🟧 Компьютерно-техническая экспертиза данных удаленных файлов

🟧 Компьютерно-техническая экспертиза данных удаленных файлов

🟧 В эпоху цифровых технологий информация стала самым ценным активом, а её утрата — одной из самых болезненных проблем для бизнеса, государственных структур и частных лиц. Удаление файлов может быть случайным, преднамеренным (для сокрытия улик, фактов мошенничества, коммерческой тайны или личных данных) или же являться следствием действий вредоносного программного обеспечения. Однако в подавляющем большинстве случаев удалённые файлы не исчезают бесследно. Они продолжают существовать в виде фрагментов на физических носителях информации — жёстких дисках, твердотельных накопителях, картах памяти, USB-флешках, до тех пор, пока их место не будет перезаписано новыми данными. Компьютерно-техническая экспертиза данных удалённых файлов представляет собой сложное, многоступенчатое исследование, которое находится на стыке криминалистики, программирования, физики магнитных носителей, файловых систем, цифровой стеганографии и даже термодинамики. Её целью является не просто обнаружение следов удалённых данных, а их полное восстановление, анализ содержания, установление факта, времени и способа удаления, идентификация пользователя, производившего удаление, а также определение наличия или отсутствия признаков умышленного уничтожения или фальсификации. Данная экспертиза востребована при расследовании экономических преступлений, киберпреступлений, трудовых споров (например, увольнение сотрудника, который удалил важные документы), бракоразводных процессов с разделом цифрового имущества, а также при восстановлении утраченных данных после сбоев оборудования. В настоящей статье мы максимально подробно, с привлечением научных методов, практических примеров и детальных описаний программно-аппаратных средств, разберём все этапы, методологии и нюансы этого исследования, от физического клонирования носителя до глубинного анализа служебных структур файловых систем.


Раздел 1. 📜 Природа хранения и удаления данных на физических носителях

  • Чтобы понять, как возможно восстановить удалённый файл, необходимо разобраться в том, как вообще данные записываются и стираются на физическом уровне. На традиционных жёстких дисках (HDD) информация хранится в виде намагниченных участков поверхности пластин, которые представляют собой биты (0 или 1). При записи файла операционная система обращается к файловой системе (например, NTFS, FAT32, exFAT, Ext4), которая выделяет цепочку кластеров (блоков данных) на диске и создаёт запись в служебной таблице — $MFT (Master File Table) в NTFS или таблице FAT. В этой записи хранятся имя файла, его размер, атрибуты, дата создания и модификации, а также указатели на кластеры, где расположены данные. Когда пользователь «удаляет» файл (через Корзину или Shift+Delete), операционная система НЕ стирает сами данные. Она лишь помечает запись в служебной таблице как «свободную» (освобождает кластеры для перезаписи) и удаляет имя файла из каталога (для FAT). Сами байты данных остаются на прежнем месте до тех пор, пока какой-либо другой процесс не запишет новую информацию поверх этих кластеров. На SSD-накопителях и других носителях на флеш-памяти процесс сложнее: они используют алгоритм TRIM, который при удалении физически стирает блоки памяти для поддержания производительности. Однако до выполнения команды TRIM, или при её отключении, данные могут сохраняться. Кроме того, существуют технологии S.M.A.R.T., которые также могут повлиять на сохранность. Именно этот принцип «маркировки свободного места, но не стирания» и лежит в основе компьютерно-технической экспертизы: эксперт работает с битовой копией (образом) диска, анализируя не только активные файлы, но и так называемое «неразмеченное пространство» (unallocated space) и область MFT-записей, где могут скрываться целые файлы и их фрагменты.

