Современные средства для поиска улик используются там, где обычные компьютерные методы уже не справляются.

Среди вещественных доказательств, имеющихся в распоряжении обвинения по уголовному делу под номером 01-455-А, более известному как антитеррористический процесс «Соединенные Штаты против Закариаса Муссауи», — копии жестких дисков двух ноутбуков, один из которых принадлежит Муссауи, а другой — его соседу по комнате Муккаруму Али. Также в перечень улик включены копии дисков жестких двух компьютеров из Оклахомского университета, куда по крайней мере один из соседей Муссауи ходил на занятия.

Значительная часть государственного обвинения по уголовному делу под номером 01-455-А будет основана на цифровых уликах, найденных на жестких дисках компьютера, принадлежащего ответчику. Это разбирательство, более известное под названием «Соединенные Штаты против Закариаса Муссауи», — заметный антитеррористический процесс

То, что обвинение использует в этом деле компьютерные улики, — не удивительно. К такого рода доказательствам все чаще прибегают как в уголовных расследованиях, так и в гражданских исках. Что касается уголовных дел, то подобная улика предоставляет следователям возможность заглянуть на некоторое время назад и узнать, что было на уме у подсудимого. Такая улика обязательно принимается в суде и может очень навредить защите — ведь она обвиняет подсудимого на основании его же собственных слов.

Но найти эти слова — весьма сложная задача. Маловероятно, что на десктопе исследуемого компьютера обнаружится файл с именем «ПланыБомбардировкиВсемирногоТорговогоЦентра.doc». Нет, улики приходится тщательно выискивать, каталогизировать и регистрировать. Более того, следователю необходимо документально подтвердить, что найденная улика не была на самом деле внесена в компьютер подозреваемого.

Да, задача трудная, но реально выполнимая благодаря новому поколению специальных инструментов, разработанных для поиска компьютерных улик.

Не Norton Utilities едиными

В течение многих лет единственным в судебной практике способом исследования компьютерной информации было использование самого компьютера для анализа его дисков. Следователи начинали обычно с корневого каталога, а затем проверяли остальное; самые искушенные могли использовать средства для поиска файлов по ключевым словам или составить список всех файлов компьютера, отсортированных по типу или дате последнего изменения. Стертые файлы можно было попытаться восстановить с помощью утилит Norton Utilities, но это, пожалуй, было уже пределом возможностей в поиске улик для судебного расследования.

Современные средства для поиска улик используются там, где обычные компьютерные методы уже не справляются. Вместо того чтобы работать с самим диском, эти инструменты работают с точной его копией, которая называется образом диска. Образ диска можно создать с помощью специального программного обеспечения или специальной аппаратуры. Если у вас есть доступ к компьютеру с операционной системой Unix или Linux, то можно создать образ диска, используя команду dd (direct deflection). В деле Муссауи оригинальный жесткий диск был скопирован на другой диск с применением портативного дубликатора дисков Logicube SFK-000A. Полученный мастер-диск, в свою очередь, используется для создания копий файлов.

При создании копии следователь также регистрирует криптографическую контрольную сумму диска и его копии. Обычно это делается с использованием алгоритма шифрования MD5, который получает на вход сообщение произвольной длины и на выходе выдает сигнатуру длиной 128 бит. Предполагается, что не существует двух сообщений, имеющих одинаковые сигнатуры, или что невозможно создать сообщение с заранее заданной сигнатурой. MD5 в основном используется в криптографических приложениях типа RSA. По существу, MD5 — это способ проверки целостности данных, гораздо более надежный, чем контрольная сумма или другие методы. Если оба кода MD5 совпадают, то следователь может подтвердить в суде, что копии идентичны. (В деле Муссауи фигурирует ноутбук Toshiba, копия диска была сделана с помощью SafeBack, ее MD5-код — de12b076f9d6cc168fe3344dc1e07c58.)

После того как вы получили файл копии диска, у вас большой выбор. Вы можете воспользоваться стандартными библиотечными функциями обработки произвольных цепочек символов. Помимо прочего, это даст возможность прочитать сообщения электронной почты, файлы Microsoft Word и т.д. Используя некоторые версии Linux и операционные системы семейства BSD, вы можете установить файл копии диска как файловую систему. Это даст вам доступ ко всем файлам, которые вы могли бы открыть, сидя за исходным компьютером, с диска которого была сделана эта копия.

