🖥️⚙️ Компьютерно-техническая экспертиза (КТЭ) – это вид судебной экспертизы, изучающий аппаратное обеспечение (компьютеры, серверы, периферию, сетевое оборудование), программное обеспечение и информационные процессы с целью установления фактических обстоятельств, имеющих значение для расследования преступлений, разрешения гражданских и арбитражных споров. 📌 Союз «Федерация судебных экспертов» (ФСЭ) проводит полный спектр компьютерно-технических исследований: от изъятия и осмотра носителей до сложного цифрового анализа, включая восстановление удалённых данных, взлом паролей, трассировку сетевых подключений. 🛡️ Наши эксперты имеют сертификаты в области информационной безопасности, многолетний опыт работы с правоохранительными органами и в корпоративном секторе. 🔬 Мы руководствуемся нормами УПК РФ, ГПК РФ, АПК РФ, а также ведомственными методиками (например, «Рекомендации по производству компьютерно-технических экспертиз» СЭУ МВД России, адаптированные для негосударственных экспертов). 🧾 Заключения ФСЭ принимаются судами всех инстанций как полноценные доказательства.

1. Понятие и правовое значение компьютерно-технической экспертизы

📖 Компьютерно-техническая экспертиза – это процессуальное действие, назначаемое судом, следователем или дознавателем, либо инициативное исследование по заказу частного лица или компании для получения научно обоснованных ответов на вопросы, связанные с цифровыми устройствами и данными. ⚖️ Юридическое значение КТЭ огромно в следующих категориях дел:

• 🏛️ Уголовные дела: о неправомерном доступе к компьютерной информации (ст. 272 УК РФ), создании и распространении вредоносных программ (ст. 273 УК РФ), нарушении правил эксплуатации средств хранения, обработки или передачи информации (ст. 274 УК РФ), о кражах с использованием фишинга, взлома банковских счетов.
• 👨‍💼 Гражданские дела: о защите авторских прав на программное обеспечение, о восстановлении удалённых данных с жёсткого диска после сбоя, о спорах между работником и работодателем (установление факта использования служебного компьютера в личных целях).
• 📑 Арбитражные дела: о промышленном шпионаже, о легальности использования ПО в компаниях.
• 🏠 Семейные споры: о факте посещения несовершеннолетним запрещённых сайтов, об отправке угрожающих сообщений.
• ⚖️ Административные дела: о распространении запрещённой информации в интернете (экстремизм, пропаганда наркотиков).
  📌 Союз «Федерация судебных экспертов» помогает сторонам объективно установить факты: был ли доступ, кто и когда работал, что удалялось и т.д.

2. Виды компьютерно-технических экспертиз, проводимых Союзом «ФСЭ»

📑 В зависимости от объектов и целей выделяют следующие основные виды КТЭ:

• 🖥️ Аппаратно-компьютерная экспертиза – исследование технического состояния компьютеров, серверов, ноутбуков, планшетов, смартфонов, внешних накопителей (USB, HDD, SSD), а также их компонентов (материнские платы, процессоры, модули памяти, контроллеры). Цель: определить работоспособность, наличие дефектов, следов ремонта, подмены деталей.
• 🧾 Программно-компьютерная экспертиза – исследование программного обеспечения (ПО): установленных приложений, операционных систем, драйверов, скрытых процессов, следов работы ПО (логи, кэш, реестр). Цель: выявить факты использования конкретных программ, их лицензионность, наличие вредоносного кода.
• 🌐 Сетевая экспертиза – исследование компьютерных сетей (локальных, глобальных), маршрутизаторов, коммутаторов, файрволов, прокси-серверов, журналов доступа, сетевых пакетов. Цель: установить факты подключения к интернету, посещения сайтов, передачи файлов, IP-адреса отправителя.
• 📀 Экспертиза цифровых носителей информации – восстановление удалённых, скрытых, зашифрованных данных с жёстких дисков, SSD, карт памяти, оптических дисков. Включает методы низкоуровневого доступа (чтение служебных областей).
• 🕵️ Экспертиза мобильных устройств – исследование смартфонов, планшетов (iOS, Android), извлечение данных из мессенджеров (WhatsApp, Telegram, Viber), звонков, геолокации, фотографий.
  📌 Союз «ФСЭ» часто проводит комплексную экспертизу, объединяя несколько видов для полного анализа инцидента.