Раздел 2. 🧩 Классификация удалений и объекты исследования

  • Эксперту важно различать типы удаления, так как от этого зависит методология восстановления и интерпретация результатов. Первый тип — логическое удаление через стандартные средства ОС (через Корзину или Shift+Delete). В этом случае шансы на восстановление максимальны, если после удаления на диск не производилась интенсивная запись. Второй тип — удаление через специальные софт-утилиты, так называемые «шредеры» (например, CCleaner с режимом перезаписи, DBAN). При таком удалении файл затирается несколько раз (от 1 до 35 проходов) случайными данными, что делает восстановление физически невозможным. Третий тип — удаление в результате форматирования диска (быстрое или полное). Быстрое форматирование просто перезаписывает загрузочный сектор и таблицу файлов, но данные остаются. Полное форматирование перезаписывает каждый сектор нулями (или проверяет поверхность), что также уничтожает данные. Четвёртый тип — удаление из-за сбоев файловой системы (повреждение MFT, потеря цепочек кластеров). В этом случае данные могут быть восстановлены с помощью инструментов, которые сканируют «сырой» диск на основе сигнатур файлов (заголовков). Объектами исследования служат: сам физический накопитель (HDD, SSD, флешка, карта памяти); образ диска (битовая копия, созданная через специализированные аппаратно-программные комплексы типа Tableau, Atola или FTK Imager); логические тома; а также отдельные секторы и кластеры, извлечённые для анализа. Эксперт также может исследовать системные журналы (Event Logs), файлы подкачки (pagefile.sys), гибернации (hiberfil.sys), теневые копии (Volume Shadow Copy), кэш браузеров и временные файлы приложений, где часто сохраняются фрагменты удалённых документов.

Раздел 3. 📋 Процессуальная и техническая подготовка: выезд на место, блокировка записи, создание образа

  • Любая компьютерно-техническая экспертиза начинается с процессуальных действий, которые должны гарантировать сохранность доказательств (принцип непрерывности доказательств, chain of custody). Эксперт выезжает на место либо получает носитель в запечатанном виде. Первое и главное правило: никогда не работать с оригинальным диском напрямую, так как любая операция (даже простое подключение к ОС) может изменить дату доступа или перезаписать служебные области. Для защиты от записи используется аппаратный write-blocker (блокиратор записи) — устройство, которое позволяет операционной системе «видеть» диск только в режиме чтения, блокируя любые запросы на запись. Современные write-blockers поддерживают все типы интерфейсов (SATA, IDE, USB, M.2, NVMe). Затем создаётся битовая копия (образ) диска в формате E01 (EnCase Image) или DD (сырой образ). Для этого используется специализированное ПО: FTK Imager, X-Ways Forensics, EnCase, Guymager. Образ создается посекторно (1:1) и сверяется с оригиналом через вычисление хеш-сумм (MD5, SHA-1 или SHA-256) с обеих сторон. Только после того, как хеши совпадут, оригинал помещается в сейф, а вся дальнейшая работа ведётся с образом. Важно также документировать все шаги, включая модель и серийный номер диска, температуру, состояние контактов, наличие физических повреждений (царапины, оплавления). Весь процесс занимает от нескольких часов до нескольких суток в зависимости от ёмкости носителя (1 ТБ — около 8-12 часов).

Раздел 4. 🔍 Анализ файловой системы: MFT, каталоги и служебные структуры

  • Следующий этап — анализ файловой системы. Для Windows (самая частая среда) это NTFS. Эксперт открывает образ в программе-анализаторе (например, FTK Imager или Autopsy) и изучает $MFT (Master File Table). Каждая запись в MFT имеет размер 1 КБ (в NTFS) и содержит все метаданные о файле: имя (включая удалённые имена), размер, временные метки (создание, модификация, доступ, изменение записи MFT), атрибуты (скрытый, системный, архивный), а также указатели на данные. Если файл был удалён, его запись в MFT помечается флагом «0» (неактивная). Однако сама запись остаётся на месте до тех пор, пока не будет переиспользована для нового файла. Эксперт сортирует записи по этому флагу и выводит все удалённые файлы. Для файлов размером менее 700-900 байт (размер резидентного файла) данные хранятся непосредственно в записи MFT, и они доступны даже если кластеры уже перезаписаны — это крайне ценно, поскольку мелкие текстовые документы, логины/пароли, метаданные часто сохраняются именно там. Для больших файлов эксперт исследует цепочки кластеров, которые были выделены для данного файла, и проверяет, перезаписаны ли они новыми данными. Если нет — файл полностью восстанавливается. Если да — восстанавливаются только фрагменты, которые не перезаписаны.

