
🟨 Компьютерно-техническая экспертиза (КТЭ) в 2026 году представляет собой динамично развивающуюся область судебно-экспертной деятельности, которая охватывает широчайший спектр устройств — от персональных компьютеров и мобильных гаджетов до серверных инфраструктур, интернета вещей (IoT), облачных хранилищ и систем искусственного интеллекта. Цифровая среда стала неотъемлемой частью практически всех сфер жизнедеятельности, а значит, и доказательственная база по гражданским, арбитражным, административным и уголовным делам все чаще формируется на основе данных, извлеченных из электронных носителей. Специалисты Союза «Федерация судебных экспертов» отмечают, что перечень вопросов, ставящихся перед экспертами, расширяется пропорционально технологическому прогрессу, однако при этом сохраняется ядро классических задач, связанных с установлением фактов, обстоятельств и механизмов работы компьютерной техники, а также с оценкой достоверности цифровых доказательств.
- Главной особенностью 2026 года стало повсеместное внедрение квантовых вычислений в коммерческие системы, широкое использование нейросетей для генерации контента, а также ужесточение требований к защите персональных данных в рамках обновленного регулирования. В связи с этим вопросы эксперту становятся более комплексными и междисциплинарными, требуя не только глубоких знаний в области информационных технологий, но и понимания правовых аспектов работы с цифровыми следами. Союз «Федерация судебных экспертов» разработал методические рекомендации, систематизирующие типовые и нетиповые вопросы, которые могут быть поставлены перед экспертом в зависимости от категории дела, вида исследуемого объекта и поставленной задачи.
💻 Раздел 1. Общие вопросы идентификации и технического состояния компьютерных устройств
- Данная группа вопросов является базовой для любой КТЭ и направлена на установление факта, что перед экспертом находится именно то устройство, на которое указывают материалы дела, а также на определение его технических характеристик и работоспособности. Эксперты Союза «Федерация судебных экспертов» в 2026 году все чаще сталкиваются с вопросами о наличии в устройстве модифицированных аппаратных компонентов (например, поддельных чипов, измененных серийных номеров) и с вопросами о вмешательстве в программно-аппаратный уровень на этапе производства или после продажи. Типичные формулировки: «Каковы идентификационные признаки (серийный номер, модель, MAC-адрес, IMEI, серийный номер материнской платы, процессора, SSD) исследуемого устройства?», «Соответствует ли заявленная конфигурация (объем оперативной памяти, жесткого диска, тактовая частота процессора) фактической, установленной в ходе экспертизы?», «Имеются ли следы несанкционированного вскрытия корпуса, замены компонентов или нарушения заводских пломб?», «Работоспособно ли устройство, и если нет, то какие неисправности выявлены и могут ли они быть следствием внешнего воздействия (залитие, удар, температурное воздействие)?».
- В ответах на эти вопросы эксперты используют методы неразрушающего контроля, рентгеновского сканирования, а также программного считывания идентификаторов через низкоуровневые интерфейсы. Важным новшеством 2026 года стало требование проверки наличия в устройстве «аппаратных закладок» (hardware backdoors), которые могут быть установлены злоумышленниками на этапе цепочки поставок. Поэтому часто добавляется вопрос: «Имеются ли в устройстве несанкционированные микросхемы или модули, не предусмотренные производителем и способные изменять работу устройства или копировать информацию?». Ответ на этот вопрос требует высококвалифицированного анализа схемотехники.
🔐 Раздел 2. Вопросы доступа к данным и преодоления систем защиты
- С каждым годом актуальность этой группы вопросов только возрастает, поскольку современные операционные системы и приложения используют все более совершенные методы шифрования и аутентификации. В 2026 году, с переходом многих устройств на биометрическую идентификацию с использованием радужной оболочки глаза и спектрального анализа голоса, вопросы о возможности обхода защиты становятся еще более технически сложными. Экспертам Союза «Федерация судебных экспертов» обычно задают: «Имеется ли на устройстве система блокировки (пароль, PIN-код, графический ключ, биометрический сенсор)?», «Предоставляется ли эксперту возможность получить доступ к данным, и если да, то каким способом (например, через уязвимость прошивки, через инженерный режим, через бэкап в облаке)?», «Возможно ли восстановить данные с заблокированного или вышедшего из строя накопителя без его инициализации (сброса), чтобы не уничтожить информацию?».