3. Объекты компьютерно-технической экспертизы

📦 Эксперты Союза «Федерация судебных экспертов» работают со следующими объектами:

• 💻 Стационарные компьютеры (ПК) – системные блоки, моноблоки, рабочие станции.
• 🖥️ Ноутбуки, ультрабуки, нетбуки.
• 🖨️ Периферийные устройства – принтеры, сканеры, МФУ (исследуется память устройств, журналы печати).
• 📡 Сетевое оборудование – маршрутизаторы (роутеры), коммутаторы, сетевые экраны, точки доступа Wi-Fi.
• 💾 Накопители данных – жёсткие диски (HDD, SSD, SSHD), USB-флешки, карты памяти (SD, microSD), компакт-диски (CD/DVD/Blu-ray), магнитные ленты.
• 📱 Мобильные устройства – смартфоны, телефоны, планшеты, носимые устройства (умные часы, фитнес-браслеты).
• ☁️ Облачные сервисы – данные из Google Drive, iCloud, OneDrive, Яндекс.Диск (по запросу суда или с согласия владельца).
• 📄 Файлы и данные – любые цифровые объекты (фотографии, документы, базы данных, электронные таблицы, архивы, системные логи).
  📌 Важно: Союз «ФСЭ» проводит изъятие объектов с соблюдением процессуальных норм (в присутствии понятых, с составлением протокола), используя специальные наборы для криминалистической работы с цифровыми устройствами (Faraday-мешки для защиты от дистанционного удаления данных).

4. Основные методы компьютерно-технической экспертизы

🔬 Союз «Федерация судебных экспертов» применяет современные методы, многие из которых реализованы в специализированном ПО и аппаратных комплексах:

• 🧬 Создание посекторной копии (image) – битовое копирование всего носителя (включая удалённые области) с помощью программ-криминалистов (например, EnCase, FTK Imager, dd под Linux). Копия защищена контрольными суммами (MD5, SHA-256) для обеспечения неизменности.
• 🗝️ Анализ файловой системы – разбор структур NTFS, FAT32, exFAT, HFS+, APFS, ext2/3/4. Восстановление таблиц MFT, поиск теневых копий, файлов-призраков.
• ♻️ Восстановление удалённых данных – поиск по сигнатурам (заголовкам файлов: JPEG, PDF, DOCX, ZIP). Программы R-Studio, Hetman, Photorec позволяют восстановить файлы, даже если они были частично перезаписаны.
• 🔑 Взлом паролей – атаки по словарю, брутфорс, радужные таблицы (Hashcat, John the Ripper), а также обход защиты через загрузку с Live-CD.
• 🕵️ Анализ реестра Windows – изучение ключей реестра (SAM – пароли учётных записей, UserAssist – история запуска программ, MUICache, последние открытые документы, подключённые USB-устройства – USBSTOR).
• 🌐 Анализ сетевого трафика – перехват и декодирование пакетов (Wireshark), изучение файлов подкачки, DNS-кэша, ARP-таблиц, логов прокси.
• 📱 Извлечение данных из мобильных устройств – с помощью UFED (Cellebrite), Oxygen Forensic, Magnet AXIOM. Получение доступа к зашифрованным приложениям, извлечение данных без разблокировки (при наличии уязвимостей).
• 🐍 Обнаружение вредоносного ПО – статический анализ кода, динамический запуск в изолированной среде (песочнице), анализ сетевых соединений подозрительных процессов.
  📊 Каждый метод документируется с указанием версии ПО, настроек, даты и времени.

5. Вопросы, решаемые компьютерно-технической экспертизой ФСЭ

📝 По заказу следователей, судей, адвокатов или частных лиц эксперты Союза «ФСЭ» отвечают на следующие типовые вопросы:

1. 🖥️ Каково техническое состояние компьютерного устройства (жёсткого диска, ноутбука)? Имеются ли на нём физические дефекты, следы вскрытия?
2. 📀 Содержит ли представленный носитель (HDD, USB-флешка, карта памяти) интересующую информацию (например, фотографии, видео, текстовые документы)? Если да, то какие именно?
3. 🗑️ Были ли с данного носителя удалены файлы? Если да, то какие, когда (приблизительно), можно ли их восстановить?
4. 👤 Кто (какой пользователь, учётная запись) создавал, изменял или удалял файлы? Какие программы при этом использовались?
5. 🌐 Осуществлялся ли доступ в интернет с данного компьютера в указанное время? Какие сайты посещались, какие файлы скачивались?
6. 📱 Какие действия производились с мобильным телефоном (входящие/исходящие звонки, SMS, мессенджеры, геолокация)?
7. 🧪 Содержит ли компьютер вредоносное программное обеспечение (трояны, шпионы, вирусы, руткиты)? Каков их функционал?
8. 🔑 Имеется ли на компьютере следы подключения внешних USB-устройств (флешек, внешних HDD)? Если да, то их серийные номера, время последнего подключения.
9. 👨‍💻 Могли ли быть сфабрикованы или подделаны представленные цифровые доказательства (файлы, логи)?
10. ⚖️ Соответствует ли установленное программное обеспечение лицензионным требованиям, не нарушает ли авторские права?
    📌 Эксперт даёт ответы в категоричной форме (или вероятностной при недостаточности данных), с обоснованием.

6. Процедура назначения и производства КТЭ в Союзе «ФСЭ»

📋 Пошаговый алгоритм:

1. 🏛️ Суд (следователь) выносит постановление о назначении компьютерно-технической экспертизы, указывая вопросы и перечень предоставляемых объектов (компьютеры, диски, документы).
2. 📄 Постановление и объекты передаются в Союз «Федерация судебных экспертов» с описью. В случае досудебного исследования – заказчик подаёт заявление.
3. 📞 Координатор ФСЭ связывается с заказчиком для уточнения сроков и необходимости дополнительных материалов (без телефонов, через систему электронного документооборота или личный кабинет на сайте).
4. 🧑‍🔬 Формируется комиссия экспертов (один или несколько, в зависимости от сложности – привлекаются специалисты по анализу вредоносного ПО, по мобильным устройствам, по сетевым технологиям).
5. 🔒 Объекты помещаются в специальное хранилище (сейф) с контролируемым доступом, исключающим модификацию данных. При необходимости создаются битовые копии.
6. 🔬 Проводится исследование с использованием разрешённых методов и программ. Весь процесс логируется (кто, когда, какие действия).
7. 📑 Составляется заключение эксперта (или комиссии) по форме, соответствующей УПК/ГПК.
8. 📤 Заключение направляется в назначивший орган, а объекты возвращаются уполномоченному лицу.
   ⏳ Сроки: от 5 до 45 рабочих дней. Срочные экспертизы (72 часа) возможны, но требуют повышенной оплаты.

7. Техническое оборудование и программное обеспечение, используемое ФСЭ

🛠️ Союз «Федерация судебных экспертов» оснащён профессиональными комплексами:

• 🖥️ Аппаратные блокираторы записи (например, Tableau T8, Atola Insight) – позволяют подключать исследуемый диск в режиме «только чтение», чтобы исключить изменение данных.
• 💾 Криминалистические станции – высокопроизводительные ПК с возможностью подключения нескольких носителей одновременно, специализированными портами для чтения Flash-памяти.
• 📀 Логические анализаторы – для прямого чтения чипов памяти без использования контроллера (чип-офф).
• 💽 Программные комплексы:
  • EnCase Forensic – промышленный стандарт (поддержка всех файловых систем, расширенный поиск по регулярным выражениям, скрипты).
  • FTK (Forensic Toolkit) – анализ реестра, индексация, восстановление удалённых файлов.
  • X-Ways Forensics – быстрый, эффективный для больших дисков.
  • Cellebrite UFED – для мобильных устройств (извлечение данных из 30 000+ моделей).
  • Autopsy / The Sleuth Kit – бесплатные, но мощные инструменты.
• 🛡️ Песочницы (Sandbox) – для безопасного запуска подозрительных файлов (Cuckoo Sandbox, любой изолированный виртуальный сервер).
  📌 Все используемые программные продукты имеют лицензии, версии и контрольные суммы. Эксперт в заключении указывает названия, версии и настройки.

