БОЛЬШОЙ ДВОИЧНЫЙ ОБЪЕКТ КОМПЬЮТЕРНОЙ ЭКСПЕРТИЗЫ Текст научной статьи по специальности «Компьютерные и информационные науки»

С. А. Сайбель, доктор технических наук, доцент Ю. М. Баркалов

БОЛЬШОЙ ДВОИЧНЫЙ ОБЪЕКТ КОМПЬЮТЕРНОЙ ЭКСПЕРТИЗЫ LARGE BINARY COMPUTER EXPERTISE

Приведены результаты анализа признаков и предложена классификация информационных составляющих объектов компьютерной экспертизы. Описаны разноклассовые объекты экспертного исследования и результаты практического изучения информационного содержимого памяти скимминговых устройств. Изложены методические подходы к исследованию бинарных объектов с неизвестной структурой.

He results of the analysis of signs are given and the classification of information components of objects of computer examination is proposed. Various objects of expert research and the results of practical study of the information content of the memory of skimming devices are described. Methodological approaches to the study of binary objects with unknown structure are outlined.

Современная криминалистическая компьютерная экспертиза (КЭ) в России представляет собой систему технически оснащенных лабораторий, в которых трудятся высокопрофессиональные специалисты нескольких профилей. Широкий круг решаемых задач предъявляет к специалистам и аппаратно-программному оснащению экспертной деятельности специфические требования, обусловленные многообразием и особенностями объектов исследования и разноплановостью выносимых на экспертизу вопросов.

Первые компьютерные экспертизы, выполненные в середине 90-х годов прошлого века, были направлены на преобразование документов, преимущественно бухгалтерских, из цифровой формы хранения в привычный для следствия и судов бумажный вид и исследование технических средств, использованных при подготовке и совершении преступных деяний, в первую очередь связанных с подделкой документов и денежных знаков.

Развитие компьютерной техники и ее широкое проникновение во все сферы деятельности и быта привели к росту разнообразия вещественных доказательств и расширению спектра подлежащих исследованию вопросов.

Поскольку объектами КЭ преимущественно являются аппаратно-программные средства, то можно выделить два основных направления исследования: технических средств и информации.

Исследование информации представляет собой самостоятельную многогранную задачу, не имеющую универсального методического инструментария. В качестве объекта изучения в общем виде представляется набор двоичных данных, хранимых на физическом носителе, в ряде случаев доступном только дистанционно. Типовыми вариантами таких массивов цифровых дан-

ных выступает содержимое компьютерных носителей информации в виде магнитных и оптических дисков, а также флэш-накопителей в различных форм-факторах. В современных условиях массовым объектом экспертного исследования являются данные, хранимые в энергонезависимой памяти мобильных телефонов, электронных га-джетов и смарт-устройств. Менее массовыми, но совсем не экзотическими, являются носители цифровых данных в виде скиммеров, шиммеров и код-грабберов. Отдельным типом бинарных наборов являются прошивки, хранимые в элементах памяти микроконтроллеров и ПЛИС.

Целью статьи является проведение классификации наборов цифровых данных, выступающих в качестве объектов КЭ, и описание подходов к исследованию бинарных объектов с максимальной априорной неопределенностью структуры.

1. Классификация информационных объектов компьютерной экспертизы. Для именования наборов цифровых данных с неопределенной структурой используется термин большой двоичный объект (БДО), введенный для обозначения пересылаемых по каналам связи цифровых массивов при синхронизации разнесенных баз данных.

Использование данного термина применительно к исследуемым в рамках КЭ бинарным массивам представляется целесообразным в силу удобства объединительного подхода к анализу разнородных объектов, имеющих общие частные черты, для формирования методологии их исследования.

Процедуры оперирования с БДО подразделяются на две большие группы. Первая содержит методы и средства обеспечения доступа к данным, хранимым на носителе; вторая — интерпретации информационного содержания исследуемых данных.

Потенциальная доступность данных исследуемого устройства определяется производителем. Можно привести в качестве аналогии пример с дверью, которая может быть: свободно открываемой (без замка); открываемой ключом (с замком), неоткрываемая (например, заваренная, или, как частный случай, с неисправным замком).

Дверь без замка в рамках рассматриваемой проблематики эквивалентна ее отсутствию. Дверь с предусмотренной производителем системой запирания может использоваться с полным, частичным задействованием ее возможностей или без задействования.

Следует учитывать, что степень защиты данных связана обратной зависимостью с удобством их копирования и модификации. Дверь с замком (под этим абстрактным понятием можно понимать совокупность препятствий с множеством запирающих устройств) выступает в качестве системы верификации или распознавания (селекции) «свой-чужой». То есть система управления доступом должна разделить множество пытающихся проникнуть внутрь на два непересекающихся подмножества: пропускаемых и не-пропускаемых. Процедура отнесения пытающихся получить доступ к одному из указанных подмножеств может иметь целью сохранение конфиденциальности пользовательских данных или извлечения дохода от продажи услуги доступа.

