🟨 В современном корпоративном мире жесткие диски (накопители) серверов, рабочих станций и ноутбуков сотрудников хранят огромные массивы информации, имеющей критическое значение для бизнеса: бухгалтерские базы, переписку, договоры, конструкторскую документацию, логи доступа, кадровые данные. При корпоративных конфликтах — между участниками ООО, акционерами, топ-менеджерами и компанией, а также при увольнении ключевых сотрудников — нередко возникают ситуации, когда данные с жесткого диска были удалены, зашифрованы, скопированы на внешний носитель или, напротив, их подлинность оспаривается. Компьютерная экспертиза жесткого диска позволяет восстановить удалённую информацию, установить факт копирования, определить время создания, изменения или удаления файлов, выявить подключение внешних устройств, а также обнаружить следы работы вредоносного программного обеспечения или несанкционированного доступа. Настоящая статья подробно раскрывает методологию, инструментарий, правовые аспекты и практические примеры такого рода исследований, проводимых Союзом «Федерация судебных экспертов» .
💾 Раздел 1. Предмет и задачи компьютерной экспертизы жесткого диска
Предметом экспертизы выступают фактические данные, содержащиеся на жестком диске (или ином накопителе — SSD, флеш-накопителе, карте памяти), а также сведения о действиях, совершавшихся с данными и с самим накопителем. Основные задачи, решаемые экспертами Союза «Федерация судебных экспертов» , включают: обнаружение, извлечение и восстановление удалённых файлов (в том числе после форматирования, переустановки операционной системы, повреждения файловой системы); установление факта, времени и способа копирования файлов на внешние носители (флешки, внешние жесткие диски, облачные хранилища); определение времени создания, модификации и последнего доступа к файлам; выявление следов подключения внешних устройств (по USB -логам и файлам реестра); анализ журналов событий операционной системы (логов входа в систему, запуска программ, печати документов); выявление фактов использования программ для шифрования или уничтожения данных; а также идентификация пользователя, работавшего с компьютером в определённое время (по учётным записям, IP -адресам, MAC -адресам). В корпоративном конфликте результаты такой экспертизы часто становятся решающими доказательствами.
🖥️ Раздел 2. Типичные корпоративные споры, требующие экспертизы жесткого диска
В практике Союза «Федерация судебных экспертов» наиболее часто встречаются следующие категории дел: уволившийся IT -директор или бухгалтер утверждает, что передал все корпоративные базы данных, а новый руководитель обнаруживает их отсутствие — экспертиза устанавливает, были ли данные удалены и когда; участник ООО подозревает генерального директора в копировании клиентской базы на личную флешку перед увольнением — экспертиза выявляет факт подключения флешки и копирования файлов; компания обнаруживает утечку коммерческой тайны — экспертиза определяет, с какого компьютера и на какой носитель были скопированы файлы; бывший сотрудник утверждает, что подписал электронный документ, а компания представляет файл с изменённой датой — экспертиза устанавливает реальное время создания файла; в ходе раздела бизнеса один из партнёров обвиняет другого в уничтожении бухгалтерской базы — экспертиза восстанавливает удалённые записи. Во всех этих случаях жесткий диск становится «чёрным ящиком», который эксперт может «прочитать» даже после попыток уничтожения информации.
🔬 Раздел 3. Объекты исследования и порядок изъятия носителя
Объектами исследования являются: сам жесткий диск (оригинал) — HDD, SSD, NVMe; его образ (битовая копия), созданная экспертом; а также внешние устройства, если они изъяты. Критически важно, чтобы накопитель был изъят с соблюдением процессуальных норм (в рамках выемки или обыска) или по добровольному согласию сторон, с составлением протокола. Эксперты Союза «Федерация судебных экспертов» настоятельно рекомендуют: до изъятия компьютеры должны быть выключены штатным образом (или обесточены, если есть риск удаления данных удалённо). Недопустимо включать компьютер с подозрительного диска, запускать с него операционную систему, копировать файлы через проводник — это изменяет метаданные (время доступа, логи). Специалист Союза «Федерация судебных экспертов» производит съём образа диска с помощью специального аппаратного или программного комплекса (например, Tableau, FTK Imager) с вычислением контрольных сумм (MD5, SHA-256) для обеспечения неизменности доказательств. Исследуется именно образ, а не оригинальный диск, что сохраняет оригинал в неизменном виде для возможной повторной экспертизы.