8. Исследование жёстких дисков и восстановление данных

💽 Одна из наиболее частых задач – восстановление данных с повреждённого или отформатированного диска. 🔬 Эксперт ФСЭ действует поэтапно:

• 🩺 Диагностика состояния – подключение диска через специальный адаптер, считывание S.M.A.R.T.-атрибутов (показатели здоровья: количество перераспределённых секторов, время намагничивания, температура). Если диск издает щелчки – вероятна проблема с головками, требуется вскрытие в чистой комнате (проводится редко, по особому заданию).
• 🧬 Создание образа – посекторное копирование даже при наличии повреждённых секторов (пропуск bad-блоков с повторными попытками).
• 🔍 Восстановление файлов – анализ файловых систем NTFS, FAT, exFAT. Поиск по заголовкам файлов (JPEG – FF D8, PDF – 25 50 44 46, ZIP – 50 4B 03 04). Восстановление имён из MFT (Master File Table) или по содержимому.
• ⚠️ Работа с зашифрованными дисками (BitLocker, VeraCrypt, FileVault) – если есть пароль или ключ восстановления, эксперт его использует. Без ключа – только брутфорс (крайне долго) или копирование зашифрованного образа для последующей расшифровки на более мощном оборудовании.
• 📄 Анализ скрытых областей – Host Protected Area (HPA), Device Configuration Overlay (DCO) – там могут храниться данные, не видимые обычными ОС. Эксперт считывает их специальными ATA-командами.
  📌 Союз «ФСЭ» успешно восстанавливал данные с дисков после удара, пожара, залива водой (вскрытие гермозоны в лаборатории).

9. Исследование мобильных устройств (смартфонов, планшетов)

📱 Мобильные устройства хранят огромный объём информации. Методы ФСЭ:

• 🚫 Предотвращение синхронизации и удаления – устройство помещается в Faradey-мешок (экранирует радиосигналы) сразу после изъятия.
• 🔑 Извлечение данных – через:
  • Логический метод – создание резервной копии (iTunes, Android Backup) при известном пароле.
  • Физический метод – чтение всего чипа памяти с помощью специализированного программатора (например, Z3X, Octoplus, Medusa). Требует разборки и припоя.
  • Метод «чип-офф» – выпайка eMMC-чипа и прямое чтение на программаторе. Очень дорого, но эффективно даже при нерабочем телефоне.
• 💬 Извлечение данных из мессенджеров – WhatsApp, Telegram, Viber, Signal. Даже если сообщения сквозное зашифрованы, ключи могут храниться на устройстве. Эксперт получает базы данных (SQLite), расшифровывает их.
• 🗺️ Геолокация – извлечение данных GPS/GLONASS, истории перемещений (Google Maps Timeline), метаданных фотографий (EXIF).
• 📞 Вызовы и SMS – логи оператора и прошивки.
  📌 В одном из кейсов ФСЭ удалось восстановить удалённую переписку в Telegram, которая стала ключевым доказательством по делу о мошенничестве.

10. Исследование сетевых технологий и интернет-активности

🌐 Сетевая экспертиза включает анализ маршрутизаторов, логов провайдера (по судебному запросу), а также локальных следов:

• 📡 Анализ журналов роутера – список подключённых устройств (MAC-адреса), время выхода в интернет, посещённые URL (при наличии функции логирования).
• 🕵️ Изучение кэша DNS, ARP-таблицы – какие домены разрешались в IP, какие устройства были в локальной сети.
• 📜 Анализ файла hosts – подмены адресов.
• 🌍 История браузера (Chrome, Firefox, Edge, Safari) – дата и время посещения URL, заголовки страниц, загрузки файлов, cookies, сохранённые пароли (в расшифрованном виде при известном мастер-пароле).
• 🧾 Анализ дампов оперативной памяти – можно извлечь ключи сессий, данные из зашифрованных соединений (например, при жизни процесса браузера).
• 🔗 Сетевая криминалистика – перехват пакетов (если экспертиза проводится в динамике). Определение IP-адреса отправителя, маршрутов, времени жизни пакетов.
  📌 Союз «ФСЭ» может по запросу суда взаимодействовать с провайдерами для получения логов (при наличии соответствующего поручения). В заключении указываются методы определения IP.

