"Форензика. Поиск информации на диске. Информация о файлах"

Помимо самого файла, на диске сохраняется информация об этом файле в различных местах. Когда файл затерт, уничтожен без возможности восстановления, можно тем не менее установить и доказать факт его присутствия в прошлом по этим косвенным данным. Эти данные суть следующие:● копии тела файла и их фрагменты в секторах диска, которые считаются свободными;● заголовок файла в каталоге, а также во всех копиях этого каталога в свободных секторах диска;● упоминания имени и, возможно, некоторых других атрибутов файла в «истории» и логах тех прикладных программ, которые его обрабатывали – редакторов, файл-менеджеров, клиентов электронной почты, архиваторов и т.п.;● временные копии файла, которые создаются программами, которые этот файл редактируют или просматривают;● промежуточные копии файла и его атрибутов, образующиеся при пересылке файла при помощи электронной почты, ICQ, FTP, веб-интерфейса;● архивные копии диска, его отдельных каталогов, реестра, электронной почты и других объектов;● миниатюры (thumbnails), которые создает ОС и некоторые вьюверы (программы просмотра) для ускорения просмотра списка файлов.В некоторых случаях нет необходимости восстанавливать уничтоженную или зашифрованную информацию, достаточно лишь доказать ее наличие на исследуемом диске. Например, по одному делу о нарушении авторских прав на программные продукты было установлено, что подозреваемый держал контрафактные копии программ на криптодиске. Эксперт не смог подобрать ключ для расшифровки. Однако в этом и необходимости не было. Для подтверждения вины требовалось доказать не наличие программ на диске, а их использование подозреваемым. Эксперт обнаружил на диске многочисленные копии каталога криптодиска, записи в реестре, ярлыки (shortcuts) соответствующих программ, данные, обработанные этими программами, – и на этом основании сделал вывод, что программный продукт был установлен на исследуемом компьютере и использовался неоднократно.В другом случае эксперт искал на диске подозреваемого электронные изображения денежных купюр, в подделке которых тот подозревался. Файлы с изображениями купюр оказались затерты без возможности восстановления. Однако сохранились миниатюры (thumbnails), которые автоматически создает ОС для показа списка файлов в каталоге. Для графических файлов миниатюра представляет собой уменьшенное изображение первой страницы. Несмотря на небольшой размер миниатюры, ее содержимое было видно достаточно четко. Эксперимент по созданию такой же миниатюры из большого изображения денежной купюры подтвердил гипотезу. Таким образом, наличие файла с изображением на компьютере подозреваемого было доказано без обнаружения самого файла.

Подключение образа дискаКак указывалось выше, не обязательно изымать на экспертизу диск компьютера целиком. Вполне достаточно снять на месте bit stream-копию или образ этого диска. Исследуя этот образ, можно установить все, что и при исследовании самогó диска (исключение составляет особый вид экспертизы, крайне редко применяющийся в России). Но даже когда эксперту поступает сам магнитный диск, все исследования все равно проводятся над его образом, который снимается в самом начале экспертизы.Образ диска может сниматься на такой же или большего объема диск по принципу «сектор в сектор». Другой, более удобный способ, когда образ диска создается в файле. В первом случае диск-образ физически подключается к лабораторному компьютеру и монтируется в режиме «read-only». Для этого используется команда «mount» с ключом «-r» или «-o ro»; такая команда есть в любой ОС, кроме «Windows». Для «Windows» придется подключать диск через специальное аппаратное устройство дляблокировки записи. Во втором случае (образ в едином файле) подключение диска эмулируется специальной программой. Такие функции есть в «EnCase» и другом экспертном ПО.