Используя в качестве основания классификации аппаратные возможности устройств хранения данных по доступу к ним извне их можно разделить на три группы: с доступными, частично доступными (частично недоступными), недоступными данными.

Классифицировать хранимые данные можно также на три группы: БДО с определенной, недо-определенной и неопределенной структурой.

Тогда можно определить 9 классов объектов КЭ, обозначаемых К^, ¿,у 6 {1,2,3}.

К объектам класса относятся компьютерные носители информации (диск компьютерный, флэш-накопитель, ОЗУ, оптический диск). Производителем предусмотрена возможность свободного считывания из рабочей области памяти и управляемой записи данных. Экспертный анализ данных затруднен применением пользователем методов разделения доступа, шифрования и нестандартного кодирования, переводящих исследуемый объект в классы К2 ъ Кх 2 и Кх 3.

Для исследования БДО с директивно определенной структурой, хранимых на компьютерных носителях информации, используются штатные аппаратные средства компьютерной техники и программы-парсеры, позволяющие взаимодействовать с данными на уровне файловых систем и получать доступ к содержимому файлов с известной структурой и кодировкой. Оригинальные пользовательские структуры данных могут быть

отнесены к классам и и должны исследоваться отдельно. Анализ информации в зашифрованном виде выходит за рамки вопросов, рассматриваемых в настоящей статье. Основным препятствием доступу к БДО такого типа являются программные и аппаратно-программные решения, направленные на верификацию законного пользователя, преодоление которого является самостоятельной технической задачей.

Анализ БДО первого типа частично описан в доступной литературе, из которой можно выделить монографию [1], ставшую основой для разработки отечественных программ, используемых в КЭ.

Другим объектом класса является смартфон. Производителем предусмотрено несколько каналов для взаимодействия пользователя и оператора с данными, хранимыми в памяти устройства. Производитель не предпринимает усилий в направлении предотвращения считывания дампа с микросхемы памяти и допускает установку на устройство дополнительных программ в соответствии с предусмотренным механизмом.

Бинарный массив, хранимый в памяти современных мобильных коммуникационных устройств, представляет существенный криминалистический интерес в силу многофункциональности смартфонов: в них объединяются функции коммуникатора, видеорегистратора, навигатора, игрового гаджета, органайзера, накопителя, интернет-терминала и средства дистанционного банковского обслуживания (ДБО). Часть хранимых данных доступна к просмотру при подключении смартфона к компьютеру в качестве внешнего устройства. Другие данные могут быть исследованы с применением специальных комплексов и программного обеспечения [2]. К сожалению, на сегодняшний день все технологии работы с хранимыми данными такого типа можно отнести к категории ноу-хау, охраняемыми производителями коммерческих продуктов экспертного назначения, что является существенным недостатком выполняемых экспертиз, поскольку во многих случаях приходится результаты работы программ принимать на веру без научно-методической верификации. Применяемые разработчиками методы в открытой научно-технической литературе практически не описаны.

Представителем класса К2 х является пластиковая смарт-карта (карта с магнитной полосой принадлежит к классу К х). Организация хранимых в микрочипе данных не позволяет получить дамп памяти микросхемы, но штатные платежные терминалы в сочетании с программным обеспечением, реализующим взаимодействие с чипом на языке АРБИ-команд, позволяют получить доступ к данным, имеющим стандартное описание в серии ГОСТ 7816.

К классу относятся прошивки микросхем, исследование структуры которых на современном этапе не является экспертной задачей КЭ. В рам-

ках проводимых экспертиз традиционно решается вопрос о тождественности двух БДО, представленных для сравнения.

В ряде микросхем предусмотрены механизмы предотвращения считывания, задействование которых переводит объект исследования в класс К33. Наработки из области инженерного анализа, позволяющие реализовать в частных случаях перевод К33 ^ К23 ^ К13, выходят за рамки настоящей статьи.

Класс К13 в КЭ наименее распространен, но представляет существенный научно-прикладной интерес в силу практической значимости и низкой научно-методической разработанности темы. В качестве примера можно рассмотреть дампы памяти микросхем скиммеров и других устройств, предназначенных для сбора персональных данных пользователей ДБО.

В современных реалиях скиммеры стали экзотикой, но на примере анализа содержимого их дампов можно продемонстрировать типовые подходы, применимые для исследования БДО с полностью неопределенной структурой.

2. Исследование объекта класса К13. Задачами скиммера являются сбор и хранение данных, содержащихся на пластиковой карте, обла-

дание которыми позволяет распоряжаться денежными средствами банковского счета держателя карты. В качестве необходимых выступают данные, содержащие номер карты и срок активности, дополнительно может фиксироваться информация о держателе карты.

