ОБЪЕКТЫ КОМПЬЮТЕРНО-ТЕХНИЧЕСКОЙ ЭКСПЕРТИЗЫ: ТАКСОНОМИЯ, ПРАВОВАЯ ПРИРОДА И МЕТОДОЛОГИЧЕСКИЕ ПАРАМЕТРЫ ИССЛЕДОВАНИЯ

Аннотация.  Настоящая статья посвящена системному научному анализу объектов компьютерно-технической экспертизы (КТЭ) как фундаментальной категории, определяющей границы, содержание и методику данного рода судебно-экспертной деятельности.  Автор аргументирует, что проблема корректной идентификации, классификации и процессуального закрепления объектов является первоосновой любого экспертного исследования в цифровой сфере.  В работе предложена многомерная таксономия объектов КТЭ, построенная на критериях физической природы, логического уровня представления информации, функционального назначения и роли в событии правонарушения.  Детально рассмотрены классы объектов:  аппаратно-технические средства (компьютерные системы, периферийные устройства, компоненты сетевой инфраструктуры, средства хранения данных), программное обеспечение (системное, прикладное, вредоносное), компьютерная информация (данные пользователя, системные данные, сетевой трафик) и их комплексные сочетания (мобильные устройства, веб-ресурсы, киберфизические системы).  Особое внимание уделено правовым режимам, регулирующим статус объектов (вещественное доказательство, иной документ), и критическим методическим требованиям к их изъятию, фиксации и исследованию, обеспечивающим допустимость и достоверность выводов экспертизы.  Материал направлен на формирование единого понятийного аппарата и служит основой для разработки конкретных методик исследования различных классов объектов.

Ключевые слова:  объекты компьютерно-технической экспертизы, классификация, аппаратные средства, программное обеспечение, компьютерная информация, данные, носитель информации, вещественное доказательство, цифровой след, фиксация, хеширование, файловая система.

Введение:  онтологический статус объекта в компьютерно-технической экспертизе

Любая судебная экспертиза определяется через триаду «предмет – объекты – задачи».  Если предмет отвечает на вопрос «что устанавливается?», а задачи – «каким образом?», то объекты компьютерно-технической экспертизы являются материальным субстратом исследования, тем эмпирическим данным, на котором строится вся познавательная деятельность эксперта.  В условиях цифровой среды, где материальная оболочка (устройство) отделена от логической сущности (информации), а сама информация может существовать в копиях без потери тождества, проблема определения объекта приобретает исключительную сложность и актуальность.

Некорректное понимание объектов компьютерно-технической экспертизы на стадии их изъятия, процессуального оформления и постановки вопросов эксперту приводит к фатальным последствиям:  утрате доказательств, невозможности проведения исследования, получению недостоверных выводов и, в конечном итоге, к судебным ошибкам.  Традиционное для криминалистики разделение на вещественные доказательства и документы в цифровой сфере требует глубокой переоценки, так как один физический носитель может содержать миллионы логически независимых «документов» и одновременно сам являться инструментом правонарушения.

Цель данной статьи – построение комплексной, научно обоснованной таксономии объектов компьютерно-технической экспертизы, раскрытие их правовой природы и формулирование методологических принципов работы с ними на всех этапах экспертного процесса.  Такой анализ необходим для преодоления терминологической и методической разрозненности в экспертной практике и формирования единого стандартизированного подхода.

1. Теоретические основы классификации объектов КТЭ: критерии и уровни рассмотрения

Объект компьютерно-технической экспертизы можно определить как материальный или идеализированный (логический) предмет материального мира, содержащий информацию о расследуемом событии и предоставленный эксперту для исследования в установленном процессуальном порядке на основе применения специальных познаний.  Классификация таких объектов не может быть одномерной ввиду их внутренней сложности.

1. 1. Критерий физической природы и способа представления информации:

• Аппаратные (технические) средства:  Физические устройства, способные осуществлять автоматизированную обработку, хранение или передачу информации.  Их исследование направлено на установление технических характеристик, состояния, функциональности, следов воздействия.
• Программное обеспечение:  Совокупность программ, процедур и правил, обеспечивающих обработку данных.  Существует в форме исходного, объектного или исполняемого кода.  Исследуется на предмет функционала, соответствия требованиям, наличия дефектов или вредоносных свойств.
• Компьютерная информация (данные):  Сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их обработки, хранения и передачи.  Существует на физических носителях, но изучается на логическом уровне (содержание, метаданные, взаимосвязи).