Профессиональный инструментарий

Но если вы действительно хотите разобраться во всем досконально, используйте специальные средства, предназначенные для поиска улик. Лучшая бесплатная программа для этих целей — Task, написанная Брайаном Кэриером на основе программы TCT (разработчики — Дэн Фармер и Витц Венема). Task позволяет шаг за шагом исследовать образ диска, восстанавливать удаленные файлы и создавать временную линию, показывающую, когда каждый файл был создан, в последний раз изменен и в последний раз открыт. Task — отличный способ для тех, кто заинтересован в поиске компьютерных улик и хочет получить первое представление об этом мире.

Если судебная экспертиза — ваша профессия, а не просто хобби, то почти наверняка вам понадобится инструмент посерьезнее. Из представленных на рынке программ лучшими в данной области считаются EnCase, разработанная Guidance Software (стоимость примерно 2495 долл. на каждого пользователя) и Forensic ToolKit (FTK), разработчик — AccessData, стоимость — 595 долл.

EnCase и FTK сильно отличаются друг от друга, однако у них на удивление много общих функциональных характеристик. Обе программы работают под Windows и требуют установки на вашу систему специальной защиты от пиратских версий. (По иронии судьбы сотрудники правоохранительных органов вовсе не отказываются от применения пиратского программного обеспечения). Обе программы позволяют производить поиск отдельных строк и типов файлов. Обе дают возможность обзора рабочих файлов, удаленных файлов или позволяют исследовать часть жесткого диска, которая вообще не привязана ни к одному из файлов. В обеих программах ведется протокол действий оператора, что помогает при составлении отчета. Надо отметить, что обе эти программы обладают массой функций, так что простого изучения руководства к ним будет недостаточно. Чтобы извлечь максимальную пользу из этих программ, придется пройти обучающие курсы, которые предлагаются их разработчиками.

Прежде чем приступать к использованию этих программ, нужно завести новое «дело» и затем уже добавлять в него улики. FTK позволяет добавлять изображения, файлы, каталоги или диски, подсоединенные к компьютеру. EnCase позволяет извлекать материал из инвентаризационного файла или из другого компьютера, как через сеть, так и с помощью специального кабеля, входящего в комплект поставки. EnCase добавляет изображения быстро, что дает вам возможность быстрее продвигаться в поиске информации. FTK добавляет улики гораздо медленнее — это может занять полчаса и дольше, но эта программа тщательно исследует весь диск, создает базу данных, индексирует все найденные текстовые фрагменты и даже просматривает ZIP-архивы, чтобы узнать, какие из файлов были заархивированы.

EnCase и FTK дают возможность обзора рабочих файлов, удаленных файлов или позволяют исследовать часть жесткого диска, которая вообще не привязана ни к одному из файлов

После того как улика добавлена в «дело», вы можете использовать эти программы для поиска на копии диска ключевых слов, сообщений электронной почты, изображений и др.

В целом я нахожу программу FTK значительно более легкой в применении, чем EnCase. FTK очень упрощает навигацию по файловой системе и обеспечивает быстрый просмотр содержимого файлов. В то время как EnCase во многом зависит от внешних средств просмотра файлов, в FTK предусмотрено большое разнообразие встроенных средств просмотра. Вы можете выбрать в меню пункт «Электронные таблицы», и FTK выведет список всех найденных электронных таблиц — имена файлов, список приложений, в которых были созданы эти таблицы, даты создания. Если кликнуть на имени файла, то откроется сама таблица в новом окне. Точно так же можно искать базы данных, графику, сообщения электронной почты. Кликните на PST-файле Outlook, и FTK раскодирует все его содержимое, включая посланную почту, журнальные записи, задачи, календарь и удаленные документы.

С другой стороны, дизайн программы FTK — «все в одном» — может создать проблемы. Как-то раз Windows начала забрасывать меня сообщениями об операционной ошибке с JavaScript, потому что часть библиотек JavaScript на жестком диске, исследованием которого я занимался, была повреждена.

Серьезные исследователи, конечно, захотят использовать обе программы. Иногда одна программа может найти информацию, которую пропустит другая. Таково основное свойство средств поиска улик — хотя они и помогут в расследовании, но не автоматизируют этот процесс.

Поделитесь материалом с коллегами и друзьями