Указанные сведения могут быть получены путем считывания информации с магнитной полосы пластиковой карты (скимминг) или перехвачены на линии обмена данными карты с банкоматом (шимминг).

Для первого варианта хранение скопированных данных может быть осуществлено с помощью диктофона в виде аналогового звукового сигнала или цифрового файла. Для обоих вариантов используются различные типы двоичных записей (бинарные файлы), содержащих скопированную информацию.

Перемещение пластиковой карты вдоль магнитной головки обеспечивает формирование на ее выходе электрического сигнала, форма которого содержит информацию, тождественную записанной на магнитной полосе. Пример содержимого звукового файла в виде временной функции уровня сигнала на выходе считывающей магнитной головки скиммера приведен на рисунке 1.

Рис. 1. Звуковой файл в виде временной функции. Продолжительность записи — 10 минут

Всплески на графике соответствуют прохождению через скиммер банковской карты с магнитной полосой или наличию электрических или радиопомех. На графике выделены два фрагмента, разнесенные по времени примерно на 4 минуты, первый из которых соответствует вставлению карточки в терминал, а второй — завершению операции и ее возвращению пользователю. Сигнал, полученный при выходе карточки из банкомата, имеет более высокую амплитуду и стабильные параметры в силу постоянства скорости движения магнитной полосы вдоль считывателя.

Средства автоматизации позволяют выделить информационно-значимые фрагменты звукового файла для последующего анализа. Основой выделения фрагментов является критерий превышения уровнем сигнала заданного порога.

Приведенные на рисунке 2 временное и спектральное представления одной записи (вторая дорожка карты) позволяют видеть, что сигнал имеет непостоянную амплитуду, значительную постоянную частотную составляющую и основная часть энергии сигнала сосредоточена в низкочастотном диапазоне.

Опытные эксперты достаточно быстро справляются с задачей демодуляции сигнала вручную. Для автоматизации данной процедуры используются методы и алгоритмы цифровой

обработки сигналов, позволяющие отфильтровать мешающие частотные составляющие, выровнять амплитуду сигнала, убрать дребезг и случайные выбросы.

Рис. 2. Временное и частотное представления сигнала считывателя

Современные программные средства экспертной деятельности позволяют обеспечивать выделение фрагментов, применение к ним алгоритмов частотной фильтрации, коррекции ам-

плитуды, демодуляции и проверки корректности результата на основе алгоритма Луна (ЬиЬп). Отдельные этапы исследования фрагмента сигнала иллюстрируются рисунком 3.

ООО Ш000 ШООООО11111001000U0 Ш000 Ш0000000 ШОООООО Ш0000 Ш00011010 UOOOO10110100 ШООО11Ш Ш001Ш0 Ш100011001100000000110000 ШООО ШООООО Ш011001Ш1100010010101010

/ \

Рис. 3. Иллюстрация локализации экстремумов, формирования дискретного ряда и преобразования цифрового ряда в символьный вид с учетом неопределенности начала слова и направления считывания

Бинарные наборы данных в скиммерах имеют различную структуру, что не позволяет полностью автоматизировать их анализ. Для выполнения исследования применяется инструментарий, включающий возможности:

- текстового и графического просмотра данных в различных кодировках (в том числе двоичной, HEX, представления в прямом и дополнительном кодах заданной длины, little- и bigend и др.);

- поиска пяти- и семибитных групп символов;

- поиска полей времени при заданном размере блока данных;

- поиска паттернов и локаторов;

- поиска сигнатур;

- построения весовых спектров;

- поиска избыточности.

В основе анализа лежит проверка гипотез с автоматизацией переборов при заданных правилах останова.

Рассмотрим несколько примеров, иллюстрирующих варианты бинарных данных и подходы к их исследованию.

Пример 1. Дамп скиммера, размер 65536 байт.

Побайтное считывание данных не выявляет структурных и содержательных элементов. Двоичная форма представления позволяет установить, что набор данных сильно разрежен (число нулей превалирует).

Просмотр дампа в графической форме позволяет наблюдать проявляющееся свойство им-пульсности бинарного набора. Изучение струк-

туры данных позволяет обнаружить устойчивую регулярность (повторяемость) значений расстояний между началами ненулевых групп.

0 Отображать

уоППШШП®-

?авва?$аап???' □^□□□^□ЗАСгпРмавсг?-

у$]масюшад7???ааа?!$ааа?с?§| 7 ?□?*□□? □ □ОТОСРЙАСВД0

?0(ВВП7$ППП7> )ПП7аПБП?! ПЕППС

гиЕШПаПО^ПЦ^ППОШа^П □ВППП7ППА?1-ИЗБП?ПАПП7А '^□□а?ЕВ?07?СП <31ШПП!(?0П5?_7иПП?!П@АП®П?рП! 8[1Ю[1]П7-|[1]ПМ1АП![1]ПИ.7?т7?о>?СА-ОА^Пуууи?

