CC BY
19
Научная статья УДК 343.98:347.948.2
https://doi.org/10.24412/2414-3995-2022-5-20-25
2015-0066-5/22-455 MOSURED: 77/27-011-2022-05-654
Комплексный подход как необходимое условие установления времени изготовления документа
Ольга Александровна Баринова1' 2
1 Московский университет МВД России имени В.Я. Кикотя, Москва, Россия,
о1.ЬоМагепско2011@yandex.ru
2 Московский государственный технический университет имени Н.Э. Баумана, Москва, Россия
Аннотация. Разработан новый алгоритм для установления времени изготовления документа, в основе которого лежит использование комплексного подхода с применением специальных знаний в области технико-криминалистической экспертизы документов и компьютерно-технической экспертизы. Решение поставленной перед экспертом задачи заключается в поиске на магнитных и оптических носителях файлов (в том числе и скрытых), содержащих информацию о времени создания документа, дате внесения в него изменений, а также примененном печатающем устройстве и времени его печати. Предложенный алгоритм позволяет проводить исследование документов с использованием неразрушающих методов, что позволяет его рекомендовать в качестве основного при установлении времени изготовления документа, выступающего в качестве вещественного доказательства. Апробация алгоритма подтвердила его высокую эффективность в решении экспертных задач установления обстоятельств изготовления документа.
Ключевые слова: давность, реквизиты документа, старение, компонентный состав, материалы письма, условия хранения документа, комплексные исследования, печатающее устройство
Для цитирования: Баринова О. А. Комплексный подход как необходимое условие установления времени изготовления документа // Вестник экономической безопасности. 2022. № 5. С. 20-25. https://doi.org/10.24412/2414-3995-2022-5-20-25.
Original article
An integrated approach as a necessary condition for determining the time of production of the document
Olga A. Barinova1, 2
1 Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot', Moscow, Russia,
ol.bondarencko2011@yandex.ru
2 Moscow State Technical University named after N.E. Bauman, Moscow, Russia
Abstract. A new algorithm has been developed to establish the time of production of the document, which is based on the use of an integrated approach using special knowledge in the field of technical and forensic examination of documents and computer and technical expertise. The solution to the task assigned to the expert is to search for files on magnetic and optical media (including hidden ones) containing information about the time of creation of the document, the date of making changes to it, and the printing device used and when it was printed. The proposed algorithm allows you to conduct a study of documents using non-destructive methods, which allows it to be recommended as the main one in establishing the time of production of a document that acts as material evidence. Approbation of the algorithm confirmed its high efficiency in solving expert problems of establishing the circumstances of the production of the document.
Keywords: age, document details, aging, component composition, writing materials, document storage conditions, complex studies, printing device
For citation: Barinova O. A. An integrated approach as a necessary condition for determining the time of production of the document. Bulletin of economic security. 2022;(5):20-5. (In Russ.). https://doi.org/10.24412/2414-3995-2022-5-20-25.
© EapHHOBa O. A., 2022
Постановка проблемы. При расследовании уголовных и рассмотрении гражданских и арбитражных дел довольно часто возникает необходимость установления абсолютной давности документа - временного периода создания документа, исчисляемый днями, месяцами или годами, благодаря чему устанавливается соответствие или несоответствие времени изготовления документа дате, обозначенной в нем. Методология экспертизы возраста документа базируется на установлении комплекса свойств материалов документа, возникших при его изготовлении и закономерностях изменения этих свойств во времени.
Поскольку рассматриваемые типы закономерностей действуют по-разному в различных областях действительности, и, следовательно, выражают различные виды свойств объекта, их исследование осуществляется в различных фундаментальных науках и отдельных предметных отраслях судебной экспертизы.
Анализ последних исследований и публикаций. Анализ научной литературы, посвященной рассматриваемому вопросу, свидетельствует о том, что в настоящее время, определение возраста документа осуществляется на основе анализа комплекса свойств, устанавливаемых с использованием специальных знаний в области авто-роведческой, почерковедческой, технико-криминалистической экспертизы документов и экспертизы материалов, веществ и изделий.
