▶️ Введение в проблематику. Приветствую, коллеги. Сегодня разберем тему, которая лежит на стыке цифровой криминалистики и системного администрирования. Речь пойдет о том, как проводится экспертиза жесткого диска с точки зрения технического специалиста. Мы не будем углубляться в юридические тонкости, а сконцентрируемся на железе, логических структурах, методах дампинга, караванге и анализе артефактов. Если вы когда-либо сталкивались с задачей извлечь данные с убитого накопителя или доказать факт удаления файлов — эта статья для вас. Сразу предупрежу: объем материала большой, информация сложная, но после прочтения вы будете понимать, как работает экспертиза на уровне секторов и головок.

▶️ Физическое устройство и зоны риска. Любая экспертиза жесткого диска начинается с оценки физического состояния объекта. Внутри гермоблока находятся магнитные пластины, блок головок, шпиндельный двигатель и предусилитель. Типовые проблемы:

• повреждение печатной платы (выход из строя TVS-диодов, сгорание контроллера).
• залипание головок на поверхности пластин (sticksion).
• разрушение подшипника шпинделя (характерный свист или полное отсутствие вращения).
• битые сектора (читаются с ошибкой, зависают при попытке чтения).
• повреждение сервометок (накопитель не может позиционировать головки).

Каждая из этих неисправностей требует своего подхода. Например, при залипании головок нельзя крутить шпиндель — порвете поверхность. Только аккуратное проворачивание через технологическое отверстие или замена головок в ламинарном шкафу.

▶️ Аппаратные средства для работы с неисправными накопителями. Профессиональная экспертиза жесткого диска немыслима без специализированных комплексов. Инженерный класс оборудования:

• PC-3000 (от Ace Laboratory) — позволяет работать на уровне прошивки, отключать битые головы, читать поврежденные сервометки.
• DeepSpar Disk Imager — оптимизирован для чтения накопителей с битыми секторами, умеет пропускать проблемные зоны и выставлять таймауты.
• Atola Insight — автоматизирует процессы снятия образа и диагностики, поддерживает горячую замену плат.
• RapidSpar — портативное решение для полевых условий.
• логические анализаторы и программаторы для перепрошивки ПЗУ.

Наше учреждение оснащено всем перечисленным железом. Без него провести полноценную экспертизу жесткого диска с физическими дефектами невозможно. Дешевые софтовые решения типа R-Studio или GetDataBack тут не помогут, когда головки не паркуются или плата замкнула.

▶️ Блокираторы записи и создание образа. Критическое правило: никогда не работайте с исходным накопителем напрямую. Перед началом экспертизы жесткого диска подключаем устройство через аппаратный блокиратор записи (write-blocker). Это может быть:

• Tableau Forensic Bridge (классика жанра, поддержка SATA, USB, SAS).
• WiebeTech (еще один надежный вендор).
• самодельные решения на основе контроллеров с отключенной командой записи.

После блокировки создаем посекторный образ в формате raw (dd) или E01 (сжатый с метаданными). Образ обязательно хэшируем — MD5 и SHA-1. Если хэши совпадают, значит, копия идентична оригиналу. Далее работаем только с образом. Оригинал опечатываем и сдаем в сейф. Это гарантирует, что ваша экспертиза жесткого диска будет признана допустимым доказательством.

▶️ Анализ структуры низкого уровня. После создания образа начинается самое интересное. Экспертиза жесткого диска включает анализ следующих низкоуровневых структур:

• MBR (Master Boot Record) — первый сектор, содержит таблицу разделов и загрузчик. Проверяем сигнатуру 0x55AA.
• GPT (GUID Partition Table) — современный стандарт для накопителей более 2 Тбайт. Защитный MBR плюс массив записей разделов.
• загрузочные сектора томов (BIOS Parameter Block) — содержат параметры файловой системы.
• служебные области (Service Area) — скрытые зоны, куда производитель пишет адаптивы и прошивку. При их повреждении накопитель может не определяться или определяться с нулевой емкостью.