Раздел 5. 🧬 Сигнатурный анализ (Carving) — восстановление по заголовкам

Когда файловая система разрушена или фрагментарна, эксперт применяет метод восстановления по сигнатурам (file carving, караинг). Каждый тип файла имеет уникальную сигнатуру — определённые байты в его заголовке (и часто в конце файла). Например, сигнатура PDF-файла — это «%PDF» (25 50 44 46 в шестнадцатеричном виде), сигнатура JPEG — «FF D8 FF E0» или «FF D8 FF E1», сигнатура ZIP — «50 4B 03 04», сигнатура архива RAR — «52 61 72 21», сигнатура исполняемого EXE — «4D 5A» (MZ). Программа караинга (например, Scalpel, Foremost, Photorec) сканирует весь образ диска посекторно, находит заголовки, а затем ищет соответствующие концевые сигнатуры или определяет размер файла по структуре. Если файл был непрерывен (не фрагментирован), он восстанавливается полностью. Если файл фрагментирован, восстановление возможно только при наличии статистических или метаданных о фрагментации. Особенно эффективен караинг для медиафайлов (JPG, PNG, MP4, AVI), документов (DOCX, XLSX — по сигнатуре ZIP), PDF и архивов. Однако важно помнить: при караинге теряются имена файлов, даты создания и структура каталогов — восстанавливается только «сырой» контент, который затем анализируется вручную (или через дополнительную логическую проверку). Эксперт Союза «Федерация судебных экспертов» использует несколько независимых инструментов для караинга, чтобы исключить ложные срабатывания и перекрёстно проверить результаты.


Раздел 6. 🔬 Анализ области подкачки и временных файлов (Pagefile.sys, Hiberfil.sys, $LogFile)

Операционная система Windows активно использует файл подкачки (pagefile.sys) для хранения данных, которые не помещаются в оперативной памяти. Туда могут попадать фрагменты открытых документов, содержимое веб-страниц, логи и даже фрагменты удалённых файлов. Аналогично, файл гибернации (hiberfil.sys) содержит «слепок» оперативной памяти на момент перехода в спящий режим. Анализ этих файлов — сложная задача, поскольку они не имеют чёткой структуры и содержат смесь данных различных процессов. Однако с помощью специализированных утилит (например, Volatility для анализа памяти) эксперт может извлечь из них открытые документы, URL-адреса, переписки из мессенджеров и другие фрагменты. Также анализируется $LogFile (журнал транзакций NTFS), который содержит записи обо всех изменениях в файловой системе. Этот журнал часто позволяет восстановить имя удалённого файла, даже если запись MFT была перезаписана, или установить временную последовательность действий.


Раздел 7. ⏳ Установление времени и последовательности удаления (Timeline Analysis)

Ключевой вопрос при экспертизе — когда именно был удалён файл и кто его удалил. Эксперт использует временные метки из MFT, $LogFile, записи Event Log (журналы событий безопасности Windows — ID 4663 — попытки доступа, ID 4656 — открытие объекта), а также метки браузера, истории загрузок, даты модификации других связанных файлов. Важно понимать, что временные метки могут быть изменены злонамеренно (с помощью утилит типа timestomp). Поэтому эксперт проверяет временные зоны, коррелирует с системным журналом, сетевыми логами (если диск был в доменной сети) и даже с датами на фотоснимках экрана, если они есть. Для установления последовательности удаления анализируются цепочки действий: сначала файл был открыт, затем изменён, затем перемещён в Корзину, затем Корзина была очищена. Это может дать картину намеренности действий. Если файл был удалён с использованием стороннего «шредера», записи в логах могут отсутствовать, но эксперты могут обнаружить следы запуска такого ПО (исполняемые файлы, записи реестра).


Раздел 8. 🧠 Идентификация пользователя (Account Analysis)

Эксперту часто нужно установить, какой именно пользователь (учётная запись) произвёл удаление. Для этого анализируются: записи в реестре (HKEY_USERS\SID…\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU — сохранённые недавние файлы), история действий в проводнике (Shellbags), артефакты браузера (история загрузок), а также время, когда учётная запись была активна (по логанам и логаутам). Если удалялись файлы с общего сетевого диска, могут использоваться записи SMB (Server Message Block) на сервере. Часто эксперты сопоставляют временные метки удаления с расписанием работы сотрудника, графиком доступа по картам или записями камер видеонаблюдения. Важно отметить: при удалении файлов с локального диска «имя пользователя» остаётся только как владелец файла в атрибутах NTFS (но оно может быть изменено). Поэтому надёжным методом является корреляция с учётными записями, которые были активны в момент удаления.


