Можно ли заставить компьютер вспомнить все? Ответ на этот вопрос знают специалисты отдела технических экспертиз Управления Государственного комитета судебных экспертиз Республики Беларусь по Брестской области, которые оказывают Фемиде особое содействие: помогают восстанавливать утраченные компьютерные данные.  

Упомянутый отдел объединяет порядка трех десятков специалистов самого широкого диапазона и разнообразия профилей  осуществляющих строительно-технические, товароведческие, автотовароведческие и автотехнические, а также экономические экспертизы. В этом же списке значатся и эксперты, чья обязанность  - проведение компьютерно– технических экспертиз и экспертиз радиоэлектронных устройств.

Сомнительные носители

Обилию разнообразных носителей информации на рабочем столе заместителя начальника отдела Сергея Шуки позавидует самый продвинутый компьютерщик. Сюда они попадают от правоохранителей на основании постановлений о назначении экспертиз: для одних требуется компьютерно-техническая экспертиза, объектами которой являются системные блоки, ноутбуки, карты памяти, флешки и прочие носители информации, для других - экспертиза радиоэлектронных устройств.

У каждого предмета своя история: один из них сам может быть объектом преступного посягательства (например, чья-то украденная собственность), другой способен хранить цифровые следы преступной деятельности.

Задача Сергея Шуки и его коллег – восстановить в максимально возможном объеме информацию, которую, в попытках замести следы нарушения закона, с носителей пробовали удалить. 

- Компьютерно-технические экспертизы у нас проводятся с 2008 года. В прошлом году мы получили допуск на производство экспертиз и радиоэлектронных устройств. Поле деятельности самое широкое – от электродетонаторов взрывных устройств до электроудочек, мобильных устройств, устройств для разблокировки автомобильных сигнализаций, металлоискателей, приемной и передающей радиоаппаратуры и даже техники, чье предназначение не установлено – поясняет, улыбаясь, Сергей Шука.

На вопрос «Какую информацию обычно удаляют?» мой собеседник затрудняется ответить однозначно: всякую, разнообразную,  одним словом ответить нельзя. Опять же восстановление удаленной информации подразумевает множество направлений – соответственно,  информацию графическую, текстовую, видеоинформацию, бухгалтерские базы данных, программы и учеты. Так, запросы по последнему названному виду экспертиз поступают практически каждый месяц, проверять приходится как государственные, так и частные структуры.

Особо памятен Сергею Шуке случай проверки информационных носителей женщины-предпринимательницы, от действий которой пострадало множество людей: недобросовестная «бизнес-леди» за изготовление памятников брала предоплату, однако либо не изготавливала их вовсе, либо с большой временной задержкой.

На данном этапе больше всего заявок на экспертизы поступает по уголовным делам, связанным с незаконным распространением наркотических веществ.

В связи с этим экспертам приходится давать ответы на множество вопросов, касающихся  историй и времени посещений Интернет-ресурсов, определения самых посещаемых веб-страничек, извлечения электронной переписки из мобильных устройств, где могут храниться следы преступной деятельности.

Кажется невероятным, но факт: иногда наркоту прячут ... на место этих самых сомнительных информационных носителей: однажды в отдел привезли ноутбук для назначенной компьютерно– технической экспертизы. Стали его разбирать, чтобы извлечь носитель информации, сняли крышку в нижней части ноутбука, и тут вдруг обнаружилось, что самого носителя там нет, а на месте его крепления находится пакет с кристаллическим порошкообразным веществом. Результат последующей химической экспертизы подтвердил: найденное  вещество оказалось наркотическим.

Информации не спрятаться

Число осуществляемых сотрудниками отдела исследований растет пропорционально увеличению находящейся в обращении техники, предназначенной для сохранения и передачи информации. Только с 1 января нынешнего года здесь произведено 195 компьютерно-технических экспертиз и 180 экспертиз радиоэлектронных устройств. В этом году в мае отдел уже успел выполнить прошлогоднюю норму – такое же их общее количество за 2014 год. Специфика работы такова, что один сотрудник способен одновременно осуществлять экспертизы в отношении сразу нескольких носителей.