🛡️ Раздел 4. Принцип работы с битовой копией и обеспечение неизменности доказательств
Битовая копия (образ) — это посекторная копия всего накопителя, включая служебные области, удалённые файлы и фрагменты предыдущих записей. Эксперт Союза «Федерация судебных экспертов» подключает оригинальный диск через write-blocker (аппаратный блокиратор записи), который не позволяет операционной системе вносить изменения на диск. Затем создаётся образ на заведомо чистый (стерильный) накопитель, после чего вычисляются хеш-суммы (MD5, SHA-1, SHA-256) как для исходного диска, так и для образа. Совпадение хеш-сумм гарантирует, что образ является точной копией и не был изменён в процессе создания. В заключении эксперт указывает значения этих хеш-сумм, что позволяет суду и сторонам проверить неизменность доказательства. Все дальнейшие действия (анализ файловой системы, карательный анализ, восстановление удалённых файлов) производятся исключительно с образом, оригинальный диск помещается в сейф (упаковывается и опечатывается). Такой подход исключает любые обвинения в фальсификации.
🗂️ Раздел 5. Анализ файловой системы: NTFS, FAT32, exFAT и другие
Большинство корпоративных компьютеров используют файловую систему NTFS (Windows). Эксперт Союза «Федерация судебных экспертов» анализирует MFT (Master File Table — главная файловая таблица), в которой для каждого файла хранятся атрибуты: время создания, модификации, последнего доступа, изменения записи в MFT (так называемые STANDARDINFORMATION∗∗и∗∗FILE_NAME). Эти временные метки могут отличаться, что позволяет выявить факты изменения дат (например, если время создания файла позже времени модификации — это аномалия). Также анализируются журналы USN (Update Sequence Number), в которых фиксируются изменения файлов (какой файл, какая операция — создание, удаление, переименование). Для файловых систем FAT32 и exFAT (флешки) возможности анализа скромнее, но можно восстановить удалённые файлы по цепочкам кластеров. Эксперт также проверяет наличие альтернативных потоков данных (ADS) в NTFS, в которых могут скрываться вредоносные программы или «невидимые» файлы.
🕵️ Раздел 6. Восстановление удалённых файлов и фрагментов данных
При обычном удалении файла (через Корзину или Shift+Del) операционная система не стирает содержимое, а лишь помечает кластеры как свободные и удаляет запись из MFT. Эксперт Союза «Федерация судебных экспертов» может восстановить такие файлы полностью, если они не были перезаписаны новой информацией. Для этого используются программы карательной экспертизы (Autopsy, FTK, EnCase, R-Studio, UFS Explorer). При форматировании диска (быстром) также остаются шансы на восстановление — уничтожается только MFT, но данные сохраняются до момента перезаписи. При переустановке операционной системы с сохранением файлов (неполное форматирование) данные могут быть восстановлены. В особо сложных случаях эксперт производит низкоуровневый поиск сигнатур файлов (например, заголовков PDF — «%PDF», DOCX — «PK», JPEG — «FF D8») по всей поверхности диска, извлекая даже те файлы, о которых нет записей в файловой системе (так называемая carver-обработка). В корпоративных конфликтах это позволяет восстановить удалённые договоры, переписку, прайс-листы.