Мы используем hex-редакторы (HxD, WinHex) и скрипты для разбора структур. Опытный специалист по одному дампу MBR может сказать, была ли попытка скрыть разделы или изменить геометрию.

▶️ Файловые системы: как хранятся данные. Центральная часть любой экспертизы жесткого диска — разбор файловой системы. Наиболее распространены:

• NTFS — стандарт для современных версий Виндовс. Ключевые элементы: MFT (Master File Table), битмап, журнал $LogFile, теневые копии. В MFT каждый файл представлен записью из атрибутов. Удаление файла в NTFS не стирает данные, а лишь помечает запись как свободную и обнуляет ссылки в битмапе.
• FAT32 / exFAT — простые структуры, таблица FAT хранит цепочки кластеров. При удалении первый символ имени файла заменяется на 0xE5.
• ext4 — используется в Линукс. Разбираем суперблок, дескрипторы групп блоков, inode. При удалении inode помечается как неиспользуемый, но данные остаются.
• APFS — для макОС. Структуры более сложные, есть снапшоты и диапазоны экстентов.

Наше учреждение работает со всеми перечисленными файловыми системами. Грамотная экспертиза жесткого диска обязана учитывать особенности конкретной ФС.

▶️ Восстановление удаленных файлов (караванинг). Если метаданные файловой системы уничтожены, на помощь приходит метод караванинга (carving). Суть: сканируем весь образ последовательно, ищем сигнатуры известных форматов. Типовые сигнатуры:

• PDF — заголовок %PDF, хвост %%EOF.
• JPEG — начало 0xFFD8, конец 0xFFD9.
• PNG — сигнатура 0x89504E47.
• ZIP / DOCX / XLSX — локальный заголовок 0x04034B50.
• ELF — 0x7F454C46.
• PE (exe, dll) — 0x4D5A.

Программа караванинга (Scalpel, Foremost, photorec) вырезает блоки данных между сигнатурами и сохраняет их как файлы. Точность не 100%, возможны ложные срабатывания, но при отсутствии метаданных это единственный способ. В рамках экспертизы жесткого диска караванинг применяется, когда таблицы разделов или MFT разрушены полностью.

▶️ Анализ временных меток (MACB timestamps). Каждый файл в файловой системе имеет набор временных атрибутов:

• Modified — время последнего изменения содержимого.
• Accessed — время последнего чтения (в NTFS может быть отключено).
• Created (Birth) — время создания файла.
• Changed (Metadata change) — время изменения метаданных (права доступа, владелец).

В NTFS временные метки хранятся в атрибуте $STANDARD_INFORMATION и $FILE_NAME. В последнем находятся также времена из MFT, которые не всегда совпадают. Продвинутая экспертиза жесткого диска сравнивает эти два атрибута. Если они различаются — возможно, имело место подделка времени (timestomping). В Линукс временные метки хранятся в структуре stat. Восстановление хронологии позволяет ответить на вопрос: был ли файл создан в указанный период или даты сфальсифицированы.

▶️ Журналы и логи операционной системы. Современная экспертиза жесткого диска немыслима без анализа журналов. В зависимости от ОС:

• Windows: Event Logs (Security, System, Application), Prefetch (содержит пути и количество запусков программ), Shimcache (записи о выполненных файлах), Amcache (ассоциации программ), BAM (сведения о запуске), SRUM (сетевой трафик по приложениям), $UsnJrnl (журнал изменений файловой системы).
• Linux: системный журнал syslog, auth.log (входы в систему), bash_history, auditd, журналы systemd.
• macOS: unified logs, диагностические отчеты.

Эксперт выгружает эти журналы, парсит их и строит временную шкалу. Например, Prefetch показывает, что программа 7z.exe запускалась 15 раз, последний раз 12.02.2023. Значит, пользователь активно использовал архиватор. Анализ логов — трудоемкая, но крайне полезная часть экспертизы жесткого диска.