уоППШППЙ-

^□□□ш:*®* 7 ^ ХПП! □□О 7.ЮРаАОД0

□ СКРПАППФ-

□1ВВП4ППП>)ПП аПБПЮБППС

■^□□аЁВОСП <!СИПП!(?0П57_|?йПП! всвппг-,□□»!□! □ Ш.ЁптКА-ОАП' □ ПуууиЕ!

□ □□□с5П0ПЁ[СгтШЕП

А^ПППАПААПА®-

Аа®ваА5аапА?А" ' □АгЛ!аааА!а#Аа*аАА^а!8агАА-аааА!5ПааАад:А¥# 7

А*ЩА ХПОДЮНОА^АРАА АШЕ]А° □ □А^ППАПААПА©-АП^ПА^ПППАг-АрНА АЮВПАЮВ^ПС ААьАЕП^ОППОиА^ПЦАмППОтпдгААП ¡□ВПППАППАА]|+дВПОАППАаАП^ППА ААВШАСП <!ПНПП! ОП57_АА1ЛППА!П@АП*ПАА^П!

8ПОПП7А-,ППМААП1ППР1А£АтА|ДА1А|ДСАЮАП,П пШа'Д

Рис. 4. Символьные, бинарная и графическая формы представления дампа памяти скиммера

Удобным инструментом для вскрытия структурной повторяемости является весовой спектр двоичной последовательности длиной N, представляющий вектор длины m<<N, значения элементов которого вычисляются как поэлементная сумма столбцов таблицы, образуемой построчной записью исследуемого набора двоичных элементов с ограничением на длину строк m.

На рисунке 5 приведены весовые спектры исследуемого дампа.

Форма зависимости, приведенной на правом графике, позволяет выдвинуть гипотезу о записи информации в виде блоков данных, имеющих размер 60+3 байт. Детальное изучение каждой из двух частей блоков данных позволяет обнаружить, что левая часть каждого блока содержит данные считанных карточек в пятибитной кодировке, а правая — слот времени.

т=500

600 -500 ^ 400 ^ 300 ^ 200 ^ 100 ^ о -

Рис. 5. Весовые спектры дампа

Пример погруппового разбора дампа представлен ются результаты разбора считанных со второй дона рисунке 6, на котором наглядно демонстриру- рожки данных на входе карты в банкомат и выходе.

ипте 0:56:19 ¿аппуе 20

0010011011100110011С<ХЮ100СЮ1010000100СЮ10001СС11С<Х»100СЮ10СКХ)1СХХ)0101000000 (ХЮООООООЮООООООООООООООООООООООООООООООООО^ 0 —> 4 3 2200 2222044 1= 82 7 885= 8

0 <- 4 9 8811 8888144 06 28 2256 2 1—> 4 112 444 88 2 0 6 0 ?0 1:8

1 <— 4 008 444 22 8: 1 = 1 :7Т71 0: 2

2 —> 3 8 224 888 00 1 :=8 112559*9 60 2 <— 9 2 884 222 11 0 62 7008553'3 =1

3—> 900 44 0000 11 :82 6 0 1 22 :;3? 7 = 3<- 731144 111100 28=:10 88 9' 6

4—> =931188831111822106041=510 044 6 7Т4

639002229000028801 = 1406501 144 =

пте 0:57:11 йаппуе 21

00011111111111111111111111111111011010101000100001000000110000010110000100000 <ххх»00000000000000000000000000000000(хю00000(>000^

0—> ЭТ7ЭТ 1 2 8 82 60 4418888 1188 9 0

0 <_ «то 0 82 28 =14402222 0022 3 1

1-> 001056041 = 108820000922200935Г~1Г=>

1 <— '""=555 ПиТ5=Т40601228ГПТЗБЙПТ39=

2 —> 4410;1 1:= 82 00 1111 44 1137 6

2 <_ 440! о 0 6 28: 11 0000 44 009 =

3 —> тг> 88 62 26 0 11 222 488 2 9

3 <_ пгп . 22 =8 8=: 1 00 888 422 8 3

4 _> 5800 1 4 = 1 :8 22 444 800 4

4 <— "'"5211 0 4 6 0 2 88 444 211 4 1

Рис. 6. Пример отчета разбора данных

Пример 2. Дамп скиммера, размер 1081344 байт.

Побайтное считывание данных не выявляет структурных и содержательных элементов. Двоичная форма представления позволяет установить, что набор двоичных данных сбалансирован.

Просмотр дампа в графической форме не позволяет наблюдать проявление структурных свойств. Исследование весовых спектров дампа позволяет обнаружить структурную закономерность (рис. 7).