«Часть исследования не требует участия эксперта. Системный блок или ноутбук мы даже не включаем: извлекаем сам носитель информации, подключаем его к адаптеру, одновременно блокируем доступ на запись. Тем самым мы не изменяем находящуюся здесь информацию и не перегружаем операционные системы», - поясняет мой собеседник.

Длительность проведения отдельных экспертиз достигает месяца – если, к примеру, речь идет о жестком диске объемом три терабайта.

Интересный момент: зачастую долгая и кропотливая работа никогда не проходит насмарку. Все, что изымается следователями либо оперативными работниками, содержит следы преступной деятельности. Другое дело – бывали случаи, когда хозяева изъятой техники с этой деятельностью никак не были связаны.

- В одном из районных центров нашей области несколько лет назад началась серия разбойных нападений и грабежей. Эти преступления долгое время оставались нераскрытыми. И вдруг в местный районный отдел милиции поступает записка с напечатанным текстом, в котором содержались не только угрозы, в том числе и в адрес работников милиции, но и признание в совершении этих преступлений. Неизвестный утверждал, что его не поймают. Однако в результате проведенной дактилоскопической экспертизы при обработке листа бумаги были найдены следы пальцев рук некоего гражданина. Тот был задержан, но категорически отрицал причастность к разбоям и грабежам: листа бумаги, возможно, где-то и касался, но ничего противозаконного не совершал, ничего не печатал. Естественно, у оперативных работников возник закономерный вопрос – на чем печатали записку? У самого подозреваемого не было ни принтера, ни компьютера, ни ноутбука. Тогда изъяли системный блок у его подруги – там и обнаружился полный текст этой записки в трех местах, – вспоминает Сергей Шука.

В основном в отделе исследуют мобильные устройства - планшеты, мобильные телефоны, смартфоны и так далее. Системный блок компьютера, информационный носитель ноутбука также часто попадают в руки эксперта. Но не обходится в служебной деятельности и без исключений. Майор юстиции демонстрирует на первый взгляд обыкновенные часы, напоминающие командирские. 

- За циферблатом был размещен дополнительный электронный носитель и это еще не все: под стеклом крышки – сразу в глаза не бросается – там, где цифра «6», – находится «глазок» миниатюрной видеокамеры. Сейчас она не снимает, но такая функция есть. Эти часы могут снимать фото, видео, вот это аккумулятор, который заряжается, а здесь вставляется карта памяти до 32 гигабайт. Тут есть и встроенная память на четыре гигабайта, и разъем для подключения и зарядки через кабель  – демонстрирует чудо техники эксперт. По его словам, широкое распространение таких часов ограничено, использовались они для скрытой съемки, а извлеченная информация носила противоправный характер. 

Потеряли? Восстановим!

Остается отметить, что в отдел технических экспертиз все чаще обращаются обычные граждане. Поводом служат банальные житейские ситуации, возникающие постоянно сплошь и рядом.

К примеру, готовит студент курсовую или дипломную работу, случайно удаляет либо неудачно перезаписывает текст  - пропадает результат его труда. Или при копировании с заполненной карты памяти исчезают фотографии и видеофайлы. В этих случаях знания сотрудников отдела в области высоких технологий, исследовании компьютерной техники, мобильных устройств, а также самое современное оборудование ведущих мировых производителей помогают восстановить утерянную информацию.

Стоимость данной процедуры для граждан зависит от количества затраченного времени: восстановление на небольших флеш-накопителях или картах памяти стандартных носителей – фотоаппаратов, телефонов и так далее – потребует приблизительно два-три часа работы эксперта, что ориентировочно обойдется в 300 – 400 тысяч белорусских рублей.    

Источник