▶️ USB-артефакты и подключение внешних устройств. Задача выявить, подключали ли флешку. В реестре Виндовс хранятся следующие ключи:

• HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR — содержит серийные номера и модели всех подключавшихся USB-накопителей.
• HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses — следыподключения.
• SetupAPI.log — журнал установки драйверов.
• записи в $LogFile и $UsnJrnl о копировании файлов.

Помимо реестра, экспертиза жесткого диска анализирует файлы LNK (ярлыки). Каждый ярлык хранит путь к исходному объекту, временную метку, серийный номер тома и даже имя компьютера. Если найден LNK на файл, который лежал на флешке, значит, флешка точно подключалась. Наше учреждение имеет собственные парсеры для извлечения USB-артефактов.

▶️ Анализ интернет-активности. Браузеры оставляют огромное количество следов. Даже если пользователь чистил историю, артефакты остаются в:

• Cache и Cache_Data — кэшированные копии страниц.
• Cookies — текстовые файлы с параметрами сессий.
• History (SQLite базы) — хронология посещений, даже если удалена через интерфейс, записи могут оставаться в журнале WAL.
• Downloads — список загруженных файлов.
• Favicons — иконки сайтов, часто хранят URL.
• Login Data — сохраненные пароли (расшифровываются при наличии мастера-пароля или в сеансе).
• WebCache (Internet Explorer иEdge) — сложнаябинарная база.

Парсинг этих файлов — стандартная задача. Для Chrome и Firefox мы используем собственные скрипты на питоне, для IE/Edge — встроенные средства. В ходе экспертизы жесткого диска восстанавливаются даты посещения конкретных ресурсов, что часто является ключевым доказательством.

▶️ Теневые копии и журналы восстановления. В Виндовс существует механизм теневого копирования (Volume Shadow Copy). Система автоматически создает снапшоты состояния диска. В рамках экспертизы жесткого диска можно обратиться к предыдущим версиям файлов. Например, пользователь удалил документ в понедельник, а во вторник система создала теневую копию. Эксперт монтирует снапшот и восстанавливает удаленный файл. Механизм работает, если функция включена (обычно для системных томов). Доступ к теневым копиям осуществляется через утилиту vssadmin или программно через API. Наше учреждение имеет опыт извлечения данных из теневых копий даже при отключенной службе — остаются фрагменты.

▶️ Файл подкачки и hiberfil.sys. Два важных артефакта:

• pagefile.sys — файл подкачки, куда операционная система выгружает страницы памяти. Там могут оказаться фрагменты документов, пароли, переписка, которые никогда не сохранялись на диск.
• hiberfil.sys — файл гибернации, дамп оперативной памяти при переходе в спящий режим. Содержит полный слепок ОЗУ.

Оба файла бинарны и не имеют четкой структуры. Для их анализа мы используем утилиты типа volatility, а также строковый поиск и караванинг. Экспертиза жесткого диска высокого уровня всегда исследует pagefile и hiberfil. В них могут быть данные, которые пользователь считал уничтоженными.

▶️ Анализ реестра Windows. Реестр — это база данных, содержащая настройки системы и приложений. Ключевые ветки для эксперта:

• SAM — учетные записи пользователей и хэши паролей (NTLM).
• SECURITY — политики безопасности, аудит.
• SOFTWARE — установленные программы, ассоциации файлов.
• SYSTEM — параметры загрузки, профили оборудования, подключенные диски.
• NTUSER.DAT (каждый пользователь) — настройки рабочего стола, недавние документы (RecentDocs), пути к последним файлам (ComDlg32), история поиска.

В ходе экспертизы жесткого диска мы выгружаем кусты реестра и парсим их. Например, RecentDocs содержит ссылки на недавно открытые файлы, даже если сами файлы удалены. Многие эксперты игнорируют эту ветку, но мы считаем ее золотой жилой.