Погрупповое представление данных позволяет выявить некоторые закономерности структуры, заключающиеся в следующем: дамп со-

держит 4224 группы по 256 байт, имеющие одинаковую структуру: первые 11 байт группы — заголовок, содержащий трехбайтный слот времени, 4 байта неопределенного назначения, но обладающие некоторыми свойствами, один байт-индекс, меняющий значение в зависимости от числа информативных символов в последующих байтах. Использование цветовой маркировки (рис. 8) различий содержимого групп позволяет выявить принцип формирования записей, состоящий в использовании предыдущей группы в качестве канвы для записи текущей информации.

т=2047

т=2048

т=2049

Рис. 7. Графическая форма представления и весовые спектры дампа

01 13100 00 2а 13 01 ОН 05 К 00 11 f 5 00 83 08 а1 42 84 20 84 10 52 90 35 02 99 44 а5 Ы 68 05 Э2с5 42 20 10 08 84 1а 10 20 10 08 04 f 2 15 01 57 9е 559а Зй 5Ь dЗ 1е ЬЬ 55Ь2 Ь4 сЗ 7е 75 ОЬ 76 5а 55 6565 9а Ье 37 аЫГ55 Ь5 55 еЗ 3 5 55 а5 9с 79dЬ5e5FeFea 75768775Fb5eb5 3ee0 59бefi:c5 59e752dFfБЬF5Ffe 37d9bdbFdd ?5Ье 55ее б5с/Нее се 03 Ь5 е2 Ь55& 5ГЗе 5е (а И И d2cЬ Ь51Гс1ГЬс ЗЬ 13 И 75 7Г Ы Ы & ¡Тес 8е 7е ЬГГ&Ье еЬ 33 25 75 Ье 77 еГГГ И 17 (Геа 5Ь И 9Г с7 1-57 77 сс 57я1 ed (Ь еЬ 75 7f 75 7Ь Ь7 Ь5 6: 7е се 5с НН ff 85ff Ъ 55Л 5545^ 5е 5а d5 7Ь 57 55 59 с553Ьа f7 51 Ь5 bd Зd 55 76 57 99еа 76 Ьd f36d ff ff 7f ff 5f ее Ь5аас545с6 79 55 55 ¿9

01 0100 00 2а 14 0f 20 74 350 1 09 39 04 Ос d 1 42 35 33 83 10 2а 1 ■ 15 '2 08 с 5 a5d2íi:c9aa а7еб Ье 68 05 32 39 4а аЗ с^ 10а I 1 со 5: '0 20 10 03 35 9а 8 1 40 20 10 08 е4 33 02 00 00 00 80 2' и " 6Г 5' Ос 37 А1Г55 ЬГИ еЗ 35 ' сГ 5с 79dЬ5e55e5ea 75768775Fb5eb5 3ee0 59бefi:c5 59e752ЬF5БЬF5Ffe I ^ Ы с",]-. ?5Ье 55ее б5с5(Чае се 03 Ь5е2 Ь5 5& 55 Зе fe & 5Ь Гг1 г1: : Ь51Гс1ГЬс ЗЬ 13 Я 75 7Г 5Ь Ы ГГес 8е 7е Ь5Г&Ье еЬ 33 25 75 Ье 77 еГГГ И Т? 5Геа 5Ь И ОТ 56 57е543Ь^5557е555 Ь4Ь5е5с7 1-3777ае57я1 ed 1Ь еЬ 75 7f 757Ь Ь7bf6с 7е се 5с 5505555Ь 55Л 5545 ^5е 5е d5 7Ь 57 55 5Э с553Ьа f751Ь5 bd Зd 5576 f799еа 76Ьd f36d ffff 7f 6f ff5fее Ь5аа<±45сб79ff 5fЫ d9

0 1 0 1 00 00 2а 1* 15 28 аО Зе 01 21 08 11 2а 8403 еб 50 а1 45 30 10 4е 43 40 а1 71 22 Ж dl 00 31 9* 40 20 60 Йе 81 40 20 10 1а 0d 02 Ь 5 53 2с 15 с9 046adl 77 56 5е 35« ЬЗ 54 Ь5 Ы 8а 7d а5 22 а1 52 55 556с 2d 37 аЬ К55 Ь555 еЗ 35 5fd59c 7ЭdЬfe5fefea7f76877fЯ^feЬf5ee0fЭ6efi;cf59e7f2dFfБЬF5ffe ■ ('I5' г<1-. 75 Ье 55 ее 6frf Fd ае се 03 Ь5 е 2 Ь55& 55 Зе 5е (а 5Ь d2cЬ Ь51Гс1ГЬс ЗЬ 13 Я 75 7ГИ П ее 8е 7е ЬГГ&ЬееЬ 33 25 75 Ье 77 еГГГН Т7 55 еа 1Ь Н ОТ 56 57е543Ь^5557е555 Ь4Ь5е5с7 1-3777ае57я1 ed 1Ь еЬ 7f 7f 7f7Ь Ь7bf6с 7е се 5с 745155 0555 5Ь 55Л 5545 ^5е 5е d5 7Ь f7555Эс5fЗЬa f751Ь5 Ьd Зd 5576 57 99еа 76Ьd f36d 55Я7565 555fее Ь5аа<±Мсб79ff 5ffd d9