📅 Раздел 7. Установление времени создания, изменения и доступа к файлам
Одна из частых задач — определить, был ли файл создан или изменён задним числом. Эксперты Союза «Федерация судебных экспертов» анализируют несколько временных меток в MFT NTFS: SI (Standard Information) — может быть изменена пользователем с помощью специальных утилит, и FN (File Name) — автоматически обновляется системой и с трудом поддаётся подделке. Если SI и FN различаются более чем на несколько секунд (или разница нелогична, например, время создания позже времени модификации) — это признак вмешательства. Также используются журналы USN, которые ведут хронологию изменений, и Prefetch (файлы предзагрузки), хранящие информацию о времени последнего запуска программ. В некоторых случаях эксперт может определить, был ли файл открыт и сохранён в определённый день, по логам антивируса или системным событиям. Однако абсолютная точность датировки (например, «файл создан 15 марта 2023 года в 14:32:17») возможна только в пределах точности системных часов компьютера, которые могли быть изменены пользователем. Эксперт всегда указывает на это ограничение.
🔌 Раздел 8. Выявление фактов подключения внешних устройств и копирования данных
Для корпоративных конфликтов критически важно установить, копировал ли сотрудник данные на флешку или внешний жесткий диск. Эксперт Союза «Федерация судебных экспертов» анализирует ветку реестра Windows HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR, в которой хранятся сведения о всех когда-либо подключавшихся USB-накопителях (серийный номер, производитель, объём, дата первого и последнего подключения). Также анализируется SetupAPI-логи, EventLog (журнал событий, в частности, источники Microsoft-Windows-DriverFrameworks-UserMode/Operational). Далее эксперт сопоставляет время подключения флешки с временем доступа к файлам, которые предположительно были скопированы. Если время доступа (чтения) к папке с документами совпадает с временем активности флешки, это сильный косвенный признак копирования. В некоторых случаях можно найти и прямые доказательства: в теневых копиях (Volume Shadow Copy) могут сохраниться записи о том, что именно было скопировано. Для Linux-систем анализируются логи udev и история команд bash.
🔐 Раздел 9. Анализ следов шифрования, удаления и вредоносного ПО
Если сотрудник пытался скрыть следы, он мог использовать программы-шредеры (уничтожители данных с многократной перезаписью) или шифровальщики. Эксперт Союза «Федерация судебных экспертов» ищет следы таких программ: установочные файлы, записи в реестре, временные файлы, а также анализирует журналы событий на предмет необычной активности. Если диск был зашифрован (например, BitLocker, VeraCrypt), но ключ шифрования утерян, восстановить данные невозможно, но эксперт может установить факт шифрования, дату его активации, а также наличие ключа восстановления в учётной записи Microsoft (если компьютер был синхронизирован). Для SSD-дисков, в отличие от HDD, команда TRIM может безвозвратно удалять данные в фоновом режиме, поэтому шанс восстановления файлов после удаления на SSD значительно ниже. Эксперт оценивает, была ли активирована TRIM и с какой вероятностью можно восстановить данные. Также проверяется наличие вредоносного ПО (например, программ-логгеров, клавиатурных шпионов), которое могло быть установлено для сбора информации.
📌 Раздел 10. Развёрнутые примеры из экспертной практики Союза «Федерация судебных экспертов»
Ниже представлены пять подробных кейсов, демонстрирующих методику и результаты компьютерной экспертизы жесткого диска при корпоративных конфликтах.
Кейс 1. Восстановление удалённой бухгалтерской базы после увольнения главного бухгалтера
После увольнения главного бухгалтера новый главбух обнаружил, что база «1С:Бухгалтерия» за последние три года отсутствует на сервере и на резервных копиях. Бывший сотрудник утверждал, что передал все данные. Компания обратилась в Союз «Федерация судебных экспертов» для проведения досудебной экспертизы. Эксперт изъял серверный жесткий диск (изготовил образ) и провёл карательный анализ с помощью специализированного программного обеспечения. На диске были обнаружены фрагменты удалённых файлов базы данных (файлы .1CD, .dbf). Эксперт восстановил 80 % записей за требуемый период. Также был проанализирован журнал USN файловой системы NTFS, который показал, что массовое удаление файлов базы произошло в ночь перед увольнением бухгалтера, причём удалялись файлы не через корзину, а с помощью команды Shift+Del и последующей очисткой корзины. Эксперт сделал вывод: удаление носило намеренный характер, данные не были переданы. Суд обязал бывшего бухгалтера возместить стоимость услуг по восстановлению базы, а также выплатить компенсацию за утрату части данных.