Выделение нерешенных ранее частей общей проблемы. Вместе с тем, следует принимать во внимание, установление абсолютного возраста документа в рамках указанных видов экспертиз имеют ограничения, описанные в статье «Установление времени изготовления документа: современные возможности и пределы решения задачи» [1].
Формулирование целей статьи. Основной целью работы является разработка методических рекомендаций по установлению возраста документа с использованием комплексного подхода в рамках технико-криминалистической экспертизы документов и компьютерно-технической (компьютерной) экспертизы, способствующей преобразованию содержащихся в носителях данных скрытой информации. Причем, важной особенностью компьютерно-технической (компьютерной) экспертизы от указанных выше является различие родового объекта исследования, то есть общего носителя объектов исследования. Так, родовым объектом почерковедческой, автороведческой, технико-криминалистической экспертизы документов, экспертизы материалов, веществ и изделий является документ на бумажной основе, и, следовательно, на его свойства оказывают влияние не только внутренние - компонентный состав красящего вещества, бумаги, но и внешние факторы, к которым относятся условия хранения. В то же время родовым объектом судебной компьютерно-технической экспертизы являются данные на различных электронных накопителях информации: жестком/гибком магнитном диске компьютера (далее - НЖМД), оптическом и магнитно-опти-
ческом дисках, флэш-картах и других дополнительных внешних устройствах хранения информации, которые не зависят от условий хранения. Кроме того, методы, применяемые в рамках СКТЭ, не видоизменяют итоговый объект исследования - документ на бумажной основе, что позволяет провести повторную экспертизу.
Изложение основного материала. Отдельные аспекты производства СКТЭ рассматривались рядом ученых: Т. В. Аверьяновой, В. Б. Веховым, К. Е. Деминым, В. Я. Колдиным, А. Р. Смолиной, Е. Р. Россинской, А. И. Усовым, А. А. Шелупановым, А. Н. Яковлевым и др. В данных работах авторами рассматриваются основные понятия, предмет, объекты, задачи СКТЭ, методика ее производства. Изложенные в трудах этих ученых научные положения и практические рекомендации, безусловно, внесли значительный вклад в развитие теории и практики производства компьютерно-технической экспертизы. В то же время следует признать, что особенности установления времени изготовления документа в рамках данного вида экспертизы авторами не рассматривались, что значительно сужает ее предмет и не может в полной мере удовлетворить потребности следственной и экспертной практики на современном этапе.
В целях всестороннего анализа информации, содержащихся на электронных носителях необходимо производство следующих видов СКТЭ: аппаратно-ком-пьютерной экспертизы, программно-компьютерной экспертизы и информационно-компьютерной экспертизы. При этом данные экспертизы производятся комплексно и, чаще всего, последовательно. Родовым объектом СКТЭ, как ранее было сказано, являются данные на различных электронных накопителях информации, которые подразделяются на внутренние и внешние. Причем внутренним накопителем оснащаются как компьютеры, так и некоторые печатающие устройства, что имеет важное значение для решения рассматриваемой задачи.
Видовым объектом СКТЭ при установлении возраста документа является файл спорного документа, созданного с помощью соответствующих прикладных программ - с расширениями текстовых форматов (.txt, .doc...), графических форматов (.bmp, .jpg, .tif, .cdr...), форматов баз данных (.dbf, .mdb...), электронных таблиц (.xls, .cal...) и др. Слово «файл» происходит от английского слова «File» (документ), и имеет следующие характеристики: собственное имя, тип содержащейся в нем информации, объем, время создания и изменения, расширение [2, с. 46]. Следовательно, файл является источником информации об обстоятельствах изготовления документа.
