Недооцінені джерела доказів, які можуть бути використані під час проведення комп’ютерно-технічної експертизи

 

Три недооцінених джерела доказів, які можуть бути використані під час проведення комп’ютерно-технічної експертизи: судові експерти НДЦНСЕ провели майстер-клас для замовників досліджень 

 

НДЦНСЕ у колаборації з Асоціацією правників України провели перший із піврічного циклу майстер-клас, присвячений особливостям призначення комп’ютерно-технічних експертиз у кримінальних провадженнях. 

 

Експерти Відділу комп’ютерно-технічних та телекомунікаційних досліджень НДЦНСЕ, зокрема, розповіли про особливості дослідження мобільних пристроїв на операційних системах Android та iOS та визначили три недооцінених джерела доказів, які можуть бути використані під час проведення комп’ютерно-технічної експертизи.

 

«У сучасній комп’ютерно-технічній експертизі більшість уваги зазвичай приділяється вмісту цифрових носіїв ‒ документам, фотографіям, відео  та іншим файлам користувача. Але є й інші важливі напрямки, які часто недооцінюють. Один із них ‒  аналіз метаданих  на рівні MFT (Master File Table) центральної структури файлової системи NTFS, яка містить записи про кожен файл, директорію або навіть метафайл (наприклад, $MFT, $LogFile, $Bitmap). Відомості із MFT та інші системні артефакти  в комплексі можуть значно доповнити загальну картину подій», ‒  зазначив судовий експерт Артем Костюк.

 

Метадані ‒  це дані про інші дані. Вони описують, що таке дані, як, коли і ким вони були створені, де зберігаються, які мають характеристики, і як з ними працювати.

 

Окрім аналізу вмісту файлів та метаданих необхідно також звертати увагу на інформацію, яка міститься у записах MFT, важливим джерелом інформації під час комп’ютерно-технічної експертизи є файли реєстру  операційної системи Windows.

 

Реєстр ‒  це ієрархічна база даних, у якій зберігається велика кількість службової інформації про налаштування системи, встановлені програми, облікові записи користувачів  і навіть історію їхніх дій.

 

Ще одним надзвичайно важливим, але часто недооціненим джерелом інформації під час комп’ютерно-технічної експертизи є логи (log)  або журнали подій. Це спеціальні файли, у яких операційна система фіксує всі значущі події, що відбуваються на комп’ютері. Журнали подій містять інформацію про запуск і завершення роботи комп’ютера, входи в систему та виходи з неї, встановлення і видалення програм, підключення до мережі, зміни в системних налаштуваннях, помилки, оновлення й багато іншого. Такі записи створюються автоматично і постійно оновлюються в процесі роботи системи.

 

Володіння інформацією про ці додаткові джерела доказів допоможе замовникам експертиз більш грамотно формулювати питання перед експертами, що, у свою чергу, підвищить якість досліджень та сприятиме більш повному відновленню обставин у кримінальних провадженнях.

 

  

 

«Ми прагнемо, щоб адвокати, слідчі та судді бачили ширший спектр можливостей комп’ютерно-технічної експертизи. Адже нерідко саме другорядні на перший погляд дані стають вирішальними доказами», ‒ заявив керівник НДЦНСЕ Андрій Свінцицький.