Введение: концептуализация объекта как центральной категории экспертной деятельности

В структуре научных основ судебной компьютерно-технической экспертизы (СКТЭ) категория «объекты судебной компьютерно-технической экспертизы» занимает центральное методологическое положение. Это не произвольный перечень устройств, а научно обоснованная система материальных и информационных образований, свойства, состояние и особенности функционирования которых являются источниками фактических данных, устанавливаемых экспертом. Корректное определение и классификация объектов напрямую влияет на выбор методик исследования, процессуальную грамотность действий по их изъятию и хранению, а в конечном итоге — на доказательственную силу экспертного заключения.

Под объектом судебной компьютерно-технической экспертизы понимается материальный носитель информации или техническое средство её обработки, хранения и передачи, представленное на исследование в установленном процессуальном порядке и содержащее сведения (в явной или скрытой форме) о фактах, имеющих значение для правильного разрешения уголовного, гражданского или административного дела. В условиях технологической конвергенции границы класса этих объектов динамично расширяются, охватывая не только традиционные вычислительные системы, но и сложные киберфизические комплексы, встроенные устройства и распределенные сетевые среды. Настоящая статья посвящена комплексному научному анализу системы объектов СКТЭ, их классификации, особенностям процессуального обеспечения и роли в построении доказательств в современном судопроизводстве.

Глава 1. Системно-структурная классификация объектов СКТЭ

Объекты СКТЭ образуют сложную иерархическую систему, что обусловлено многоуровневой архитектурой современных информационно-технических комплексов. Классификация может быть построена по нескольким взаимодополняющим основаниям, наиболее практически значимым из которых является функционально-компонентный принцип.

1.1. Аппаратные (технические) средства (Hardware)

Данный класс объединяет физические устройства, составляющие материальную основу информационной системы. Его можно подразделить на следующие категории:

• Универсальные вычислительные платформы: Персональные компьютеры (стационарные системные блоки, моноблоки), серверы различных классов, рабочие станции, ноутбуки.
• Компоненты и комплектующие: Материнские (системные) платы, центральные (CPU) и графические (GPU) процессоры, модули оперативной памяти (RAM), платы расширения, блоки питания, системы охлаждения.
• Устройства хранения информации (Storage Devices): Накопители на жёстких магнитных дисках (HDD), твердотельные накопители (SSD, NVMe), гибридные накопители (SSHD), внешние и съёмные носители (USB-флеш-накопители, карты памяти SD/microSD, внешние HDD/SSD), оптические диски.
• Устройства ввода-вывода и периферия: Клавиатуры, манипуляторы (мыши, графические планшеты), мониторы, принтеры, многофункциональные устройства (МФУ), сканеры, проекторы.
• Сетевое и телекоммуникационное оборудование: Маршрутизаторы, коммутаторы, межсетевые экраны (аппаратные), точки доступа Wi-Fi, модемы, патч-панели, кабельная инфраструктура.

1.2. Программное обеспечение и микропрограммы (Software & Firmware)

Этот класс включает логические объекты, управляющие аппаратной частью и реализующие целевые функции системы.

• Системное программное обеспечение: Операционные системы (семейства Windows, Linux, macOS), драйверы устройств, системные утилиты и оболочки.
• Микропрограммы (прошивки, firmware): Программное обеспечение, встроенное непосредственно в аппаратные компоненты: BIOS/UEFI (материнская плата), прошивки контроллеров жестких дисков (HDD/SSD), сетевых адаптеров, принтеров, модемов.
• Прикладное программное обеспечение: Офисные пакеты, системы управления базами данных (СУБД), графические и мультимедийные редакторы, инженерное ПО (САПР), бухгалтерские и управленческие системы (1С, SAP), специализированное ПО для бизнес-процессов.
• Вредоносное и специальное программное обеспечение: Компьютерные вирусы, трояны, программы-шпионы, средства криптографии и стеганографии, утилиты для удалённого администрирования или гарантированного стирания данных.