11. Программно-компьютерная экспертиза: поиск вредоносного ПО

🐍 Обнаружение вирусов, троянов, шпионского ПО – частое задание. Методы:

• 🧬 Сигнатурный анализ – сравнение файлов с базами сигнатур антивирусов (Kaspersky, Dr.Web, ESET). Но эксперт идёт дальше.
• 🧪 Поведенческий анализ – запуск подозрительного файла в песочнице (изолированной виртуальной среде) с мониторингом изменений в реестре, создания процессов, сетевых соединений, записи файлов.
• 🔍 Статический анализ кода – дизассемблирование (IDA Pro, Ghidra), поиск строк, функций, вызовов API, характерных для вредоносного ПО (например, вызовы WriteProcessMemory, VirtualAllocEx – для инъекции кода). Проверка на упаковщики (UPX, ASPack).
• 📊 Анализ журналов – Event Log Windows (журналы безопасности, приложений, системные), поиск аномальных записей.
• 🕒 Определение времени заражения – по дате создания/изменения файлов, по записям в MFT, по журналам установки ПО.
  📌 Эксперт ФСЭ может дать заключение о функциональных возможностях вредоносной программы (например, «программа собирает нажатия клавиш (кейлоггер) и отправляет на сервер 123.45.67.89»). Это важно для квалификации по ст. 273 УК РФ.

12. Экспертиза периферийных устройств и их памяти

🖨️ Принтеры, сканеры, МФУ, корпоративные копировальные аппараты имеют встроенную память (Flash, HDD), в которой сохраняются копии отсканированных и напечатанных документов. 🔍 Эксперт ФСЭ:

• 🧬 Подключается к служебному порту принтера (часто по Ethernet или USB) и считывает журналы (даты, количество страниц, имя компьютера, отправившего задание).
• 💾 Извлекает HDD/SSD из принтера (например, в моделях Canon, Xerox, Ricoh) и анализирует его стандартными криминалистическими методами. Даже после форматирования данные могут сохраниться.
• 📝 Восстанавливает распечатанные документы (в виде графических образов) из временных файлов или спулинга.
  📌 Такая экспертиза часто проводится по делам о разглашении коммерческой тайны или корпоративном шпионаже. В кейсах ФСЭ были случаи восстановления напечатанных чертежей с дискет МФУ спустя годы.

13. Исследование удалённых данных и теневых копий

♻️ Даже после удаления и очистки корзины данные могут оставаться:

• 📂 Теневые копии (Volume Shadow Copy) – в Windows автоматически создаются копии файлов до их изменения. Эксперт может восстановить предыдущие версии.
• 🗑️ Область MFT – запись о файле хранится в главной файловой таблице даже после удаления, пока не будет перезаписана. Можно восстановить имя, размер, даты.
• 📀 Свободное пространство (unallocated clusters) – файлы «размагничиваются» только физически при перезаписи. Эксперт сканирует нераспределённое пространство по сигнатурам.
• 🔁 Своп-файл (pagefile.sys) и файл гибернации (hiberfil.sys) – там могут быть фрагменты документов, которые открывались в ОЗУ.
  📌 Союз «ФСЭ» использует скрипты для автоматического поиска по сотням сигнатур, что позволяет находить файлы, удалённые годы назад (если диск не был перезаписан).

14. Обеспечение сохранности цифровых доказательств (цепочка custody)

🔒 Одна из важнейших задач – доказать, что объекты не были изменены после изъятия. Союз «ФСЭ» строго соблюдает:

• 📋 Протокол изъятия – с участием понятых, опись всех объектов, упаковка в антистатические пакеты с пломбами.
• 🧬 Контрольные суммы – сразу после получения вычисляется MD5 и SHA-256 каждого носителя и каждой созданной копии.
• 📝 Журнал обращений – фиксируется каждое действие эксперта (кто, когда, что делал, какое ПО запускал).
• 🔒 Физическая безопасность – сейфовая комната с ограниченным доступом.
• 🧾 В заключении эксперт указывает, что нарушения цепочки не допущено, и объекты не были модифицированы. Если объект доставлен в повреждённом состоянии – это фиксируется актом.
  📌 Без соблюдения этих правил заключение может быть признано недопустимым доказательством (ст. 75 УПК РФ). ФСЭ гарантирует процессуальную чистоту.

15. Заключение эксперта: структура и требования

📄 Заключение компьютерно-технической экспертизы Союза «Федерация судебных экспертов» состоит из:

• Вводная часть – номер, дата, основание, состав экспертов (ФИО, образование, стаж, сертификаты), вопросы, перечень объектов и материалов.
• Исследовательская часть – подробное описание состояния объектов, использованного оборудования и ПО (версии, настройки), шагов эксперта (создание образа, анализ, поиск, восстановление). Приводятся протоколы запущенных скриптов, скриншоты.
• Синтез и обоснование – интерпретация найденного, логические цепочки («так как в файле jdbg.log обнаружена строка «C:\temp\malware.exe», следовательно…»).
• Выводы – нумерованные, краткие ответы на вопросы постановления. Например: «На жёстком диске серийный номер … обнаружены удалённые файлы формата .xlsx, соответствующие перечню из вопроса №3. Восстановлено 15 файлов, их содержимое приведено в Приложении 1».
  🔏 Заключение подписывается экспертами, заверяется печатью ФСЭ. Прилагаются фототаблицы, листинги с кодами программ, распечатки восстановленных файлов (в отредактированной форме, без нарушения авторских прав).