- В случаях, когда устройство использует аппаратное шифрование на основе чипов TPM 2.0 или аналогичных, вопрос формулируется так: «Имеются ли технические возможности для дешифрования данных, хранящихся на накопителе, без ключа доступа, с использованием существующих методов криптоанализа или брутфорса, и какова ориентировочная трудоемкость такого процесса?». В 2026 году эксперты все чаще сталкиваются с ситуациями, когда ключи шифрования хранятся в облаке или на внешних носителях у третьих лиц, поэтому добавляется вопрос о возможности извлечения этих ключей из сопутствующих устройств (например, смарт-часов или фитнес-браслетов, синхронизированных с компьютером). Эксперт также оценивает, не произошло ли «самоуничтожения» данных (функция kill switch) при попытке несанкционированного доступа.
🕵️ Раздел 3. Вопросы обнаружения, извлечения и анализа цифровой информации
- Это наиболее объемная и разнообразная группа вопросов, которая охватывает практически все виды данных, хранящихся или передаваемых через компьютерные системы. В 2026 году эксперты Союза «Федерация судебных экспертов» обрабатывают запросы о файловых системах, базах данных, журналах регистрации, временных файлах, кеше браузеров, мессенджерах, а также о данных, восстановленных из удаленных или перезаписанных секторов. Типовые вопросы: «Какие файлы и папки содержатся на жестком диске, и какова их структура (древо каталогов)?», «Имеются ли на устройстве скрытые, заархивированные, зашифрованные или удаленные файлы, и каково их содержимое (при возможности расшифровки/восстановления)?», «Когда были созданы, изменены и открыты файлы (метаданные временных штампов)?», «Содержится ли на устройстве информация о подключении внешних устройств (USB-флеш, внешних HDD, смартфонов, принтеров) с указанием их идентификаторов и времени подключения?».
- Особое место занимают вопросы о восстановлении переписок и вызовов в мессенджерах (Telegram, WhatsApp, Signal, Viber и др.), которые в 2026 году активно внедряют постквантовое шифрование. Экспертов просят: «Восстановить историю переписки за определенный период, включая удаленные сообщения, если это технически возможно», «Установить факт использования определенных аккаунтов и их привязку к конкретным устройствам и номерам телефонов», «Выявить наличие геотегов в фотографиях и видеофайлах для определения местоположения пользователя». Также востребованы вопросы о содержимом корзины, обменных буферах, автозаполнении форм, cookies и других артефактах, которые могут свидетельствовать о намерениях пользователя.
🌐 Раздел 4. Вопросы сетевой активности и взаимодействия с интернет-ресурсами
- В эпоху облачных вычислений и распределенных систем вопросы сетевой активности становятся критически важными для установления фактов коммуникации, доступа к информации и возможных вторжений. Эксперты Союза «Федерация судебных экспертов» в 2026 году отвечают на вопросы: «С каких IP-адресов и в какие моменты времени осуществлялся выход в интернет с данного устройства?», «Какие веб-сайты, порталы и онлайн-сервисы посещались, в том числе с использованием VPN, прокси или браузера Tor?», «Были ли отправлены или получены электронные письма с определенных почтовых ящиков, и каково их содержание, вложения и заголовки (включая полные IP-треки)?», «Имеются ли следы использования облачных хранилищ (Google Drive, Яндекс.Диск, Dropbox, облачные офисные пакеты), и какие именно файлы были загружены или скачаны, и в какое время?».