1.3. Данные и информация (Data)

Наиболее объемный и значимый с доказательственной точки зрения класс. Объектами выступают информационные образования, хранящиеся, обрабатываемые и передаваемые системой.

• Пользовательские файлы и документы: Текстовые документы, электронные таблицы, презентации, графические изображения, аудио- и видеофайлы, архивные файлы.
• Системные данные и метаданные: Служебные структуры файловых систем (MBR/GPT, MFT для NTFS, таблица inode для ext), атрибуты файлов (имя, размер, временные метки MAC-times), данные реестра Windows, журналы событий (Event Log, syslog).
• Электронные сообщения и история коммуникаций: Файлы почтовых ящиков (.pst, .ost, .eml), базы данных и журналы переписки из мессенджеров (Telegram, WhatsApp, Viber), журналы вызовов и SMS/MMS.
• Артефакты сетевой активности: Файлы cookie, история посещений и кэш браузеров, журналы прокси-серверов и файрволов, дампы сетевого трафика (файлы .pcap).
• Оперативные и остаточные данные: Дампы оперативной памяти (RAM), файлы подкачки (pagefile.sys, swap), содержимое нераспределенного пространства накопителей (unallocated space), остаточные данные в кластерах (slack space).

1.4. Специализированные и мобильные устройства

Ввиду их повсеместного распространения и специфики данные объекты выделяются в отдельную группу.

• Мобильные средства связи: Смартфоны, планшеты, мобильные модемы. Представляют собой конвергентные устройства, объединяющие все три предыдущих класса в одном компактном корпусе, часто со специализированными ОС (Android, iOS).
• Оборудование систем видеонаблюдения и контроля доступа: Видеорегистраторы (DVR, NVR), IP-камеры, системы хранения видеоданных.
• Банковское и торговое оборудование: Банкоматы (ATM), платежные терминалы (POS-системы), информационные киоски.
• Встраиваемые системы и оборудование «Интернета вещей» (IoT): Промышленные программируемые логические контроллеры (ПЛК), одноплатные компьютеры (Raspberry Pi, Arduino), «умные» бытовые устройства.

Методологически важным является понимание того, что в реальном экспертном исследовании объекты разных классов исследуются не изолированно, а во взаимосвязи. Например, изучение данных пользователя (класс 3) невозможно без анализа файловой системы, создаваемой операционной системой (класс 2), которая функционирует на конкретном аппаратном комплексе (класс 1).

Глава 2. Процессуальный режим работы с объектами СКТЭ: изъятие, фиксация и хранение

Юридическая сила заключения эксперта в значительной мере определяется соблюдением правил обращения с объектами на досудебной стадии. Процедура должна гарантировать их подлинность, сохранность и неизменность.

1. Изъятие и протоколирование. Изъятие компьютерной техники производится по общим правилам, установленным для вещественных доказательств. В протоколе следственного действия должны быть максимально подробно описаны:
   • Внешний вид и расположение устройства.
   • Состояние устройства (включено/выключено, подсоединено к сети, активность индикаторов).
   • Все подключенные периферийные устройства и кабели.
   • Маркировочные данные (серийные номера, инвентарные номера, MAC-адреса).
   • Предпринятые меры по сохранности данных (например, изъятие вместе с блоком бесперебойного питания для предотвращения повреждения при отключении электричества).
2. Обеспечение целостности и консервация состояния. Для предотвращения модификации данных применяются специальные меры:
   • Для работающих систем: Документирование активных процессов и сетевых соединений на экране (фото- или видеосъемка), последующее корректное завершение работы, если это не грозит потерей данных, или физическое обесточивание в спорных случаях.
   • Изоляция от сетей: Немедленное отключение от локальной сети и Интернета для блокировки возможности удаленного доступа и стирания данных.
   • Защита от статического электричества и механических поврежденийпри транспортировке.
3. Создание криминалистической копии (образа). Золотое правило компьютерной криминалистики — эксперты не работают с оригиналами накопителей. С помощью аппаратно-программных комплексов (таких как Tableau, WiebeTech, либо ПО типа FTK Imager, dd) создается точная побитовая копия носителя информации. Подлинность и неизменность образа в дальнейшем контролируется путем вычисления и сравнения криптографических хэш-сумм (MD5, SHA-1, SHA-256) исходного носителя и полученной копии. Оригинальные носители опечатываются и хранятся как вещественные доказательства.
4. Соблюдение «цепочки доказательств» (Chain of Custody). Обязательно ведение журнала учета, в котором фиксируются все лица, имевшие доступ к объекту экспертизы, дата, время и цель каждого взаимодействия. Это позволяет нейтрализовать потенциальные обвинения в подмене или фальсификации объекта.