16. Сроки, стоимость и факторы, влияющие на цену КТЭ

💰 Стоимость компьютерно-технической экспертизы в Союзе «ФСЭ» зависит от:

• 💿 Объёма носителя – анализ 250 GB диска дешевле, чем 4 TB.
• 🔍 Сложности восстановления – логическое удаление (дешевле) vs физическое повреждение диска с разборкой (дороже, иногда до 200 тыс. руб.).
• 🧪 Необходимости применения специальных методов – чип-офф, исследование зашифрованных данных, взлом паролей с использованием GPU-ферм.
• 👥 Количества экспертов и их квалификации – комиссия из 2-3 человек с разными специализациями повышает стоимость.
• ⏳ Срочности – обычный срок 10-20 рабочих дней. Экспресс (3-5 дней) – коэффициент 1.5; срочно (1-2 дня) – коэффициент 2.0.
• 📂 Объёма и сложности вопросов – чем больше вопросов, тем длиннее исследовательская часть.
  📌 Примерные цены (ориентир для заявки):
• Восстановление удалённых файлов с USB-флешки 32 GB (без повреждений) – от 15 000 руб.
• Исследование HDD 1 TB на предмет присутствия вредоносного ПО – от 40 000 руб.
• Полный анализ мобильного телефона с извлечением данных мессенджеров – от 60 000 руб.
• Сложное восстановление с чип-оффом eMMC с последующей расшифровкой – от 150 000 руб.
  Точную цену можно получить через форму на сайте ФСЭ, указав параметры. Сроки согласуются индивидуально.

17. Кейс №1: Восстановление удалённой переписки в Telegram по уголовному делу о мошенничестве

📱 Союз «Федерация судебных экспертов» получил постановление суда об исследовании смартфона обвиняемого в мошенничестве с использованием криптовалюты. 📲 Телефон был заблокирован, пароль неизвестен. Эксперты применили физический метод извлечения через уязвимость загрузчика (Cellebrite UFED Premium). Получен дамп всей памяти (128 GB). 🧬 При анализе была обнаружена база данных Telegram (msgstore.db), но сообщения на момент обыска были удалены. Однако эксперты ФСЭ восстановили журнал операций Write-Ahead Log (WAL) и нашли фрагменты удалённых сообщений за последние 6 месяцев. 📊 В сообщениях содержались переговоры о переводах биткоинов на фишинговые кошельки, а также скриншоты поддельных документов. 🧾 Заключение ФСЭ стало основным доказательством в суде, обвиняемый приговорён к 5 годам лишения свободы.

18. Кейс №2: Установление факта использования служебного компьютера для доступа к порнографическим сайтам (гражданский спор об увольнении)

👨‍💼 Сотрудник крупной компании был уволен за «использование рабочего времени в личных целях» — посещение сайтов для взрослых. Он подал в суд, утверждая, что компьютер был взломан или подставлен. 🖥️ Союз «ФСЭ» провёл экспертизу жёсткого диска служебного ноутбука. 🔬 Анализ реестра Windows показал, что под учётной записью сотрудника (SID) запускались браузеры Chrome и Firefox. В файлах истории (History, Places.sqlite) обнаружены десятки посещений сайтов с датами и временем, совпадающими с рабочими часами. Также были найдены кэшированные изображения (папка Cache). 🧾 Дополнительно эксперт проанализировал логи корпоративного прокси (предоставлены компанией) – IP-адрес ноутбука совпал, время совпало. Вывод: действия совершал именно сотрудник. Суд отказал в иске о восстановлении на работе. Кейс демонстрирует, как КТЭ доказывает авторство действий.