Кейс 2. Выявление копирования клиентской базы на флешку перед увольнением менеджера по продажам
Компания заподозрила, что старший менеджер по продажам скопировал клиентскую базу (файл Excel с контактами и коммерческими предложениями) на личную флешку перед переходом к конкуренту. Была проведена выемка рабочего ноутбука. Союз «Федерация судебных экспертов» провёл судебную экспертизу. В реестре Windows экспертом были обнаружены следы подключения USB-флешки с уникальным серийным номером, причём время первого подключения совпадало с днём, предшествовавшим увольнению. Далее эксперт проанализировал LNK-файлы (ярлыки недавних документов) и Jump Lists (списки переходов). Было установлено, что за 10 минут до первого отключения флешки пользователь открыл папку «Клиентская база» и файл «База клиентов.xlsx». Сам файл на диске уже отсутствовал, но его копия была обнаружена в теневых копиях (Volume Shadow Copy) — время создания копии совпало со временем подключения флешки. Эксперт дал заключение: файл был скопирован на внешний USB-накопитель. Суд взыскал с бывшего менеджера убытки в размере стоимости клиентской базы, определённой экспертами-оценщиками.
Кейс 3. Спор о подлинности электронного договора с изменённой датой
При разводе бизнес-партнёров один из них представил суду электронный договор купли-продажи доли в ООО, подписанный ЭЦП, с датой 15.01.2022. Второй партнёр утверждал, что договор был создан задним числом, в январе 2022 года он находился в больнице и не мог подписывать документы. Союз «Федерация судебных экспертов» провёл экспертизу жесткого диска ноутбука, с которого якобы был создан файл. Анализ MFT файловой системы NTFS показал несоответствие: время создания файла (атрибут SI) было изменено с помощью сторонней утилиты (о чём свидетельствовала аномалия — время создания совпадало с временем последней печати). Атрибут FN (имя файла) хранил реальную дату создания — 10.10.2023. Кроме того, в журнале USN отсутствовали записи о создании файла в январе 2022, но были записи за октябрь 2023. Эксперт также обнаружил, что файл был сохранён с использованием версии офисного пакета, выпущенной в 2023 году, что исключало его создание в 2022. Суд признал договор сфальсифицированным, в удовлетворении иска отказано.
Кейс 4. Обнаружение несанкционированного доступа к файлам через удалённый рабочий стол
В компании был уволен системный администратор. Через две недели после увольнения произошла утечка конструкторской документации на новый продукт. Расследование показало, что файлы были скопированы с сервера. Союз «Федерация судебных экспертов» провёл экспертизу серверных логов и жестких дисков. Эксперт проанализировал журналы событий Windows (Event ID 4624 — успешный вход, 4634 — выход). Было установлено, что в день утечки осуществлялся вход под учётной записью бывшего администратора с IP-адреса, который принадлежал его домашнему провайдеру (установлено по запросу к провайдеру). При этом в журнале RDP были записи о подключении с этого IP через VPN. Эксперт также обнаружил на диске следы программы для удалённого копирования (WinSCP), запущенной в сеансе RDP. Бывший администратор утверждал, что его учётная запись была скомпрометирована, но эксперт установил, что вход был осуществлён с использованием его личного сертификата двухфакторной аутентификации. Суд признал его виновным в разглашении коммерческой тайны.
