трёх системных блоков и сервере, представленных на экспертизу, имеются текстовые файлы, в которых используется название ООО «******» в качестве атрибута «владелец документа». Таким образом, можно сделать вывод, что данные на представленных носителях являются собственностью ООО «******».
По второму вопросу
Экспертом установлено, что в памяти трёх системных блоков и сервере, имеются бухгалтерские документы. В частности установлено программное обеспечение торговой марки «1С:Бухгалтерия».
В памяти системного блока «1500(1)», найден установленный и используемый продукт торговой марки «1С:Бухгалтерия».
В памяти системного блока «1500(2)», найдены документы в формате программного продукта «Microsoft Word» и «Microsoft Excel», объеденные общим названием (названием папки) «Бухгалтерия».
В памяти системного блока «1500(4)» найден установленный и используемый продукт торговой марки «1С:Бухгалтерия».
В памяти сервера «1500(3)», найдены бухгалтерские базы данных программного продукта торговой марки «1С:Бухгалтерия».
В памяти трёх системных блоков и сервере, представленных на экспертизу найдены документы в формате программного продукта «Microsoft Word» и «Microsoft Excel», а также текстовые файлы в формате ANSI и ASCII, имеющие отношение к бухгалтерии, бухгалтерским отчетам, и документы, объединенные общим названием (названием папки) «Бухгалтерия».
По третьему вопросу
Экспертом не было выявлено использование каких-либо специальных средств для уничтожения, модификации (с целью скрытия информации), блокировки текстовых файлов и файлов торговой марки «1С:Бухгалтерия», принадлежащих ООО «******» г.******* на представленных трёх системных блоках и сервере.
Экспертом было определено, что даты переустановки всех операционных систем на предоставленных носителях приходятся на январь 2006 года. Также на носителях имеются удаленные разделы, на которых имеются бухгалтерские документы. Располагая такой информацией, можно сделать один из следующих выводов:
- Это была плановая переустановка систем с перераспределением используемого дискового пространства.
- Это была спланированная операция с целью скрытия информации, находившейся на носителях.
Более точный вывод сделать невозможно.
По четвертому вопросу
Вся информация с предоставленных носителей на момент передачи эксперту, была восстановлена и перенесена на носитель DATARC.
По пятому вопросу
Экспертом в памяти жёсткого диска, представленного на экспертизу, текстовых документов, принадлежащих фирме ООО «******» найдено не было.
По шестому вопросу
Экспертом в памяти жёсткого диска, представленного на экспертизу, бухгалтерских документов (программы 1С Бухгалтерия), принадлежащих фирме ООО «******», найдено не было.
По седьмому вопросу
Экспертом не было выявлено использование каких-либо специальных средств для уничтожения, модификации (с целью скрытия информации), блокировки текстовых файлов и файлов торговой марки «1С:Бухгалтерия», принадлежащих ООО «******» г.******* на представленном жестком диске.
По восьмому вопросу
Для ответа на выше поставленные вопросы была произведена процедура восстановления информации с предоставленного жесткого диска. Восстановленная информация также перенесена на носитель DATARC.