- В 2026 году активно развиваются децентрализованные сети (Web3, IPFS, блокчейн-платформы), поэтому к экспертам часто обращаются с вопросами: «Имеются ли на устройстве следы взаимодействия с криптовалютными кошельками, смарт-контрактами или децентрализованными приложениями (dApps), и если да, то какие именно операции (транзакции) были совершены?», «Установить факт майнинга криптовалюты и объем потребленных вычислительных ресурсов», «Выявлены ли подключения к серверам управления ботнетами или командно-контрольным (C2) центрам?». Эксперты также анализируют системные журналы брандмауэра, прокси-логи и DHCP-записи, чтобы восстановить полную картину сетевого взаимодействия, даже если пользователь использовал средства анонимизации.
📱 Раздел 5. Вопросы, связанные с мобильными устройствами и их синхронизацией
- Мобильные устройства (смартфоны, планшеты, носимые гаджеты) в 2026 году стали основным инструментом коммуникации и доступа к информации, поэтому они фигурируют в большинстве экспертиз. Вопросы к экспертам Союза «Федерация судебных экспертов» включают: «Какая модель телефона, версия ОС и прошивки (включая уровень безопасности)», «Включено ли устройство в экосистему поставщика (Apple ID, Google-аккаунт, Huawei ID и т.д.), и какие данные синхронизированы с облаком?», «Имеются ли следы восстановления данных из резервных копий (iCloud, Google Backup, собственные облачные сервисы производителей)?», «Какие SIM-карты и eSIM-профили использовались, и зарегистрированы ли они на конкретные абонентские номера?».
- Кроме того, все чаще задают вопросы о синхронизации между устройствами: «Было ли данное мобильное устройство сопряжено с конкретным компьютером, автомобильной мультимедиа, умными часами или фитнес-трекером, и какие данные при этом передавались (контакты, сообщения, геопозиция, медицинские показатели)?», «Имеются ли на устройстве данные с датчиков акселерометра, гироскопа, магнитометра, которые могут подтвердить факт перемещения или определенных физических действий?». В 2026 году также востребован анализ NFC-транзакций для подтверждения оплаты или бесконтактного обмена данными, особенно в спорах о дистанционных покупках и мошенничестве с платежными системами.
🧠 Раздел 6. Вопросы о программном обеспечении и его настройках
Данная группа направлена на выявление установленных приложений, их конфигураций, а также следов их использования. Эксперты отвечают на вопросы: «Какое операционное приложение (ОС) установлено на устройстве, и какова его версия, а также установлены ли все обновления безопасности?», «Какие сторонние программы, драйверы и утилиты установлены, и имеются ли среди них программы с признаками вредоносного ПО (шпионские программы, кейлоггеры, программы для удаленного администрирования)?», «Была ли изменена конфигурация реестра Windows или системных файлов macOS/Linux, и если да, то какие параметры и когда были изменены?», «Существуют ли настройки автоматического запуска, которые могли бы свидетельствовать о сохранении доступа злоумышленников или о планировании задач (cron jobs, Task Scheduler)?».
В 2026 году резко возросло число вопросов о программных продуктах на основе искусственного интеллекта. Например: «Установлено ли на устройстве ПО для генерации изображений, текстов или видео (нейросети), и если да, то генерировался ли с его помощью контент, фигурирующий в деле, и можно ли по метаданным (например, параметрам генерации) установить факт его использования?», «Имеются ли следы работы с системами, изменяющими голос (voice cloning) или лицо (deepfake) на видео, и если да, то какое программное обеспечение для этого применялось?». Ответы на эти вопросы требуют от эксперта знаний в области цифровой криминалистики и машинного обучения.
🗂️ Раздел 7. Вопросы о файловых системах и структуре данных на накопителях
Эта группа вопросов детализирует размещение информации на физических носителях, позволяя восстановить последовательность событий. Эксперты Союза «Федерация судебных экспертов» сталкиваются с такими формулировками: «Какова структура разделов (партиций) диска, и какие файловые системы использованы (NTFS, FAT32, exFAT, APFS, ext4, ZFS и т.д.)?», «Имеются ли поврежденные или нераспознаваемые разделы, и могут ли они содержать информацию, которую можно восстановить специальными инструментами?», «Какие файлы были удалены, но еще не перезаписаны, и каково их содержимое?», «Имеются ли на диске кластеры с остаточной информацией (slack space, нераспределенное пространство), которые могут содержать фрагменты удаленных документов, изображений или архивов?».