Раздел 9. 🛡️ Обнаружение следов использования стороннего ПО для уничтожения данных

Намеренно уничтоженные файлы, перезаписанные нулями или случайными данными, не восстанавливаются. Но сам факт использования такого ПО часто оставляет следы. Эксперт ищет: наличие исполняемых файлов «шредеров» на диске (в Program Files, в папках загрузок, на рабочем столе), записи в реестре об установке (Uninstall…), записи в Prefetch (файлы .pf, которые ускоряют запуск приложений), следы в $LogFile, а также изменение размера файлов подкачки (если утилита работала интенсивно). Присутствие таких следов является косвенным доказательством попытки скрыть улики.


Раздел 10. 🧪 Работа с SSD: TRIM, сборка мусора и особенности восстановления

С твёрдотельными накопителями (SSD) ситуация кардинально отличается. Контроллер SSD выполняет команду TRIM, которая уведомляет его о том, что определённые блоки памяти больше не используются, и он может их физически стереть (очистить) в процессе сборки мусора (Garbage Collection). Это делается для повышения скорости записи и продления срока службы. В результате на SSD при удалении файла данные могут быть стерты физически в течение нескольких секунд или минут (в зависимости от прошивки). Однако до выполнения TRIM (если он отключен в системе или не поддерживается) данные могут сохраняться. Кроме того, SSD имеют область «переназначенных секторов» и «избыточных блоков», куда данные могут «уплыть» физически, но быть недоступными логически. Для экспертизы SSD требуется специализированное оборудование (например, PC-3000 с поддержкой NAND-дешифровки), которое может считывать память напрямую, минуя контроллер, что очень сложно и дорого. Поэтому в большинстве случаев восстановление удалённых данных с SSD при включённом TRIM, проработавшем более 1-2 дней, практически невозможно. Эксперт в заключении обязан указать тип накопителя, наличие/отсутствие TRIM и оценить вероятность восстановления.


Раздел 11. 🧬 Восстановление файлов из теневых копий (Volume Shadow Copy)

Windows автоматически создаёт теневые копии (системные точки восстановления), если включена защита системы. Теневая копия — это снимок состояния файлов на определённый момент времени. Иногда удалённые файлы сохраняются в этих копиях. Эксперт, используя такие инструменты как Shadow Explorer или средствами самого анализатора (FTK Imager), монтирует теневые копии и извлекает оттуда файлы, которые были удалены «из будущего» (то есть удалены после создания копии). Это крайне эффективно для восстановления документов, если пользователь не отключил функцию теневого копирования (многие этого не делают). Теневые копии хранятся в системном разделе и могут занимать до 5-10% диска. Анализ этой области часто даёт ценные доказательства.


Раздел 12. 📈 Восстановление файлов из Корзины

Если файлы были удалены через Корзину (Recycle Bin) и Корзина не была очищена, восстановление тривиально — файлы лежат в системной папке Recycle.bin(дляWindows).ДлякаждогопользователясуществуетотдельнаяподпапкасSID(SecurityIdentifier).Именафайловвнутрименяютсянаиндексы(например,R…, $I…), но структура сохраняется. Эксперт легко восстанавливает их и дату первоначального размещения. Если Корзина была очищена, то файлы из неё поступают в категорию «удалённых» — и дальше применяется стандартный анализ MFT и караинг.


Раздел 13. 🧠 Криптоанализ и стеганография (при обнаружении зашифрованных или скрытых удаленных файлов)

В редких случаях удалённые файлы могут быть зашифрованы или скрыты с помощью стеганографии (внедрены в изображения или аудиофайлы). Эксперт, обнаружив фрагменты данных с высокой энтропией (случайным распределением байт), может заподозрить шифрование. В таких случаях он может попытаться восстановить пароль через анализ памяти (если есть образ RAM) или атаку по словарю (если есть предположения). Однако это крайне сложная задача, требующая криптографической экспертизы.