1. 2. Критерий логического уровня абстракции (для информации и ПО):

• Физический уровень:  Последовательность битов на секторе накопителя.  Объект исследования при восстановлении данных, анализе неразмеченных областей.
• Уровень файловой системы:  Файлы, каталоги, атрибуты (временные метки, права доступа), логическая структура хранения.  Исследуется для установления фактов создания, копирования, удаления.
• Уровень операционной системы:  Процессы, драйверы, реестр (Windows), журналы событий, дампы памяти.  Объекты, отражающие состояние и активность системы в динамике.
• Уровень прикладного программного обеспечения:  Конкретные документы, базы данных, конфигурационные файлы, кэши приложений.  Несут семантическую нагрузку, непосредственно связанную с деятельностью пользователя.
• Уровень сетевого взаимодействия:  Пакеты данных, потоки трафика, логи сетевых устройств.  Фиксируют факты коммуникации и передачи информации.

1. 3. Критерий функционального назначения и роли в событии:

• Орудие правонарушения:  Устройство или программа, использованные для совершения противоправного действия (компьютер, с которого осуществлена атака; вредоносная программа).
• Объект противоправного посягательства:  Информационная система или данные, на которые было направлено воздействие (взломанный сервер, похищенная база данных).
• Носитель следов (информации) о событии:  Устройство или данные, на которых зафиксированы обстоятельства подготовки, совершения или сокрытия правонарушения (журналы, история браузера, файлы подкачки).
• Средство фиксации события:  Программно-аппаратный комплекс, целенаправленно осуществлявший запись (системы видеонаблюдения, регистраторы сетевого трафика).

2. Детальная характеристика основных классов объектов КТЭ
3. 1. Аппаратно-технические средства.
   Данный класс включает устройства, способные к автоматизированной обработке информации по заданному алгоритму.

• Универсальные вычислительные системы:  Персональные компьютеры (стационарные, ноутбуки), рабочие станции, серверы.  Объектом исследования является как система в целом (конфигурация, состояние), так и ее компоненты в отдельности.
• Компоненты систем хранения данных:  Накопители на жестких магнитных дисках (HDD), твердотельные накопители (SSD), гибридные накопители (SSHD), массивы RAID.  Ключевой объект для извлечения информации.  Исследуются на физическом уровне (дефекты, микропрограмма) и логическом (разделы, файловые системы).
• Сетевые аппаратные средства:  Маршрутизаторы, коммутаторы, межсетевые экралы, точки доступа Wi-Fi.  Объектом исследования являются их конфигурационные файлы, таблицы маршрутизации, журналы работы, прошивки.  Часто требуют специальных познаний в области сетевых технологий.
• Периферийные и специализированные устройства:  Принтеры, МФУ, сканеры (могут хранить временные данные, журналы печати); программируемые логические контроллеры (ПЛК); устройства интернета вещей (IoT) – «умные» камеры, датчики, бытовая техника.  Характеризуются ограниченными ресурсами, проприетарными ОС и интерфейсами.

2. 2. Программное обеспечение.
   Программные объекты существуют в неразрывной связи с аппаратными, но обладают самостоятельной доказательственной ценностью.

• Системное ПО:  Операционные системы, драйверы, системы управления базами данных (СУБД).  Исследуются для понимания среды, в которой функционировали приложения, и анализа системных артефактов (журналы, дампы).
• Прикладное ПО:  Офисные пакеты, графические редакторы, браузеры, мессенджеры, бухгалтерские программы (1С), специализированное программное обеспечение предприятия.  Объектом исследования является их исполняемый код, конфигурационные настройки, пользовательские данные и файлы, создаваемые в процессе работы.
• Вредоносное ПО (малвер):  Вирусы, черви, трояны, ransomware, ботнеты.  Исследуется с целью определения функциональных возможностей (деструктивные действия, кража данных, скрытый майнинг), установления признаков принадлежности к известным семействам, анализа алгоритмов распространения и управления.
• Исходный код программ:  Текстовые файлы, написанные на языках программирования.  Ключевой объект в спорах об авторском праве и соответствии техническому заданию.  Исследуется на предмет заимствований, оригинальности алгоритмов, соблюдения стандартов.

2. 3. Компьютерная информация и данные.
   Это наиболее объемный и значимый класс объектов, ради исследования которого, как правило, и назначается КТЭ.