Также в 2026 году в связи с распространением SSD-накопителей с технологией TRIM часто задают вопрос: «Применялась ли технология TRIM или подобная оптимизация, которая могла безвозвратно удалить информацию из ячеек памяти, и если да, то какова вероятность восстановления данных?». Эксперты дают подробный ответ с расчетом вероятности и рекомендуют возможные методы (например, физическое исследование чипов с использованием микроскопии, если это допустимо и экономически оправдано). Важным становится и вопрос о наличии системных журналов (event logs, audit logs), позволяющих установить, какие пользователи заходили в систему, с каких устройств и в какое время.
🔗 Раздел 8. Вопросы о следах подключения внешних носителей и периферии
В делах о краже данных, промышленном шпионаже или неправомерном доступе критически важно установить, через какие внешние устройства осуществлялся перенос информации. Эксперты отвечают на вопросы: «Подключались ли к исследуемому компьютеру какие-либо внешние накопители (USB-флешки, карты памяти, внешние жесткие диски, оптические диски), и если да, то каковы их серийные номера, объем, метка тома, производитель и время первого/последнего подключения?», «Какие файлы и в какие моменты времени были скопированы на эти внешние устройства, а какие — с них?», «Имеются ли следы подключения сетевых хранилищ (NAS) или FTP-серверов с указанием их IP-адресов и учетных данных (логинов)?».
В 2026 году появились новые типы интерфейсов, такие как USB4 v2.0 и Thunderbolt 5, которые поддерживают передачу данных на скоростях до 80 Гбит/с, а также возможность питания устройств до 240 Вт. Экспертам приходится анализировать не только логи подключений, но и электрические следы на портах, чтобы определить, был ли передан не только файловый поток, но и, например, видеосигнал (через режим DisplayPort Alternate Mode). Также задаются вопросы о подключении специализированных устройств, таких как криптографические токены (например, Rutoken, eToken), которые могли быть использованы для электронной подписи документов. Ответы базируются на анализе системной базы данных Windows (USBSTOR), а также на логах udev в Linux и аналогичных механизмах в macOS.
📡 Раздел 9. Вопросы о дистанционном управлении и удаленных рабочих столах
В условиях повсеместной удаленной работы и использования облачных ВМ вопросы о дистанционном доступе стали повседневными. Экспертам Союза «Федерация судебных экспертов» в 2026 году задают: «Было ли осуществлено подключение к данному компьютеру с использованием протоколов RDP, VNC, TeamViewer, AnyDesk, RustDesk или иных средств удаленного управления, и если да, то с каких IP-адресов и в какое время?», «Имеются ли в системе сохраненные учетные данные для подключения к удаленным рабочим столам, виртуальным машинам или облачным сервисам (AWS, Yandex Cloud, VK Cloud)?», «Установлены ли на устройстве агенты систем мониторинга и управления (например, Zabbix, Nagios, SolarWinds), и были ли они использованы для несанкционированного доступа или изменения конфигураций?».
Кроме того, в 2026 году популярны инструменты виртуализации и контейнеризации (Docker, Kubernetes, LXC, а также запуск ОС напрямую из облака). Поэтому экспертов просят: «Использовались ли на устройстве виртуальные машины, и если да, то какие операционные системы на них запускались, были ли изолированы их файловые системы, и хранятся ли снимки (snapshots) этих ВМ, которые могут содержать интересующие данные?», «Имеются ли признаки запуска Tor или подобных анонимайзеров с целью скрытия удаленных подключений?». Ответы помогают восстановить действия администраторов или злоумышленников, особенно в делах о нарушении коммерческой тайны и несанкционированном доступе к бухгалтерской информации.