Раздел 14. 💼 Практические кейсы из деятельности Союза «Федерация судебных экспертов»

Кейс 1. 🏢 Корпоративный шпионаж: увольнение технического директора и удаление чертежей

Крупный машиностроительный завод столкнулся с тем, что его главный конструктор, уволившись за день до окончания испытаний, «забыл» все актуальные 3D-модели и инженерные чертежи нового агрегата на рабочем компьютере, а в его личной папке файлы были удалены через Shift+Delete. Эксперты Союза изъяли системный блок (HDD 1 ТБ) через час после увольнения. Быстрое создание образа и анализ MFT с помощью X-Ways Forensics показали, что записи об удалённых файлах (около 40 GB) помечены как «свободные», но кластеры ещё не перезаписаны, так как после удаления никто не работал на этом компьютере. Эксперты полностью восстановили всю папку с чертежами, а также обнаружили в теневых копиях предыдущие версии файлов, подтверждающие разработку именно этого конструктора. Анализ логов событий Windows (Event ID 4663) показал, что операция удаления была выполнена в 18:45, т.е. через 5 минут после того, как сотрудник вышел из системы (но он мог удалить файлы локально перед увольнением). Восстановленные файлы были предоставлены заводу, который предотвратил срыв контракта на 200 млн рублей, а уволенный директор был привлечён к ответственности.

Кейс 2. 🏦 Банковский спор: удаление баз данных клиентов

В региональном банке один из администраторов баз данных был заподозрен в краже списка VIP-клиентов. Чтобы скрыть следы, он запустил программу-шредер (Eraser) с перезаписью в 7 проходов на директорию, где хранились файлы Excel и CSV. Банк обратился в Союз «Федерация судебных экспертов» для восстановления. Эксперты, получив SSD-накопитель, обнаружили, что TRIM был включён, а SSD проработал ещё 3 дня после удаления. Восстановление прямым чтением с помощью оборудования PC-3000 (с дешифровкой NAND) показало, что большая часть записей была физически стёрта сборщиком мусора, однако на флеш-памяти сохранились отдельные кластеры из области перераспределённых блоков, где частично лежали имена клиентов и суммы счетов. Полного восстановления базы не получилось, но фрагментов хватило для того, чтобы подтвердить факт наличия данных и установить, что копирование и удаление были произведены именно администратором (по временным меткам логов и MAC-адресу его ноутбука). Суд признал эти данные косвенными доказательствами.

Кейс 3. 🏠 Бракоразводный процесс: восстановление удалённой переписки

В ходе развода один из супругов утверждал, что второй скрывает доходы и переписывается с новыми партнёрами, но все сообщения в мессенджере были удалены. Адвокат истца заказал экспертизу ноутбука, который использовался для работы с мессенджером (Telegram Desktop). Эксперты Союза создали образ диска и провели караинг по сигнатуре SQLite-баз данных (которые часто используют мессенджеры). На диске была обнаружена удалённая, но не перезаписанная папка с кэшем мессенджера (Telegram Desktop\Cache). Хотя сами файлы были удалены, караинг по заголовкам «SQLite format 3» позволил восстановить три фрагментированных файла баз данных. После сборки и анализа с помощью скриптов Python была восстановлена переписка за последние 3 месяца, которая подтвердила финансовые операции, о которых истец не знал. Это повлияло на раздел имущества.

Кейс 4. 🧑‍💻 IT-компания: удаление исходного кода продукта

После конфликта с руководителем один из разработчиков удалил всю папку с исходным кодом основного продукта с сервера разработки перед увольнением. Сервер был выключен немедленно. Эксперты Союза извлекли RAID-массив (3 HDD) и создали образ каждого диска. Анализ файловой системы показал, что удаление было массовым (около 5000 файлов). Однако настройки сервера использовали теневые копии (Volume Shadow Copy) с шагом в 4 часа. Эксперты смонтировали теневую копию, созданную за 2 часа до удаления, и восстановили все файлы за 15 минут. Дополнительный анализ MFT показал, что удаление файлов производилось из сессии пользователя разработчика (по SID). Это позволило однозначно идентифицировать его как виновного в нарушении корпоративной политики.

