← Вопросы экспертам

Компьютерная экспертиза жёсткого диска

Илья
1 неделя назад

Компьютерная экспертиза жёсткого диска

1 Answers
Stanislav
Staff 1 неделя назад

Здравствуйте.
Рады приветствовать вас на сайте Союза «Федерация судебных экспертов».
Жёсткий диск (HDD или SSD) — это хранилище цифровых доказательств в гражданских, арбитражных и уголовных делах. Экспертиза может преследовать разные цели: восстановление удалённых файлов, поиск конкретной информации (переписка, фото, документы), определение факта подключения диска к определённому компьютеру, выявление скрытых разделов или шифрования, а также установление времени создания/изменения/удаления файлов. Такое комплексное исследование мы называем компьютерная экспертиза жёсткого диска. Отвечаю на все ваши вопросы.
Стоимость
Стоимость зависит от объёма диска (1 ТБ, 2 ТБ, 4 ТБ), степени повреждения (рабочий, с логическими ошибками, с физическими неисправностями) и сложности задач (просто найти файлы, восстановить удалённое, обойти шифрование). Базовая компьютерная экспертиза жёсткого диска (создание посекторного образа, поиск файлов по маске, выдача простого перечня) стоит в Москве 15 000 – 30 000 рублей. Средний уровень (восстановление удалённой информации, анализ временных метаданных, поиск скрытых разделов) — 25 000 – 50 000 рублей. Сложная экспертиза (неисправный диск, требующий вскрытия в чистой комнате, обход аппаратного шифрования, извлечение данных из повреждённых секторов) — 45 000 – 120 000 рублей. Срочное исследование за 2–4 дня — с наценкой 60–100%.
Сроки
Стандартный срок — 5–12 рабочих дней. Срочная компьютерная экспертиза жёсткого диска (за 2–4 дня) возможна только для исправных дисков малого объёма (до 500 ГБ). Время уходит на: создание битового образа (для HDD 1 ТБ — 2–6 часов), сканирование файловой системы, поиск удалённых записей, анализ метаданных (даты, временные метки), а при необходимости — восстановление целых файлов из кластеров. Если диск неисправен, срок увеличивается до 3–4 недель (заказ новых головок, работа с считывателем флэш-памяти для SSD).
Какие документы необходимы
Для запуска экспертизы потребуются:

  1. Сам жёсткий диск (извлечённый из компьютера, в антистатическом пакете). Если ноутбук/компьютер не разбирался, предоставляется весь системный блок.
  2. Постановление следователя или определение суда с вопросами (например: «Какие файлы, содержащие финансовую информацию, хранились на диске? Удалялась ли какая-либо информация после определённой даты? Имеются ли следы доступа к компьютеру третьих лиц?»).
  3. Пароли и ключи шифрования (если диск зашифрован и вы их знаете) — иначе эксперт попытается их обойти, но это не всегда возможно.
  4. Заявление (ходатайство) с перечнем конкретных файлов или ключевых слов для поиска (фамилии, даты, ID).
  5. Исходный образ ОС (если есть) – для сравнения с текущим состоянием диска. Без этих документов компьютерная экспертиза жёсткого диска не сможет ответить на юридически значимые вопросы.

Как провести (процедура шаг за шагом)
Процесс в лаборатории включает обязательные этапы сохранения судебной чистоты:

  • Приёмка диска — фиксация серийного номера, модели, объёма, состояния (царапины, наклейки, отсутствие механических повреждений). Взвешивание (для последующей проверки целостности). Фото.
  • Создание битового образа — точное посекторное копирование на заведомо чистый внешний диск (или RAID-массив) с помощью специализированного оборудования (Tableau, Atola, DeepSpar). Оригинальный диск после этого блокируется от записи (аппаратный write-blocker), чтобы не изменить данные.
  • Хэширование — вычисление контрольных сумм SHA-1 или MD5 для образа и оригинального диска (должны совпадать). Это доказывает в суде, что образ не изменён.
  • Анализ файловой системы (NTFS, FAT32, exFAT, APFS, ext4) — эксперт просматривает таблицу размещения файлов (MFT), журналы, резервные копии.
  • Поиск по заданным критериям: по расширениям, по датам, по ключевым словам (через утилиты типа Autopsy, EnCase, FTK). Выгружаются все совпадения.
  • Восстановление удалённых файлов — при отсутствии перезаписи эксперт находит цепочки кластеров, помеченные в MFT как «свободные», но с сохранёнными данными. Восстанавливает их без записи на оригинал.
  • Анализ временной динамики — проверка, когда были созданы, изменены, открыты, удалены файлы (по STANDARDINFORMATIONиSTANDARDINFORMATIONиFILE_NAME). Это помогает установить, был ли доступ к диску в определённый период.
  • Поиск скрытых данных — неразмеченные разделы, стеганография, скрытые каталоги.
  • Составление заключения — эксперт отвечает на вопросы суда текстом, прилагая список найденных файлов, таблицы дат, а при необходимости — сами восстановленные файлы на отдельном диске (опечатанном). Именно такая компьютерная экспертиза жёсткого диска даёт суду пригодные для чтения доказательства.

Где провести в Москве
В Москве такую экспертизу проводят: наша лаборатория (оснащена write-blockers, криминалистическими программами, чистой комнатой для вскрытия HDD), ФБУ РФЦСЭ при Минюсте (отдел компьютерных экспертиз), а также негосударственный центр «Криминалистическая компьютерная экспертиза» на Бауманской. При выборе исполнителя проверьте наличие сертификации по Cellebrite или EnCase (международные стандарты судебной компьютерной экспертизы) и лицензию ФСБ на работу с шифрованием (если требуется). Без этого компьютерная экспертиза жёсткого диска может быть признана судом недопустимой из-за сомнений в чистоте процесса.
Какие трудности могут возникнуть
Основные препятствия:

  • Аппаратное шифрование (например, диски с самошифрованием Opal, либо BitLocker с ключом в TPM, который не предоставил владелец). Взломать без ключа практически невозможно, эксперт честно пишет «декодирование невозможно».
  • Физическая поломка диска (битые головки, царапины на пластинах, отгоревший контроллер). Может потребоваться вскрытие в чистой комнате и замена головок, что дорого (от 50 000 руб.) и не всегда успешно.
  • SSD с технологией TRIM — после удаления файлов чип SSD может сразу же физически стереть данные (чтобы не снижать скорость). Восстановление удалённых файлов с современных SSD часто невозможно, даже если файл ещё не перезаписан логически. Эксперты предупреждают об этом заранее.
  • Клон диска не получен из-за плохих секторов — если диск сыпется, эксперт пытается несколько проходов, но часть информации может быть утеряна навсегда. В заключении указывается процент восстановленных данных.
  • Спор о недопустимости образа — другая сторона может заявить, что при копировании были изменены метаданные (например, последний доступ). Эксперт использует аппаратные блокираторы записи, и в заключении подтверждает это хэшами.

Общие правила и процедура проведения (сводка)

  • Блокиратор записи — обязателен при работе с оригинальным диском (например, Tableau T8-R2).
  • Две копии образа — рабочая (для анализа) и арбитражная (хранится в опечатанном виде).
  • Методики — ГОСТ Р ИСО/МЭК 27037-2014 (сбор цифровых доказательств), приказ МВД № 511 (криминалистическое исследование компьютерной техники).
  • Программное обеспечение — зарегистрированные версии EnCase, FTK Imager, X-Ways Forensics, Autopsy. Бесплатные аналоги не гарантируют юридической чистоты.
  • Погрешность — при чтении повреждённых секторов возможны ошибки (битовые искажения), эксперт документирует их.
  • Заключение — содержит: идентификацию диска, хэши, использованное ПО, методику, ответы на вопросы, список файлов (таблица), а также сам образ (в запечатанном конверте).
  • Хранение — оригинальный диск и арбитражный образ хранятся в опечатанных пакетах при температуре 18–25°C, без магнитных полей. Срок — до окончания судебного разбирательства плюс 3 года.

За подробной и точной консультацией приглашаем вас в наш офис Союза «Федерация судебных экспертов», адрес которого указан на https://lingex.ru/contacts