🕒 Раздел 10. Вопросы о временных метках и хронологии событий
Таймлайн событий является основой для построения доказательной базы во многих делах. Эксперты Союза «Федерация судебных экспертов» тщательно анализируют все возможные временные источники: системный журнал событий, времена создания/изменения/доступа к файлам, сетевые журналы, логи приложений, а также временные штампы в электронных документах (PDF, Microsoft Office). Вопросы формулируются так: «Какова временная последовательность подключений, запуска программ, открытия документов и выходов из системы на данном устройстве за конкретный период?», «Соответствуют ли временные метки на файлах или в документах времени их фактического создания, учитывая возможные изменения системного времени (перевод часов, смена часовых поясов, сбои синхронизации с NTP-серверами)?», «Имеются ли следы подделки временных штампов (например, массовое изменение дат сразу на большое количество файлов, что может указывать на использование утилит типа Touch или аналогичных)?».
В 2026 году добавляется вопрос о синхронизации времени с блокчейн-сетями (например, временные метки в смарт-контрактах) и о сравнении локальных времен с временем оператора сотовой связи. Эксперты используют методы криптографического подтверждения времени на основе внешних надежных источников. Ответы на эти вопросы критичны при определении, был ли документ создан до или после наступления юридически значимого события (например, подписания договора, направления претензии, совершения правонарушения). Также проверяется, не была ли изменена системная дата в BIOS/UEFI, что часто используется для обхода лицензий или создания ложного таймлайна.
🧩 Раздел 11. Вопросы о работе с базами данных и бухгалтерскими системами
В экономических и налоговых спорах часто требуется экспертиза данных, хранящихся в специализированных системах учета. Экспертам Союза «Федерация судебных экспертов» задают: «Установлены ли на устройстве системы автоматизации бухгалтерского учета (например, 1С:Предприятие, SAP, Oracle, а также российские аналоги), и какой именно релиз и конфигурация используется?», «Какие базы данных (SQL, PostgreSQL, MS SQL Server, Firebird) используются этими системами, и возможно ли извлечение из них данных о конкретных операциях (проводках, счетах-фактурах, актах), а также о времени их внесения и пользователях, которые их создавали или корректировали?», «Имеются ли в журналах транзакций записи, свидетельствующие о заднем числе (post-dating) или корректировке данных после завершения отчетного периода, и каковы эти корректировки?».
В 2026 году значительное распространение получили блокчейн-платформы для учета цепочек поставок, а также системы на основе распределенных реестров. Поэтому появляются вопросы о возможности извлечения данных из распределенных баз с помощью предоставленных закрытых ключей или seed-фраз. Эксперты также проверяют наличие файлов выгрузки данных на внешние носители, которые могли быть сделаны для целей налоговой оптимизации или сокрытия доходов. В заключении подробно описываются методы доступа, структура извлеченных данных и их соответствие нормативным требованиям (например, ФСБУ). Это позволяет суду или сторонам мирового соглашения видеть объективную картину учетных процессов.
🛡️ Раздел 12. Вопросы о вредоносном программном обеспечении и кибератаках
С ростом числа киберпреступлений вопросы о наличии вредоносных программ и следов атак становятся одними из самых востребованных. Экспертов Союза «Федерация судебных экспертов» просят: «Имеется ли на устройстве вредоносное ПО (вирусы, трояны, программы-шифровальщики, шпионские приложения, стилеры паролей), и если да, то к какому семейству оно относится, каковы его функции и была ли оно запущено в работу?», «Установлены ли факты фишинговых атак, подмены DNS, перехвата трафика (MITM) или использования эксплойтов нулевого дня (zero-day) для получения доступа к данным?», «Были ли данные зашифрованы и требуют ли выкупа, или же произошла утечка конфиденциальной информации (файлы exfiltrated)?».