Итак, рассмотрим порядок действий эксперта при решении рассматриваемой задачи. Компьютерно-техническое исследование начинают с ознакомления с материалами, представленными для проведения экспертизы, осмотра упаковки и вещественных доказательств, проверки их состояния. Изучая обстоятельства дела и объ-
екты, эксперту необходимо уяснить пароль компьютера, если таковой имеется; было ли переустановлено программное обеспечение и когда.
Выяснив, что представленные на экспертизу объекты соответствуют перечню в постановлении следователя (определении суда) о ее назначении, эксперт уясняет вопросы, поставленные перед ним. Следует отметить, что задание эксперту должно быть направлено на установление конкретных обстоятельств расследуемого события и не выходить за пределы компетенции эксперта.
Для установления времени изготовления документа перед экспертом могут быть поставлены следующие вопросы:
1. Имеется ли на представленном на исследование машинном носителе файл спорного документа?
2. Если имеется, то, в какое время осуществлялось создание и редактирование файла?
При предоставлении на экспертизу предполагаемого печатающего устройства, с которого осуществлялась печать спорного документа, то перед экспертом ставятся дополнительные вопросы:
1. Имеется ли на представленном на исследование печатающем устройстве - принтере, накопитель информации?
2. Если да, то в какое время осуществлялась печать спорного документа.
На этой стадии эксперт при необходимости может заявлять ходатайства о предоставлении дополнительных материалов и сведений.
Уяснив вопросы, эксперт осуществляет просмотр настроек даты и времени на системной плате с помощью базовой системы ввода-вывода (BIOS) и сопоставляет их с текущими (с указанием следующих характеристик текущего времени: часовой пояс, летнее или зимнее время) [3, с. 191]. Затем извлекает из системного блока (ноутбука) машинные носители. Для этого объекты подключаются к тестовому компьютеру эксперта.
Перед подключением носителей информации к тестовому компьютеру, как справедливо указывает А. Р. Смолина, должна быть обеспечена неизменность и сохранность информации. Для этого необходимо осуществить блокирование возможности сохранения данных на носителях, подключаемых к портам USB тестового компьютера с помощью аппаратных блокираторов или программных средств (экспертной оперативной системой (далее - ОС), специализированным программным обеспечением (далее - ПО) [4, с. 56].
При отсутствии у эксперта возможности скопировать либо заблокировать информацию с машинного носителя и необходимо получить разрешение инициатора экспертизы на изменение компьютерной информации в процессе исследования.
После извлечения информации, содержащейся на машинных носителях, осуществляется поиск искомого файла, содержащего текстовую часть спор-
ного документа, в том числе скрытого либо удаленного, поскольку видимое отсутствие цифровой информации на носителе не значит ее физическое отсутствие1.
Для осуществления поиска информации, созданной с помощью прикладных программ, первоначально эксперту требуется определить область поиска, в которой возможно его осуществить средствами программно-аппаратного комплекса без дополнительных преобразований. При необходимости область поиска расширяется до зашифрованных областей, которые можно расшифровать, файлов-контейнеров, которые содержат данные в явном и скрытом виде, файлов-архивов, файлов, доступ к которым ограничен паролем. Поиск файлов может осуществляться по различным критериям, например, по текстовым или графическим фрагментам (ключевым словам), которые присутствуют в бумажном документе, расширениям, свойствам и метаданным файлов, сигнатурам и пр. Для поиска и отождествления документа на бумажном носителе и содержания файла документа на НЖМД целесообразно привлекать эксперта в области технико-криминалистической экспертизы документов. В ситуации, когда на экспертизу представлено несколько компьютеров, устанавливается тот, на котором имеется изучаемый файл.