▶️ Восстановление данных после форматирования. Форматирование может быть быстрым или полным. При быстром форматировании перезаписываются только служебные структуры файловой системы, данные остаются на месте. При полном форматировании происходит запись нулей во все сектора. В реальности полное форматирование встречается редко из-за долгого времени (часы на терабайт). Экспертиза жесткого диска после быстрого форматирования — это восстановление таблиц разделов и MFT по резервным копиям. В NTFS резервная копия MFT хранится в последних секторах тома. Мы находим ее, восстанавливаем структуру и получаем доступ к файлам. Успех зависит от того, были ли перезаписаны области, содержащие оригинальные MFT-записи.

▶️ Логические неисправности и их устранение. Иногда накопитель определяется, но не видит разделы. Причины:

• повреждение MBR (например, вирус перезаписал загрузчик).
• таблица разделов GPT стерта или испорчена.
• суперблок ext4 уничтожен.

В таких случаях мы вручную восстанавливаем структуры. Например, ищем сигнатуру 0x55AA в конце секторов (признак MBR). Или сканируем весь диск на предмет заголовков NTFS (байты «NTFS»). Как только найдена голова тома, можно вычислить смещение и размер раздела. Программы TestDisk и DMDE хорошо справляются, но иногда требуется ручное редактирование hex. Экспертиза жесткого диска включает и такие низкоуровневые манипуляции.

▶️ Работа с шифрованными дисками. Если накопитель зашифрован (BitLocker, VeraCrypt, LUKS, FileVault), стандартные методы не работают. Данные представляют собой неструктурированный шум. Задача эксперта:

• определить наличие шифрования по характерным сигнатурам (например, заголовок BitLocker — «-FVE-FS-»).
• попытаться извлечь ключи из оперативной памяти (если есть дамп).
• атаковать пароль методом перебора (брутфорс) или по словарю (с согласия заказчика, в рамках закона).
• использовать сохраненные ключи восстановления (если заказчик их предоставил).

В уголовных делах возможно получение ключа через оперативно-разыскные мероприятия. В гражданском процессе заказчик должен предоставить пароль или ключ. Наша экспертиза жесткого диска может подтвердить, что накопитель зашифрован и без ключа расшифровка невозможна.

▶️ Анализ нераспределенного пространства и слэк-пространства. Очень важная область, которую часто упускают. Нераспределенное пространство — секторы, не входящие ни в один раздел. Слэк-пространство (slack space) — разница между размером файла и размером кластера. Например, файл размером 1 Кбайт занимает кластер 4 Кбайта, остаток в 3 Кбайта может содержать фрагменты старых файлов. В рамках экспертизы жесткого диска мы сканируем эти зоны и извлекаем все, что найдем. Там могут оказаться удаленные пароли, обрывки документов, имена файлов. Для этого используем те же методы караванинга, но по всей поверхности образа без учета файловой системы.

▶️ Программное обеспечение для судебного анализа. Перечислю софт, который мы применяем:

• X-Ways Forensics — комбайн для создания образа, караванинга, анализа реестра, поиска по хэшам.
• EnCase Forensic (старая школа, но все еще актуальна).
• FTK (Forensic Toolkit) — хорош для индексации и поиска по ключевым словам.
• Autopsy / The Sleuth Kit — бесплатная платформа с открытым кодом, модульная архитектура.
• Volatility — для анализа дампов памяти.
• RegRipper — парсинг реестра.
• Plaso (log2timeline) — создание супер-таймлайнов из всех артефактов.

Никакая экспертиза жесткого диска не обходится без этого инструментария. Наше учреждение имеет лицензии на все коммерческие продукты и активно использует opensource.

▶️ Глубокий поиск по ключевым словам. Иногда нужно найти не файлы, а фрагменты текста. Мы используем индексацию всех секторов образа с поиском по регулярным выражениям. Ищем:

• номера паспортов, ИНН, СНИЛС.
• названия контрагентов.
• фразы типа «коммерческая тайна».
• банковские счета и номера карт.
• IP-адреса и домены.