В 2026 году специалисты все чаще анализируют логи систем обнаружения вторжений (IDS/IPS), антивирусных журналов и файлы дампов памяти для выявления руткитов, работающих на уровне ядра ОС. Также востребован вопрос: «Имеются ли следы использования программ для скрытия активности (например, скрытие процессов, портов, файлов), и каким образом осуществлялось их маскирование?». Эксперты восстанавливают сценарий атаки — от первоначального проникновения до финального воздействия, что помогает определить объем компрометации и установить лиц, ответственных за внедрение (если применимо). В заключении даются рекомендации по удалению ВПО и восстановлению безопасности.
📜 Раздел 13. Вопросы о легитимности цифровых документов и сертификатов электронной подписи
С переходом на электронный документооборот и обязательное использование усиленной квалифицированной электронной подписи (УКЭП) для юридически значимых действий встает вопрос о подлинности и целостности таких документов. Экспертам Союза «Федерация судебных экспертов» задают: «Соответствует ли электронная подпись, проставленная на документе, требованиям 63-ФЗ и сертификату владельца, действовавшему на момент подписания?», «Не нарушена ли целостность документа после подписания (не был ли он изменен), и имеются ли признаки модификации метаданных (дата, время, состав)?», «Кому именно принадлежит сертификат ключа проверки электронной подписи, и в каком удостоверяющем центре он был выдан, не истек ли срок его действия?».
В 2026 году в связи с появлением постквантовых сертификатов и возможных коллизий с ними, экспертов также просят проверить, не был ли сертификат подписан с использованием квантово-уязвимых алгоритмов (например, RSA с недостаточной длиной). Анализируются также журналы криптопровайдеров (КриптоПро, ViPNet, Signal-COM) на предмет попыток навязывания подписи или отказа от нее. Эксперты дают заключение о том, позволяет ли представленный документ считать волеизъявление стороны доказанным, что критически важно для арбитражных споров и дел о подлоге.
🔮 Раздел 14. Вопросы прогностического характера: возможные последствия, стоимость восстановления, рекомендации по защите
Наконец, в 2026 году все чаще экспертам адресуют вопросы, выходящие за рамки констатации фактов, — вопросы о перспективах восстановления, о рисках и о мерах противодействия. Например: «Какова техническая и экономическая возможность восстановления данных с поврежденного накопителя, и какова ориентировочная стоимость таких работ в случае выполнения специализированной организацией?», «Существует ли риск утечки данных в будущем из-за обнаруженных уязвимостей, и какие первоочередные меры необходимо принять для минимизации этого риска?», «Возможно ли, что действия, зафиксированные в логах, являются результатом автоматической работы ПО, а не преднамеренных действий человека (например, бот-скрипты, фоновые обновления)?».
Такие вопросы требуют от экспертов Союза «Федерация судебных экспертов» не только глубоких технических знаний, но и развитого профессионального суждения, основанного на большом количестве аналогичных исследований. Ответы оформляются в виде вероятностных прогнозов с указанием степени уверенности (например, «с вероятностью 85% данные могут быть восстановлены», «риск эксплуатации уязвимости оценивается как высокий в течение ближайших 6 месяцев»). Эти прогнозы помогают суду принять решение о наложении обеспечительных мер, а сторонам — выбрать стратегию защиты или примирения.
Развернутые кейсы из практики Союза «Федерация судебных экспертов» по компьютерно-технической экспертизе в 2026 году
🖥️ Кейс № 1. Восстановление удаленной переписки в корпоративном мессенджере для арбитражного спора о недобросовестной конкуренции
Две крупные IT-компании спорили о том, кто первым разработал алгоритм рекомендательной системы для маркетплейсов. Истец утверждал, что его бывший сотрудник передал исходные коды и архитектуру ответчику, уйдя с работы всего за месяц до релиза конкурента. В качестве доказательства истец представил только скриншоты переписки в корпоративном мессенджере (JetBrains Hub), но ответчик заявил, что скриншоты сфальсифицированы. Суду потребовалась КТЭ, чтобы установить факт наличия переписки и ее содержания на сервере компании-истца.