После обнаружения файла изучаемого документа эксперт приступает к детальному исследованию метаданных файла спорного документа, программного обеспечения компьютера и накопителя информации печатающего устройства в целях поиска информации о действиях пользователя. Изучение программ, установленных на компьютере, необходимо для выделения принтеров, которые к нему подключались и определения конкретного устройства, с использованием которого была осуществлена печать документа и времени печати. Однако первоначально эксперту необходимо исключить наличие искаженных настроек даты и времени, которые осуществляются переводом системных часов или при помощи прикладных программ, поскольку их наличие препятствует определению истинных данных о дате создания файла. Для этого эксперту необходимо сопоставить сведения о времени создания файла спорного документа с файлами иных документов, дата и время создания которых достоверно известны, либо проанализировать данные о времени создания спорного документа и документов, на которые он содержательно ссылается.
Изучение метаданных файла позволяет установить: дату и время создания документа, внесения в него изменений; дату и время печати документа, количество редакций и общее число редактирований документа.
1 Проводя исследование, следует принимать во внимание, что удаление файла может осуществляться умышленно, для сокрытия следов преступления, во время форматирования НЖМД, а также может быть удален файл в связи с отсутствием его надобности.
Сведения о количестве редакций документа позволяют определить теоретически (выделено автором) возможное число его бумажных экземпляров, в различной степени отличающихся по содержанию.
Исследование метаданных всех связанных файлов позволяет выявить период работы над исследуемым конечным документом, что может быть положено в основу доказательства о несоответствии даты, указанной в самом документе, фактическому времени его создания.
Для графических файлов, в том числе являющихся частями текстовых документов и электронных таблиц, требуется установить технические данные, связанные со способом создания изображения. Следует учитывать, что при копировании и восстановлении файла в его метаданные вносятся изменения: в частности, временем создания документа признается время его копирования (восстановления), однако время редактирования документа сохраняет прежнее значение, т. е. дата редактирования раньше даты создания. Поэтому целесообразно учитывать только дату редактирования документа, поскольку документ будет тождественен бумажному только в случае, если его последняя редакция совпадает с содержанием последнего, а значит и время последнего редактирования может являться датой создания именно рассматриваемой версии документа.
В случае если для хранения файла электронного документа использовался съемный носитель - флэш-карта, внешний жесткий диск, исследованию стоит подвергать весь круг компьютеров, с которыми накопитель мог быть использован. Для этого, применяя реестр каждого устройства возможно определить период первого и последнего использования накопителя. Определение времени изготовления документа, файл которого хранится на съемном носителе, осуществляется путем сравнения сведений о периоде использования накопителя и времени печати документа.
Если документ создавался пользователем, выполнившем вход в систему под своей учетной записью, а редактировался пользователем с другим именем, то эти сведения также могут быть установлены, поскольку большинство прикладных программ сохраняют данные как о создателе документа, так и о пользователях, которые его редактировали, в том числе на разных компьютерах. Несовпадение регистрационных данных указывает на создание файла на разных компьютерах либо переустановку используемой программы на одном компьютере. Количество записей о текущем и предшествующем расположении файла свидетельствует об общем количестве его редакций.
Для документов, которые создаются в формате «.pdf», возможно выявить следующие метаданные, которые позволят установить давность документа и его создателя: заголовок - указывается заголовок документа (исходя из его первоначального содержания, если до-
кумент был создан в другом формате и преобразован в «.pdf», в заголовок вносится информация о приложении, с помощью которого он создавался; автор - указывается условное имя автора документа; тема - указывается тема документа; ключевые слова - указываются для возможности поиска документа по ним; создан - указывается дата и время создания документа; изменен - указывается дата и время последнего изменения документа; источник - приложение, в котором создан контент документа. Метаданные сохраняются при конвертации файлов различных форматов в PDF-документ, если не заданы новые значения в настройках экспорта. Таким образом, при исследовании pdf-файла давность документа может быть определена не ранее, чем указанная дата его создания или последнего редактирования, либо полученные сведения могут быть использованы с целью поиска первоисточника документа, в случае если имеются основания полагать, что метаданные исследуемого файла могли быть изменены при экспорте в формат или метаданные исходного файла содержат больше информации.