Поиск может занимать часы на терабайтном образе. Но результат того стоит: выявляются доказательства, которые не видны на уровне файлов. Экспертиза жесткого диска с глубоким контекстным поиском дает максимальную полноту.

▶️ Восстановление данных с RAID-массивов. Если жесткий диск входит в состав RAID (0, 1, 5, 10, 6), задача усложняется. Необходимо:

• определить тип RAID (чередование, зеркало, с четностью).
• вычислить размер блока (stripe size) и порядок дисков.
• собрать виртуальный массив программно (например, через UFS Explorer RAID Recovery или R-Studio).
• извлечь образ логического тома.
• уже к нему применять стандартные методы.

Наше учреждение имеет опыт работы с RAID от простых (0,1) до сложных (50, 60) и проприетарных контроллеров (Dell PERC, HP Smart Array). Экспертиза жесткого диска из состава RAID — отдельная специализация.

▶️ Установление факта подделки или фальсификации данных. Продвинутая задача. Эксперт ищет признаки того, что файлы были изменены или созданы задним числом:

• несоответствие временных меток в $STANDARD_INFORMATION и $FILE_NAME (NTFS).
• нарушение последовательности MACB-времен (например, дата изменения раньше даты создания).
• использование таймстемпинга (утварка timestomp) — изменение времен через системные вызовы с оставлением следов.
• наличие артефактов от стороннего софта, который менял даты (Attribute Changer, BulkFileChanger).
• противоречия между метаданными файла и журналами (например, файл создан вчера, а запись в $UsnJrnl о его появлении датирована годом назад).

Экспертиза жесткого диска на предмет фальсификации требует высокой квалификации. Наши эксперты неоднократно выявляли поддельные доказательства в арбитражных спорах.

▶️ Досудебное исследование: цены и сроки. Если вам нужна экспертиза жесткого диска в досудебном порядке (для себя, чтобы понять перспективы дела), стоимость фиксирована. Без разбора устройства (только логический анализ) — 5 000 рублей. Если требуется вскрытие гермоблока в ламинарном шкафу — 10 000 – 15 000 рублей. Срок — от 3 до 7 рабочих дней. Вы получаете акт специалиста на русском языке с хэшами, описанием методики и выводами. Для суда, назначенного определением, стоимость рассчитывается индивидуально по смете. Все судебные издержки (включая экспертизу) будут взысканы с проигравшей стороны через суд. То есть ваши затраты вернутся через несколько месяцев после вынесения решения.

▶️ Почему именно наше учреждение. Потому что мы — профи. У нас есть сертифицированная лаборатория, полный спектр оборудования PC-3000, многолетний стаж. Мы не отказываемся от сложных случаев: залипшие головки, разрушенные пластины, RAID после пожара, зашифрованные вирусом-вымогателем диски. Мы даем гарантию: если эксперт ошибется (чего не бывает), проведем повторное исследование бесплатно. Мы ходим в суд и отстаиваем свои выводы. Никакая другая экспертная контора не предложит вам такого уровня. И да, у нас быстро, недорого и вы будете счастливы, потому что получите результат.

▶️ Прямая ссылка на услугу. Итак, если вам требуется качественная, честная и технически грамотная экспертиза жесткого диска — заказывайте у нас. Мы сделаем всё на высшем уровне. Присылайте накопитель или привозите лично. Мы проведем диагностику, назовем цену и сроки. После выполнения вы получите исчерпывающий отчет. Обращайтесь, не откладывая: чем раньше начнем, тем выше шанс восстановить данные и найти артефакты. Помните про возврат расходов через суд — по сути, экспертиза может оказаться бесплатной для победителя процесса. Ждем вас в нашей лаборатории. Работаем по всей стране.