01 1111М00 2Ь 29 19 Зd сЗ е 1 01 сЬ 1е 2Ь 10 9с 33 43 58 с9 24dЗc2 16 08 ас 0 1 06 08 0* сс 30 cf Оа ff 0745 Ы е5 6а 9 1 62 21 93 49 06 02 а9 50 27d4 89 05 е2 ОЬ ЬЗ 53 61 Ь4 Ьd 24 23Ь7 4а№ Ю 73 84 06 9е 31 40 20 10 03 04 0 2 7d 5 1 2а а4 12 85 44 21 10 08 04 02 с9 4с 2а 90 1Ь 33 910 1 еОВ бе ^ сГ59 е7 ^с1Г1ЬЫ Я 1е 37 d9 bdЬГdd 7f Ье ГГ ее г-1 III.,, се 113Ьfe2ЬFfSffЗefefeИИ d2 сЬ Ь5 Ьс ЗЬ 13 П= 75 7Г И Ы Я ГГес 8е 7е Ьf №с!ееЬ 33 2f 75 de 77 еГ 1Г Н 57 ff еа

га«:тГ7^48 dlfd^FF7cFffЬ4bfefc7 ^ 9777ае Г7еа ed 1Ь еЬ 7f 7f 7F7ЬЬ7Ьf 6с 7е се f4 FlfF8f fFfb 5f 7Ь fF4f bd й? 5е d51Ь f7 f5 fed:fЗ Ьа f7 f 1ЬГ1*1 Зd Г7 99 еа 76 bd fЗ fFfF7f 6f аа rf4Fc6 79 FF5FFd d9

01 0100 00 2d 00 17 Зе Ь4 е9 01 35 'Л ЗС СЗ 011 _ 05 58 0 3 8 1 36 Ь4 4с 32 а9 2 1 сс 9с 83 40 Sd 37 Od cd 3149а8 13 аЗ 64 26 8 1 40 20 10 08 45 42 91 4а а8 14 7d 8 1 40 20 10 08 04 02fЗc0 42 9с 1" с= а^се 89 49 7а 5Ь Ос 35 е _ 23 57 с8 15 2а 81 со 24 93 09 8d 12 ad Не 1Ь 45 0 1 01е0 Г&бе 5с cf 59 е7 f2df №ЫЯ Ра 37 d9Ьd Ыdd 7ГЬе ГГее 6ГсГ1й ае се 03ЬГе2ЬГГ& 1ГЗе 1е 5а И И d2 сЬ Ь5 df Ьс ЗЬ 13 К 75 7Ffd Ы5й 5Гес8е Гйс1е еЬ 33 25 75 de 77 ef П fd 57 ГГеа fbft^9FftJf7ef48dlH^Ff7rffFЬ4ЬFefc7 15 97 77 ае Р7«1«ИЬеЬ 75 75 75 7ЬЬ7Ь5 6с 7е се ^ И П1Га5 5Р1Ь 55 7Ь ÍF4FЬd й 5е ¿5 7Ь 57 55 Йс553 Ьа 57 5lЬFЬd Эd 5F7d 57 99 еа 76Ы F3 Бd Г¥ГТ7( 65 fF5F«^ЬFвa сГ45с6 79 fF5r5dd9

01 <1)100 00 2d 25 1Ь Зь d5 ас 01 сЬ 1е сЬ dd 39 33 84 95 4с 32 2d ьс 81 СО 1а ьО 80 Й СО Ос 53 6 71$ (Т 55 55 15аЗ 5555 Ь5 а5 30 da 5е 9 2 91 53 2 5 7Ь Й 39 42 0 3 с5 43 20 10 08 04 0 2 81 Ье 28 15 5 2 89 42 а2 10 08 04 00 02 с9 4с 2а 90 67 Зе ЫЯ Я П^ПП^ПП^^ 1Ь 45 0 1 01еИ596е 5с dгИe7f2dff6ЬF 511е 37 d9bd b5dd 75Ье ее 65 с5 51 ае се 0: Ь5 е2 Ь558 55 Зе 5а 5а 1с1 5d d2 сЬ Ь5 tFdFbc ЗЬ 13 5575 755d Ь5 5d fFecBe Д;Ь55& de еЬ 33 25 75 de 77 е5 РГГи Г7 ГГеа (Ьй !*Р&57 eF4adlFdFFF7eFFFЬ4ЬFe5c7 15 97 77 ае 57 ed ed ГЬ еЬ 75 7f 7Ь Ь?Ь5бс 7е се 5с 54 fFBFfFÍЬ 55 7Ь FF4FЬd 5е 5е Ь5 7Ь 57 55 59 с5 53 Ьа 17 51ЬГЫ а! ГГй1 Р799 еа 7&Ьd Й6с1 ÍFFF7F 65 (ТйРее Ь5аас/45с6 79 5F5FИd9

Рис. 8. Погрупповое представление данных исследуемого дампа

Пример 3. Дамп скиммера, размер 131072 байт.