Глава 3. Классификация задач, решаемых при исследовании различных объектов

Характер объектов предопределяет типовые вопросы и задачи, которые ставятся перед экспертом в постановлении о назначении СКТЭ.

Таблица: Взаимосвязь классов объектов и типовых экспертных задач

Глава 4. Актуальные вызовы и тенденции, связанные с эволюцией объектов СКТЭ

Технологический прогресс постоянно трансформирует систему объектов, создавая новые вызовы для экспертной методологии.

1. Шифрование данных. Повсеместное использование аппаратного (TPM-модули, BitLocker) и программного шифрования полного диска, а также шифрования на уровне файлов (например, в современных мессенджерах) делает данные на изъятом носителе недоступными без криптографического ключа или пароля. Это смещает фокус экспертизы на поиск ключей в оперативной памяти (live forensics), анализ недешифрованных метаданных или применение легальных методов принуждения к раскрытию пароля.
2. Облачные вычисления и виртуализация. Физическое местоположение данных (облачные хранилища типа iCloud, Google Drive, Яндекс.Диск) часто не совпадает с местом изъятия оборудования. Объектом исследования становится не носитель, а учетная запись и сетевой доступ. Их изъятие требует сложной процедуры взаимодействия с провайдером, часто находящимся в другой юрисдикции, на основе международных договоров или национального законодательства (например, «Cloud Act» в США).
3. Гигантские объемы данных (Big Data). Эксперту приходится анализировать массивы информации в петабайтном диапазоне (например, логи крупных корпоративных систем или интернет-провайдеров). Это требует использования специализированных средств анализа больших данных, технологий машинного обучения для фильтрации и выявления аномалий, а также новых подходов к организации экспертного исследования.
4. Интеграция с физическим миром (киберфизические системы). Экспертиза автомобиля с компьютерным управлением (например, после аварии), медицинского оборудования или промышленного робота требует не только классических IT-знаний, но и понимания основ соответствующей предметной области (автомобилестроение, медицина, промышленная автоматика), что обусловливает необходимость междисциплинарного подхода.

Заключение

Объекты судебной компьютерно-технической экспертизы образуют сложную, открытую и динамичную систему, отражающую эволюцию цифровых технологий. Их научно обоснованная классификация по функционально-компонентному признаку (аппаратные средства, ПО, данные, специализированные устройства) служит основой для формирования методического аппарата СКТЭ и корректного процессуального оформления.

Успешность экспертного исследования определяется не только мастерством эксперта, но и строгим соблюдением правил изъятия, фиксации и сохранения объектов, главным из которых является принцип работы с криминалистическими копиями. Преодоление современных вызовов, связанных с шифрованием, облачными технологиями и анализом больших данных, требует от экспертного сообщества постоянного профессионального развития, адаптации классических методик и разработки новых стандартов. Только такой системный подход к пониманию объектов позволяет судебной компьютерно-технической экспертизе оставаться эффективным и надежным инструментом установления истины в цифровую эпоху.

Для получения профессиональной консультации или заказа судебной компьютерно-технической экспертизы вы можете обратиться в Центр инженерных экспертиз: https://kompexp.ru/.