Кейс 5. 🏛️ Государственное учреждение: расследование утечки секретных документов

Сотрудник государственного архива подозревался в копировании секретных исторических документов на флешку. При проверке он заявил, что ничего не копировал, а все его личные файлы были удалены. Эксперты Союза изъяли его системный блок и флешку. На жёстком диске, в неразмеченной области, были обнаружены фрагменты Word-документов с грифами «секретно», которые были удалены с помощью обычного Shift+Delete. Караинг по сигнатуре DOC (D0 CF 11 E0 A1 B1 1A E1) выдал 5 файлов, один из которых был восстановлен полностью, а остальные частично. Кроме того, анализ файла pagefile.sys показал наличие фрагментов текста этих же документов, которые были открыты в момент копирования. Временные метки из MFT показали, что документы были открыты и скопированы на флешку за 40 минут до удаления. Эксперты также обнаружили в реестре следы подключения USB-флешки и её серийный номер. Вся цепочка доказательств была выстроена в виде хронологической карты. Дело было передано в суд.


Раздел 15. 📝 Оформление заключения и структура отчёта

Заключение компьютерно-технической экспертизы содержит: вводную часть, описание предоставленных носителей и их состояния, перечень использованных программно-аппаратных средств, подробное описание процесса создания образа и проверки хешей, результаты анализа MFT, караинга, теневых копий, временной шкалы событий, а также таблицы с восстановленными файлами (имя, дата создания, размер, статус восстановления). Все восстановленные файлы, если это позволяет процессуальная этика и не нарушает авторские права, прилагаются к заключению на отдельном носителе (DVD или защищённой флешке). Важно указать процент восстановления и степень достоверности — например: «файл восстановлен полностью, его содержимое аутентично оригиналу»; «файл восстановлен фрагментарно, но его идентификация произведена по служебным структурам»; «восстановление невозможно из-за перезаписи».


Раздел 16. 📌 Рекомендации по предотвращению безвозвратной потери данных

Эксперты Союза «Федерация судебных экспертов» дают практические советы: 1) всегда иметь резервные копии (бэкапы) на отдельных носителях или в облаке; 2) отключать TRIM на дисках с важными данными, если планируется их потенциальное исследование (но это снижает производительность); 3) немедленно выключать компьютер после обнаружения удаления (чтобы избежать перезаписи); 4) не устанавливать на диск никакого ПО для восстановления самостоятельно — это может перезаписать сектора; 5) для организаций — включить политики аудита удаления и теневого копирования.


Раздел 17. ⚖️ Заключительное слово о значимости экспертизы для правосудия

Компьютерно-техническая экспертиза удалённых файлов — это не просто техническая услуга, а важнейший инструмент правосудия в цифровую эпоху. Она позволяет восстанавливать утраченное, обличать недобросовестных сотрудников, разоблачать мошенников и защищать интеллектуальную собственность. Союз «Федерация судебных экспертов» объединяет специалистов высочайшего уровня, использующих все доступные современные методы и оборудование, чтобы каждый бит мог рассказать свою историю.

Полную контактную информацию, телефон и адрес офиса, а также более подробную информацию по вашему вопросу вы можете найти на нашем официальном сайте 🔴 https://krimexpert.ru

Похожие статьи

Новые статьи

🟧 Химическая экспертиза причин разрушения материала пенобетона

🟧 В эпоху цифровых технологий информация стала самым ценным активом, а её утрата — одной из самых болезненных пр…

🔴 Пожарно-техническая экспертиза причины возгорания зарядной станции

🟧 В эпоху цифровых технологий информация стала самым ценным активом, а её утрата — одной из самых болезненных пр…

🟥 Рецензия на почерковедческую экспертизу для суда: практика оспаривания

🟧 В эпоху цифровых технологий информация стала самым ценным активом, а её утрата — одной из самых болезненных пр…

🟧 Строительно-техническая экспертиза дефектов армопояса

🟧 В эпоху цифровых технологий информация стала самым ценным активом, а её утрата — одной из самых болезненных пр…

🟧 Почерковедческая экспертиза рукописной записи в банковской анкеты

🟧 В эпоху цифровых технологий информация стала самым ценным активом, а её утрата — одной из самых болезненных пр…

Задавайте любые вопросы

13+9=