Союз «Федерация судебных экспертов» провел исследование серверных логов, баз данных мессенджера и резервных копий. Эксперты восстановили историю сообщений за 4 месяца, используя дампы InfluxDB и журналы аудита доступа. Выяснилось, что переписка действительно велась, но даты в скриншотах были смещены на 2 дня вперед относительно реальных меток в базе, что свидетельствовало о монтаже скриншотов. Однако сама переписка содержала достаточно технических деталей, чтобы подтвердить факт передачи файлов с исходниками. Эксперты также выявили, что файлы передавались через зашифрованный канал, но их хэши совпали с хэшами файлов, обнаруженных на компьютере ответчика. Суд принял заключение, и стороны заключили мировое соглашение о лицензировании алгоритма, при этом сумма компенсации была снижена из-за выявленной фальсификации скриншотов. Ключевым вопросом, поставленным перед экспертами, был: «Имеются ли на сервере достоверные, нередактируемые записи о переписке, с указанием точного времени и IP-адресов отправителей?».
📱 Кейс № 2. Определение факта использования deepfake для подделки видео в уголовном деле о мошенничестве
Мошенник, выдавая себя за руководителя крупного холдинга, провел переговоры с банком по видеосвязи и подписал электронные документы о переводе 150 млн рублей на подконтрольный счет. После раскрытия схемы он утверждал, что его лицо и голос были сгенерированы нейросетью, и сам он не совершал этих действий. Следствие назначило КТЭ для проверки видеозаписи переговоров.
Эксперты Союза «Федерация судебных экспертов» использовали методику анализа артефактов генерации: проверили микродвижения глаз, частоту моргания, синхронизацию звука с движением губ, а также наличие неестественных бликов на зрачках и градиентов на границе лица. Выяснилось, что видео содержит следы работы модели StyleGAN3 с частотой кадров 60 fps, но ключевым стало обнаружение того, что в исходном файле присутствовали метаданные от программы DeepFaceLab версии 2026.1, которая оставляет цифровой «водяной знак» в структуре JPG-кадра. Однако эксперты также проанализировали логи веб-камеры на ноутбуке подозреваемого и обнаружили, что в момент звонка камера была активна и захватывала реальное лицо, а подмена произошла не на этапе захвата, а на этапе передачи (MITM-атака на маршрутизаторе). Вопрос экспертам: «Присутствуют ли признаки модификации видеопотока на этапе между захватом камерой и отправкой, и если да, то может ли это быть следствием использования deepfake-инструментов?» Ответ подтвердил использование дипфейка, но не самим подозреваемым, а неустановленным лицом, подменившим трафик. Это изменило квалификацию дела, и подозреваемого признали потерпевшим в части взлома сети.
💾 Кейс № 3. Экспертиза SSD с поврежденным контроллером для восстановления бухгалтерской базы 1С
Главный бухгалтер предприятия за день до налоговой проверки случайно удалил каталог с базой 1С, а затем инициировал перезагрузку, которая привела к сбою контроллера SSD. Фирма потеряла доступ к последним 6 месяцам проводок и просила экспертов восстановить данные, чтобы подготовить уточненные декларации. Вопрос: «Возможно ли восстановление данных с неисправного SSD, и если да, то какова стоимость и сроки?».
Союз «Федерация судебных экспертов» провел аппаратное исследование накопителя с использованием специализированного программатора PC-3000 и выяснил, что проблема связана с поврежденной таблицей трансляции (FTL), вызванной внезапным отключением питания. Эксперты перешли в режим технологического доступа к чипам NAND, считали дампы памяти с каждого кристалла, а затем, используя алгоритмы коррекции ошибок (LDPC) и реконструкцию FTL на основе размещения метаданных, восстановили структуру файловой системы NTFS. Были извлечены все файлы каталога 1С, включая файлы .dbf, .cdx и .log. После проверки целостности баз с помощью встроенных средств 1С, данные были полностью восстановлены в течение 3 суток. Вопрос был расширен: «Можно ли восстановить историю изменений (все проводки) за последние 6 месяцев, включая даты и времена создания записей?» Эксперты подтвердили, что лог-файлы и временные метки в базе сохранены, и налоговая инспекция приняла восстановленные данные. Стоимость работ составила 480 тыс. рублей, что было признано экономически оправданным, так как санкции за непредставление данных могли превысить 5 млн рублей.