19. Кейс №3: Взлом базы данных конкурента – исследование сетевого маршрутизатора и логов

🏢 Генеральный директор одной фирмы обвинил бывшего системного администратора в краже клиентской базы. 🕵️ Следствие изъяло домашний роутер админа и его ноутбук. Союз «ФСЭ» провёл комплексную сетевую экспертизу: с роутера были извлечены логи (в некоторых моделях сохраняется до 3 месяцев). 📡 Анализ показал, что в день, когда произошло несанкционированное копирование БД, IP-адрес домашнего роутера админа подключался к корпоративной VPN с помощью логина «admin2» (его учётная запись). На ноутбуке найдены следы программы WinSCP для передачи файлов, а также временные файлы скопированной БД (в кэше). 🧾 Эксперты доказали, что именно админ инициировал передачу. Суд приговорил его к компенсации ущерба в 2 млн рублей. Этот кейс подчеркнул важность исследования роутеров.

20. Кейс №4: Обнаружение вредоносного ПО-шпиона на компьютере журналиста

🖨️ Журналист, расследовавший коррупцию в мэрии, заметил, что его личная переписка становится известна третьим лицам. Он обратился в Союз «Федерация судебных экспертов» для досудебного исследования. 🧬 Эксперты создали образ диска, провели углублённый анализ. Найден процесс svchost.exe с подозрительным хешем, который не совпадал с эталонным. При запуске в песочнице этот процесс открывал сокет на сервер 185.xxx.xxx.xxx и передавал содержимое буфера обмена, скриншоты экрана каждые 5 минут, а также файлы с ключевыми словами «расследование», «мэрия», «взятка». 🛡️ Анализ динамической библиотеки (DLL) показал, что это руткит на базе DarkComet. 🧾 Экспертное заключение помогло журналисту подать заявление в полицию, а также установить, что вредоносное ПО было установлено при получении письма с вложенным документом (фишинг). Виновник (сотрудник мэрии) был впоследствии осуждён за неправомерный доступ (ст. 272 УК РФ).

21. Кейс №5: Спор о наследстве – восстановление удалённого завещания с ноутбука умершего

📜 После смерти бизнесмена его сын и дочь спорили о завещании. По словам дочери, отец накануне смерти набрал завещание на ноутбуке, но затем удалил его, передумав. Однако сын утверждал, что никакого завещания не было. 🧬 Союз «ФСЭ» провёл экспертизу ноутбука (HDD не перезаписывался). 📀 С помощью поиска по сигнатурам (заголовкам .docx и .rtf) эксперты восстановили множество удалённых файлов. Среди них – документ «ЗАВЕЩАНИЕ_окончательный.docx» с датой создания за 2 дня до смерти. 🕒 Анализ MFT показал, что файл был удалён через корзину, но не перезаписан. В содержимом – распределение имущества в пользу дочери (70%) и сына (30%). 🧾 Суд признал восстановленное завещание как доказательство волеизъявления, несмотря на отсутствие нотариального удостоверения (но по закону – завещание должно быть нотариальным, однако суд учёл его как подтверждение намерений при разрешении спора о разделе наследства по закону – сын был ограничен в правах). Кейс показывает возможности криминалистики даже без нотариуса.

22. Заключение и рекомендации Союза «Федерация судебных экспертов»

🖥️⚖️ Компьютерно-техническая экспертиза в современном цифровом мире становится не просто полезной, а часто незаменимой. 🏅 Союз «Федерация судебных экспертов» предлагает полный цикл услуг: выезд для изъятия, лабораторное исследование, восстановление данных, анализ сетевых атак, проверку вредоносного ПО, экспертное заключение в суде. 📌 Мы гарантируем:

• Абсолютную сохранность цифровых доказательств (цепочка custody);
• Использование только лицензионного и проверенного программного обеспечения;
• Прозрачность методов (все шаги фиксируются);
• Независимость и научную объективность.
  💡 Рекомендации для заказчиков:
• При изъятии компьютера или телефона – не включайте его самостоятельно, особенно не пытайтесь зайти в систему, так как это изменит метаданные и может уничтожить следы.
• Упакуйте устройство в антистатический пакет (или просто выключите и не трогайте).
• Сохраняйте все пароли, если вы их знаете – они могут помочь эксперту.
• Обращайтесь в Союз «ФСЭ» как можно скорее, пока данные не перезаписаны.
  🌐 По всем вопросам, для заказа компьютерно-технической экспертизы, а также для получения первичной бесплатной консультации перейдите на наш сайт:

https://kriminalist77.ru/voprosy-ekspertam/