Кейс 5. Спор об уничтожении данных с помощью SSD и команды TRIM
Генеральный директор компании перед увольнением зашифровал свой рабочий ноутбук (SSD-диск с включённой TRIM) и отказался предоставить пароль. Компании было необходимо извлечь корпоративные документы. Союз «Федерация судебных экспертов» провёл экспертизу. Специалист установил, что диск зашифрован с помощью BitLocker, ключ восстановления не сохранён в учётной записи Microsoft (ноутбук не был подключён к облаку). Ввиду того, что TRIM была активна, шанс восстановления данных после удаления или форматирования минимален. Эксперт попытался обойти шифрование через анализ дампов оперативной памяти (ноутбук был выключен, память не сохранена), а также через поиск ключа в незанятых секторах — безуспешно. Эксперт пришёл к выводу, что извлечь данные без ключа шифрования невозможно. Однако эксперт смог установить, что на момент выключения ноутбука на нём не было вредоносного ПО, а шифрование было активировано самим пользователем (в логах Event Viewer найдены записи о включении BitLocker). Суд обязал бывшего директора предоставить ключ шифрования под угрозой привлечения к уголовной ответственности (ст. 183 УК РФ — незаконный доступ к компьютерной информации). После этого ключ был предоставлен.
📢 Раздел 11. Процессуальный статус заключения компьютерной экспертизы
В арбитражном, гражданском и уголовном процессе заключение эксперта в области компьютерных технологий является письменным доказательством. Эксперт Союза «Федерация судебных экспертов» предупреждается об уголовной ответственности по статье 307 УК РФ за дачу заведомо ложного заключения. Суд оценивает заключение наряду с другими доказательствами, но в силу специального характера знаний судьи, как правило, опираются на выводы эксперта, если они обоснованы и не противоречат материалам дела. Особое значение имеет соблюдение методики создания образа диска (контрольные суммы, write-blocker). Если сторона утверждает, что образ был создан с нарушением, она должна представить доказательства (например, видеозапись процесса изъятия). Союз «Федерация судебных экспертов» всегда предоставляет суду подробный отчёт о всех применённых программных и аппаратных средствах, их сертификатах и версиях.
✅ Раздел 12. Рекомендации сторонам корпоративного конфликта при назначении компьютерной экспертизы
Стороне, заинтересованной в сохранении доказательств, необходимо: немедленно прекратить использование компьютера/сервера (выключить питание), не копировать файлы, не запускать диагностические программы (это изменяет временные метки и может перезаписать удалённые данные), вызвать специалиста для изъятия и создания образа. Если нет возможности вызвать специалиста немедленно, следует сфотографировать экран, состояние компьютера, отключить его от сети (выдернуть кабель LAN и выключить Wi-Fi), но не выключать питание, если компьютер включён (выключение может уничтожить данные в оперативной памяти). Союз «Федерация судебных экспертов» рекомендует сторонам согласовать порядок изъятия и экспертизы в договоре или судебном определении, чтобы избежать обвинений в фальсификации. Для хранения изъятого диска следует использовать антистатический пакет и опечатанный контейнер. При подготовке ходатайства об экспертизе необходимо чётко сформулировать вопросы: не «была ли украдена база данных?», а «производилось ли копирование файлов с жёсткого диска на внешние носители, и если да, то какие файлы и в какое время?».
🔮 Раздел 13. Тенденции развития компьютерной экспертизы
Союз «Федерация судебных экспертов» внедряет современные методы: анализ облачных синхронизаций (следы работы с OneDrive, Google Drive, Dropbox); исследование памяти устройств (RAM-дампов) для обнаружения ключей шифрования и запущенных процессов; применение нейросетей для классификации и сортировки извлечённых файлов (особенно больших массивов электронной почты); анализ метаданных мобильных устройств, синхронизированных с компьютером. Развивается методика исследования SSD-дисков с учётом особенностей их работы (TRIM, wear leveling). Эксперты Союза «Федерация судебных экспертов» регулярно повышают квалификацию и сертифицируются по стандартам ISO/IEC 27037 (сбор цифровых доказательств). Однако главным остаётся неукоснительное соблюдение процессуальной чистоты и научная обоснованность каждого вывода.
Полную контактную информацию, телефон и адрес офиса, а также более подробную информацию по вашему вопросу вы можете найти на нашем официальном сайте ✅ https://krimexpert.ru
Задавайте любые вопросы