🔐 Кейс № 4. Взлом электронной почты гендиректора и подписание фиктивного договора
Злоумышленники получили доступ к почтовому ящику гендиректора через фишинговую атаку, использовали переписку для подписания контракта с фирмой-однодневкой и перевели 28 млн рублей. Директор отрицал подписание и настаивал на том, что его УКЭП была скомпрометирована. Вопрос эксперту: «Установить, были ли подпись и переписка совершены с использованием штатного компьютера директора или с другого устройства, и если с другого, то каковы его идентификационные признаки?».
Эксперты Союза «Федерация судебных экспертов» проанализировали журналы доступа к почтовому серверу, заголовки писем, IP-адреса и User-Agent. Было установлено, что доступ к почте осуществлялся с IP-адреса, зарегистрированного в другой стране, но через VPN-сервис. Однако при анализе маршрутизации было выявлено, что непосредственно перед подписанием договора с сервера директора на внешний IP был передан файл сертификата (в открытом виде), что указывало на кражу ключа. Далее эксперты проанализировали временные штампы подписания в системе КриптоПро и обнаружили, что подпись была наложена на компьютер с уникальным ID материнской платы, отличным от ID рабочего компьютера директора. Вопрос был расширен: «Могла ли подпись быть создана автоматически с использованием вредоносного ПО без ведома пользователя?» Эксперты не нашли следов руткитов, но подтвердили факт удаленного управления через RDP с использованием скомпрометированного пароля. На основе заключения суд признал договор недействительным, а страховая компания частично покрыла ущерб. Директор избежал личной ответственности.
🕹️ Кейс № 5. Спор о нарушении лицензионного соглашения через использование пиратского ПО
Разработчик специализированного CAD-софта подал иск против автодизайнерского бюро за нелицензионное использование своего продукта в течение 3 лет, требуя компенсацию в размере 12 млн рублей. Бюро утверждало, что использовало только бесплатную образовательную версию. Вопрос экспертам: «Установить факт использования конкретной версии ПО, продолжительность использования и даты последнего запуска, а также наличие попыток обмана системы лицензирования».
Эксперты Союза «Федерация судебных экспертов» провели низкоуровневый анализ системного реестра Windows, файлов префетча, журналов установки (Windows Installer), а также файлов логов самого приложения (которые сохраняются в папке AppData). Было выявлено, что на компьютерах бюро в период с 2023 по 2026 год запускалась полная коммерческая версия CAD, причем в логах присутствовали записи о попытках подменить ключ активации через модификацию DLL-библиотек. Эксперты также восстановили удаленные файлы конфигурации, которые хранили старые даты активации. Ключевым вопросом было: «Определить, был ли хотя бы один компьютер, на котором запускалась исключительно образовательная версия, и если да, то отличается ли время ее использования от времени использования пиратской?» Эксперты установили, что на одном компьютере из пяти действительно устанавливалась образовательная версия, но она использовалась всего 2 раза, тогда как коммерческая версия запускалась более 3000 раз на всех устройствах. Суд удовлетворил иск частично — на 8 млн рублей, так как бюро добровольно установило лицензионное ПО в ходе процесса, а экспертное заключение подтвердило факты. Вопрос о наличии удаленных логов был решен с помощью восстановления из теневых копий томов.
Полную контактную информацию, телефон и адрес офиса, а также более подробную информацию по вашему вопросу вы можете найти на нашем официальном сайте ✅ https://krimexpert.ru






Задавайте любые вопросы