• Пользовательские данные:  Документы (текстовые, табличные, презентации), мультимедийные файлы (изображения, аудио, видео), архивы, электронная почта, история переписки в мессенджерах.  Несут прямую смысловую нагрузку.
• Системные данные и метаданные:
  • Метаданные файлов:  Временные метки (время создания, модификации, доступа), атрибуты, контрольные суммы, сведения об авторе и программе-создателе (например, в EXIF фотографий).
  • Данные файловых систем:  Записи MFT для NTFS, inode для ext4, содержащие информацию о расположении файлов, их размере и атрибутах.  Позволяют восстанавливать удаленные файлы и анализировать историю операций.
  • Журналы (логи) событий:  Системные журналы ОС (Event Log в Windows, syslog в Linux), журналы приложений, журналы безопасности.  Содержат хронологическую запись событий в системе.
  • Данные оперативной памяти (дампы ОЗУ):  Мгновенный снимок состояния работающей системы.  Содержит запущенные процессы, сетевые соединения, незашифрованные пароли, ключи, фрагменты несохраненных документов.
  • Служебные файлы ОС:  Файл подкачки (pagefile. sys), гибернации (hiberfil. sys), точки восстановления, кэши браузеров и приложений.
• Сетевые данные:
  • Захваченный сетевой трафик (дампы трафика):  Последовательности сетевых пакетов, записанные с помощью анализаторов (sniffer).  Позволяют реконструировать сессии обмена данными, выявить факты атак, установить передаваемое содержимое.
  • Логи сетевых сервисов:  Журналы веб-серверов (access. log, error. log), прокси-серверов, систем обнаружения вторжений (IDS/IPS).

3. Комплексные и гибридные объекты КТЭ

Современные технологии порождают объекты, сочетающие в себе признаки всех вышеперечисленных классов, что требует комплексных методик исследования.

3. 1. Мобильные устройства (смартфоны, планшеты). Являются конвергентными объектами, включающими:

• Аппаратную часть:  Процессор, память (постоянную и оперативную), модули связи (GSM, Wi-Fi, Bluetooth, NFC), сенсоры (GPS, акселерометр).
• Программную часть:  Операционную систему (iOS, Android), приложения.
• Информационную часть:  Контакты, сообщения (SMS, MMS, сообщения мессенджеров), журналы вызовов, мультимедиа, данные геолокации, история посещений, данные приложений (социальных сетей, банковских).
  Особенность исследования – закрытость экосистем, использование шифрования по умолчанию, физическая и логическая защита данных.

3. 2. Веб-ресурсы (сайты, веб-приложения, страницы в социальных сетях). Существуют распределенно (клиент-серверная архитектура), что усложняет их фиксацию как единого объекта.  Включают:

• Серверную часть:  Код (PHP, Python, Java), базы данных, конфигурационные файлы, логи.
• Клиентскую часть:  HTML, CSS, JavaScript, загружаемые на компьютер пользователя.
• Контент:  Текстовое, графическое, видео- наполнение.
  Объектом экспертизы может быть как полная копия (зеркало) сайта, так и отдельные его элементы (исходный код модуля, конкретная публикация).

3. 3. Киберфизические системы и системы интернета вещей (IoT). Устройства, объединяющие вычислительные возможности с физическими процессами.  Объектом исследования являются их прошивки, конфигурации, сенсорные данные, журналы событий.  Сложность заключается в разнообразии архитектур, проприетарности протоколов и часто – в отсутствии стандартных интерфейсов для извлечения данных.
4. Правовая природа и процессуальный статус объектов КТЭ

Определение процессуального статуса объекта напрямую влияет на правила его изъятия, хранения и исследования.

