Цифровые доказательства: что подлежит заверению и как это делается правильно

Цифровые доказательства: что подлежит заверению и как это делается правильно

В эпоху цифровизации вещественные доказательства все чаще имеют не физическую, а электронную природу. Однако просто найти файл или скриншот недостаточно — для суда, следствия или внутреннего расследования критически важно подтвердить, что эти данные не были изменены. В этой статье я, как эксперт по цифровой криминалистике, расскажу, какие типы цифровых объектов могут быть официально заверены (то есть изъяты и зафиксированы с соблюдением процессуальных норм) и как технически происходит эта процедура.

Категории цифровых доказательств

В зависимости от объекта расследования, спектр цифровых улик может варьироваться от простых текстовых документов до сложных массивов данных из оперативной памяти. Рассмотрим основные категории.

1. Файлы и документы

Это базовая категория, включающая любые пользовательские данные на носителе:

• Офисные документы (Microsoft Office, PDF, текстовые файлы): фиксируется не только содержимое, но и метаданные — автор, даты создания и редактирования, количество правок.

• Графические изображения (JPEG, PNG, RAW). Здесь особенно важны встроенные EXIF-данные, которые могут содержать информацию о камере, параметрах съемки и даже координатах GPS.

• Мультимедийные файлы (аудио, видео). Эксперт проверяет их на наличие признаков монтажа и извлекает данные о кодеках и устройстве записи.

2. Метаданные (данные о данных)

Зачастую информация о файле важнее его содержания. Заверению подлежат:

• Временные метки (Timestamps): MAC-время (Modified, Accessed, Created) в файловых системах NTFS, ext4 или APFS.

• Журналы транзакций баз данных (например, 1С или SQL): они фиксируют, кто именно и когда вносил изменения.

• Геотеги: координаты местоположения, «зашитые» в медиафайлы.

3. Дампы оперативной памяти (RAM)

Это «золотой стандарт» при расследовании киберинцидентов. Эксперт заверяет слепок оперативной памяти, который содержит:

• Список запущенных процессов.

• Пароли в открытом виде (plaintext).

• Активные сетевые соединения.

• Несохраненные данные документов.
  К дампу обязательно вычисляется хеш-сумма (MD5, SHA-1, SHA-256), подтверждающая его неизменность после изъятия.

4. Содержимое носителей информации

Вместо работы с оригиналом эксперт создает его побитовую копию (образ). Это касается:

• Жестких дисков (HDD/SSD).

• Флеш-накопителей и SD-карт.

• Мобильных устройств. При работе со смартфоном владельца эксперт изымает данные особым образом. Важно понимать: просто сделать фото экрана телефона недостаточно. Специалист использует криминалистическое ПО для создания образа памяти устройства. Это позволяет заверить не только фотографии и видео, хранящиеся в памяти смартфона, но и записи диктофона, системные логи и данные приложений.

• Облачных хранилищ — фиксируется их содержимое на момент осмотра (скриншоты с заголовками окон и датой или выгрузка структуры через API).

5. Сетевой трафик (PCAP)

При расследовании в реальном времени фиксируются:

• Дампы сетевого трафика (PCAP/PCAPNG): перехваченные пакеты, доказывающие факт передачи конфиденциальных данных или несанкционированного доступа.

• Логи межсетевых экранов и прокси-серверов: подтверждение подключений к внешним ресурсам.

6. Цифровые следы в ОС (Артефакты)

Операционные системы оставляют множество следов, которые эксперты «заверяют» для последующего анализа:

• Реестр Windows: содержит информацию о подключенных USB-устройствах (незаменимо при расследовании краж данных), историях поиска и запускаемых программах.

• Браузерные данные (история, кэш, куки, закладки): доказательства посещения определенных сайтов.

• Системные журналы (Event Logs): события входа в систему, ошибки, запуск служб.

• Скрытые журналы NTFS ($LogFile и $UsnJrnl): они не удаляются даже при очистке корзины и позволяют отследить историю изменений файлов.

7. Логи серверов и приложений

Для серверной инфраструктуры заверяются:

• Системные логи (syslog, auth.log): фиксация попыток входа (SSH, FTP).

• Логи веб-серверов: доказательства взлома, SQL-инъекций или загрузки вредоносных скриптов.

• Логи почтовых серверов: подтверждение отправки писем.

8. Переписка в мессенджерах и социальных сетях

В современной практике это один из самых востребованных видов доказательств. Эксперт заверяет содержимое переписки в WhatsApp, Telegram, Skype, Viber, Signal и других платформах.

• Что фиксируется: текст сообщений, медиафайлы (фото, видео, голосовые сообщения), информация о времени отправки/доставки/прочтения, данные об участниках беседы (номера, никнеймы, ID).

• Сложности и нюансы:

  • Простой скриншот экрана не является надежным доказательством, так как его легко подделать.

  • Эксперт, используя мобильное устройство владельца или доступ к аккаунту (при добровольном согласии или по постановлению суда), производит осмотр переписки. Процесс фиксируется на видео (с демонстрацией структуры папок, даты и времени устройства) либо с использованием специализированных программ, которые извлекают базы данных мессенджеров из резервных копий или памяти устройства.

  • Для мессенджеров с «секретными» чатами и end-to-end шифрованием (как Telegram) критически важно иметь доступ к устройству получателя/отправителя, так как историю сообщений в облаке можно не хранить.