Побайтное считывание данных не выявляет структурных и содержательных элементов. Двоичная форма представления позволяет установить, что набор двоичных данных сбалансирован. Просмотр дампа в графической форме не позволяет наблюдать проявление структурных свойств. Исследование весовых спектров дампа также не позволяет обнаружить структурную закономерность.

Статистический анализ дампа позволяет выявить повышенную частоту повторяемости двухбайтной группы /е0в, что позволяет выдвинуть гипотезу об использовании для структурирования записей упомянутой сигнатуры.

Исходя из назначения скиммера, проверялась гипотеза о записи пользовательских данных в пяти- и семибитной кодировках. В основе алгоритма анализа лежит механизм скользящего окна

заданной длины: «-битное окно перемещается по дампу с единичным шагом и при условии принадлежности на /-м шаге содержимого окна множеству { } разрешенных комбинации проверяется следующая за выделенным слотом «-битная группа на принадлежность { }. Процедура повторяется до тех пор, пока очередная группа не окажется вне множества разрешенных комбинаций. Если длина последовательности символов превышает заданное оператором значение, слово отображается на экране, в противном случае анализ продолжается с позиции /+1.

Фрагмент отчета о разборе дампа приведен на рисунке 9.

Рассмотренный дамп содержит пользовательские данные с первой и второй дорожек карт в двух кодировках.

18265 31 <&аск1< ЗВ001Ю37099АКстОУ/ОЕШ5_

19676 22 >Ь-аск2> 0099 = 15082010141500000

205158 67 >Ь-аск 1> %В676280389800054590Л5НА1ЮУА/МАТА11А_

21022 35 >1:гаск 2> ;676280389800054590 = 150910100756082 21052 26 <^аск2< 1101031506135451112329128= 21305 37 <1гаск 1< %В427б42001аб58739лТО1ЮРК1МА/АГ\ГТОМША 22071 71 >&аск1> %В42764200Ю658739ЛТОРОРКША/АПТОНША_ 22505 34 >1гаск 2> ;427642ОО1О650739 = 14О02О1162179ООа 22854 26 <Ь-аск 1< _353621АКНИ5и1Ю1/УиИУ_

23759 68 >&аск1> %В4276838109053621лКНМ5и1Ю1/Уик[У_

24249 36 >Ь"аск2> ;4276838109053621 = 140212119755875000 24294 23 Отаск 2< 300808140608=951310292=

24718 22 <1гаск1< _36лМАКАЯОУА/тША_

25455 72 >1:гаск1> %В4276380Ю4674036лМАКАРОУА/тША_

25969 36 >Ь-аск2> ;4276380104674036 = 151120113431012000 25969 23 <1таск 2< 1118010949001800506=914 29175 66 >1гаск 1> %В5469380029804076лСРЮОР¥ЕУ/У1АО151АУ_ 29649 34 >Ь"аск2> ;5469380029804076 = 1512201059720000 30097 25 <1гаск1< 37356082л5иРЛЕУ/АНАТ01У_

31010 40 >Ь-аск1> %В676280388137356082А5иРАЕУ/АГ^АТ01У_

31301 27 >1гаск 2> ;676280388137356082 = 1512101

^1509101000000827975

41408201162170000000000900

1402121197550000000000

15112011343100000000000120

*> 15122010597200000208

Рис. 9. Иллюстрация содержимого записей исследуемого дампа

3. Подходы к исследованию объектов класса Кз з . Ряд объектов исследования содержит БДО в микросхемах памяти, не имеющих штатного механизма для считывания дампа. К таким объектам КЭ можно отнести телевизионные приемники с функцией смарт-ТВ, игровые гаджеты и автома-

ты с денежным выигрышем, встроенные системы (пром-РС, встроенные в технологическое оборудование) и некоторые модели коммуникаторов.

В рамках проводимых исследований из таких устройств необходимо извлекать пользовательские настройки и протоколы функционирования.

Основой проведения экспертизы данного класса объектов является использование интерфейсных возможностей (панелей управления и систем отображения информации) самих устройств.

На современном этапе развития КЭ разработаны и используются на практике специализированные аппаратно-программные комплексы «Смарт-ТВ» и «Поиск-И», позволяющие исследовать в автоматическом режиме интеллектуальные телевизионные приемники и игровые автоматы распространенных типов. Основой проводимого исследования является управление устройством через подключаемый к компьютеру модуль сопряжения и фотофиксация информации с экрана исследуемого устройства.