4. 1. Вещественные доказательства. В соответствии со ст.  81 УПК РФ, вещественными доказательствами признаются любые предметы, которые служили орудиями преступления или сохранили на себе следы преступления, а также иные предметы и документы, которые могут служить средствами для обнаружения преступления и установления обстоятельств уголовного дела.  Физическое устройство (компьютер, жесткий диск, смартфон), использовавшееся как орудие или хранящее следы, однозначно относится к вещественным доказательствам.  Для него обязательны правила изъятия, опечатывания, хранения в специальных условиях и приобщения к делу.
5. 2. Иные документы. Компьютерная информация (файл, база данных, электронное письмо), распечатанная или скопированная на отдельный носитель, может быть признана «иным документом» (ст.  84 УПК РФ).  Однако данная квалификация спорна, так как теряется прямая связь с физическим носителем-оригиналом.  Более точным представляется выделение цифровых (электронных) доказательств как самостоятельной категории, требующей особых правил обращения (фиксация хеш-сумм, работа с копиями).
6. 3. Образ (копия) носителя информации. В экспертной практике основным объектом исследования становится не оригинальный носитель, а его посекторная бинарная копия – образ (imprint), целостность которого удостоверяется криптографической хеш-функцией (MD5, SHA-1/256).  Такой образ является производным объектом, но с методической точки зрения он замещает оригинал, позволяя проводить исследование, не рискуя целостностью первоисточника.  Процессуально факт создания образа и его хеш-суммы должны быть зафиксированы в протоколе.
7. Методологические принципы работы с объектами КТЭ на досудебной и экспертной стадиях
8. 1. Принцип неизменности (целостности) исходного объекта. Любые действия по изъятию и исследованию не должны вносить изменения в оригинальные данные.  Реализуется через:

• Физическую и логическую блокировку носителей перед изъятием (использование блокираторов записи, write-blockers).
• Работу исключительно с криминалистическими копиями (образами).
• Сквозное хеширование:  Расчет и документирование контрольных сумм на каждом этапе передачи объекта (при изъятии, при передаче эксперту, после создания образа).

5. 2. Принцип документирования цепочки сохранности (Chain of Custody). Непрерывное документирование лиц, в руках которых находился объект, условий и времени хранения, всех произведенных с ним действий.  Любой разрыв в этой цепи ставит под сомнение допустимость доказательства.
6. 3. Принцип аутентификации и верификации. Эксперт должен удостовериться в том, что представленный ему объект (носитель или образ) действительно является тем, за что он выдается, и не подвергался изменениям.  Это достигается сверкой с описью, проверкой хеш-сумм, анализом метаданных.
7. 4. Принцип соответствия методики объекту исследования. Выбор методики должен быть детерминирован классом объекта, его состоянием и поставленными вопросами.  Исследование данных на SSD требует учета технологии TRIM и износа ячеек памяти, анализ мобильного устройства – знания специфики его файловой системы и защиты.

Заключение

Объекты компьютерно-технической экспертизы образуют сложную, иерархическую и динамично развивающуюся систему, адекватное понимание которой является conditio sine qua non эффективной экспертной деятельности.  Предложенная многокритериальная таксономия, различающая аппаратные средства, программное обеспечение и компьютерную информацию на различных уровнях абстракции, позволяет точно идентифицировать предмет исследования и выбирать адекватные методические средства.

Ключевым вызовом современности является правовое и методическое осмысление гибридных и комплексных объектов (мобильные устройства, IoT), а также развитие стандартов работы с ними, гарантирующих сохранность, допустимость и научную обоснованность получаемых результатов.  Дальнейшее развитие теории КТЭ должно быть направлено на детальную параметризацию каждого класса объектов, разработку типовых алгоритмов их изъятия и фиксации, а также на создание специализированного инструментария, позволяющего эксперту не просто получить данные, но и корректно интерпретировать их в контексте расследуемого события.  Только на основе глубокого онтологического анализа объектов компьютерно-технической экспертизы может быть выстроена robust (устойчивая) и релевантная методология, отвечающая потребностям правосудия в цифровую эпоху.

Новые статьи:

📱 Судебная экспертиза мобильных приложений

Аннотация.  Настоящая статья посвящена системному научному анализу объектов компьютерно-технической экспертизы (КТЭ) как фундаментальной категори…

🗄️ Экспертиза баз данных и систем управления базами данных (субд) как род инженерно-технических исследований

Аннотация.  Настоящая статья посвящена системному научному анализу объектов компьютерно-технической экспертизы (КТЭ) как фундаментальной категори…

🖥️📊 Экспертиза процессов внедрения и сопровождения корпоративных информационных систем (КИС) 

Аннотация.  Настоящая статья посвящена системному научному анализу объектов компьютерно-технической экспертизы (КТЭ) как фундаментальной категори…

📊 Экспертиза систем business intelligence и аналитики 

Аннотация.  Настоящая статья посвящена системному научному анализу объектов компьютерно-технической экспертизы (КТЭ) как фундаментальной категори…

🧠 Экспертиза crm-систем

Аннотация.  Настоящая статья посвящена системному научному анализу объектов компьютерно-технической экспертизы (КТЭ) как фундаментальной категори…