Схожие технические решения разработаны для получения доступа к запароленным возможностям объектов исследования типа электронных записных книжек и игровых автоматов [3].

В настоящее время аналогичный подход применяется в комплексах экспертного исследования смартфонов. Основой реализации является загружаемый программный модуль, осуществляющий сбор информации в виде копий экранов, перебираемых с использованием интерфейса исследуемого приложения.

Заключение. Развитие экспертной деятельности обеспечивается по трем направлениям: материально-технически, кадрово и методически. Первые исследования компьютерной информации, выполненные четверть века назад в рамках комплексных экспертиз, и выделение в 2005 году КЭ в самостоятельный вид инженерно-технических экспертиз стали вехами на пути формирования современной целостной системы экспертных исследований: техническое оснащение подразделений планово осуществляется в соответствии с

требованиями ведомственных приказов, нормами положенности и разовыми заявками; подготовка экспертов и переподготовка сотрудников осуществляются установленным порядком под руководством Департамента кадрового обеспечения и ЭКЦ МВД России; разработкой методических материалов по вопросам организации, выполнения и оформления экспертных исследований руководит ЭКЦ МВД России с привлечением наработок территориальных экспертных подразделений.

Вместе с тем компьютерные экспертизы являются видом высокотехнологичной деятельности, требующим для обеспечения высокого качества результатов привлечения знаний из целого ряда научных отраслей. Совершенствование данного вида деятельности должно планироваться с учетом тенденций развития объектов исследования и прогнозов содержания подлежащих решению задач.

В большинстве наукоемких отраслей решение вопросов научно-методического обеспечения возлагается на отраслевые научно-исследовательские институты и ведомственные образовательные организации, в которых создается атмосфера личной заинтересованности сотрудников и учащихся в проведении, а также апробации и реализации результатов научно-исследовательских и научно-квалификационных работ, являющихся показателем результативности их профессиональной деятельности.

Авторы статьи надеются, что затронутые в ней вопросы и представленные материалы послужат отправной точкой для новых исследований, развивающих научно-методический фундамент осуществления экспертных исследований традиционных и перспективных объектов компьютерной экспертизы.

ЛИТЕРАТУРА

1. Кэрриэ Б. Криминалистический анализ файловых систем. — СПб. : Питер, 2007. — 480 с.

2. Баркалов Ю. М. Специальные знания, используемые при исследовании компью-

терной информации : учебное пособие. — Воронеж, ВИ МВД России, 2017. — 45 с.

3. Голубев В. А., Сайбель Л. В. Устройство для проведения экспертизы электронных записных книжек / Патент РФ №№ 2320010 (20.03.2008).

REFERENCES

1. Kerrie B. Kriminalisticheskij analiz fajlovyh uchebnoe posobie. — Voronezh, VI MVD Rossii, sistem. — SPb. : Piter, 2007. — 480 s. 2017. — 45 s.

2. Barkalov Yu. M. Special'nye znaniya, ispol'zue- 3. Golubev V. A., Sajbel' L. V. Ustrojstvo dlya mye pri issledovanii komp'yuternoj informacii : provedeniya ekspertizy elektronnyh zapisnyh

knizhek / Patent RF # 2320010 (20.03.2008).

СВЕДЕНИЯ ОБ АВТОРАХ

Сайбель Алексей Геннадиевич. Профессор кафедры специальных мероприятий и специальной техники. Доктор технических наук, доцент.

Санкт-Петербургский университет МВД России. E-mail: saybel_ag@mail.ru

Россия, 198206, Санкт-Петербург, ул. Летчика Пилютова, 1.

Баркалов Юрий Михайлович. Заместитель начальника кафедры компьютерной безопасности и технической экспертизы.

Воронежский институт МВД России. E-mail: ekcvor@mail.ru

Россия, 394065, Воронеж, проспект Патриотов, 53. Тел. (473) 200-52-50.

Saybel Aleksey Gennadievich. Professor of the chair of Special Events and Special Techniques. Doctor of Technical Sciences, Associate Professor.

Saint-Petersburg University of the Ministry of Internal Affairs of Russia E-mail: saybel_ag@mail.ru,

Work address: Russia, 198206, Saint-Petersburg, Letchika Pelutova Str., 1.

Barkalov Yuri Mikhailovich. Deputy Head of the chair of Information Security. Voronezh Institute of the Ministry of the Interior of Russia. E-mail: ekcvor@mail.ru

Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. (473) 200-52-43.

Ключевые слова: компьютерная экспертиза; объект исследования; информация; классификация объектов; дамп памяти; скиммер; бинарный объект.

Key words: computer expertise; object of study; information; classification of objects; memory dump; skimmer; binary object.

УДК 343.121