Дата последней печати документа в операционной системе «Microsoft Office» относится к категории метаданных приложения и сохраняется на носителе только при сохранении самого файла, т. е. если последнюю редакцию документа распечатать, но не сохранить, то и дата печати не изменится, однако если на бумажном носителе представлена именно последняя сохраненная редакция, а дата печати предшествует сохранению, то в основу вывода об абсолютной давности выполнения документа следует брать именно дату последнего редактирования.
Если же удалить какой-либо файл из папки и сразу сохранить новый файл с тем же именем в эту же папку, то дата создания нового файла останется от старого, удаленного файла за счет механизма туннелирования, который может быть намеренно или по умолчанию включен в реестр. Так, например, для файла, в метаданных которого содержатся следующие сведения: дата создания - 15.03.2022, дата изменения - 15.03.2022, дата печати - никогда, можно однозначно утверждать, что если документ и распечатывался, то только 15.03.2022, поскольку он сначала был распечатан, а потом сохранен, компьютер при этом не выключался, иначе файл был бы утрачен.
Если дата создания файла поздняя, чем дата его редактирования, то эксперт имеет дело с копией документа, который полностью сохраняет все сведения о своем «предшественнике». Следовательно, при решении рассматриваемой задачи следует указывать временной интервал между датой редактирования документа и датой его печати.
При отправке документа на печать на принтер, служба печати «Windows Print Spooler» формирует задание печати и создает два файла: один с расширением «.SHD», который содержит настройки задания печати, а другой с расширением «.SPL», который хранит соб-
ственно данные, которые распечатываются. Для установления документов, отправленных на печать, используются данные очереди печати. При отключенном диспетчере печати данные файлы возможно скопировать и просмотреть с использованием программы «SPLView». Если сохранение истории печати не ведется, то указанные файлы существуют лишь некоторое время после успешного выполнения задания печати, исключение составляют лишь те задания, при выполнении которых возникла ошибка. Невыполненные задания для документа сохраняются, даже если в дальнейшем он был успешно распечатан иным заданием печати, поврежден или удален.
Узнать историю печати с конкретного компьютера возможно, если на устройстве с установленной операционной системой Windows различных версий ведется журналирование очереди печати. В данном журнале, содержится информация обо всех событиях принтеров и файлах, отправленных на печать. При полном жур-налировании в системном журнале отображается следующая информация: наименование распечатанного файла; имя пользователя, отправившего документ на печать; наименование принтера; наименование порта; размер отпечатанного файла; число отпечатанных станиц. Следует отметить, что в журнале печати не предусмотрена функция сохранения самого выводимого на печать контента, в лог записываются лишь метаданные, поэтому используя любые метаданные файлов возможно по ним выполнить поиск файлов и обнаружить распечатанный документ. Критерием поиска в данном случае целесообразно использовать размер файла, а также дату его печати. В дальнейшем из числа отобранных программой файлов путем анализа иных свойств, например, числа распечатанных страниц, выбирается нужный эксперту. В случае если имеется обоснованное предположение о том, что документ изготовлен в той или иной организации, эксперту целесообразно проверить, не применялись ли различные прикладные программы для контроля использования принтеров. Особенностью работы данных программ является формирование развернутых отчетов истории очереди печати с указанием конкретного пользователя, использованного устройства. Исследование подобных отчетов позволяет не только установить дату и время печати документа, но и в некоторых случаях установить пользователя компьютера.
В ряде случаев, определить давность документа, изготовленного на известном принтере, возможно с использованием информации о дате установки самого принтера на компьютер. Это возможно когда на компьютере установлен только один принтер, либо несколько принтеров, отличающихся между собой технологией печати, например, когда установлены струйный принтер и электрофотографическое печатающее устройство, несколько струйных принтеров с разным способом подачи красящего вещества, два электрофотографических печатающих устройства, реализующих различную
технологию получения изображений (один лазерный принтер, а другой светодиодный). В ситуации, когда на компьютере установлено несколько печатающих устройств, важное значение имеют результаты технико-криминалистической экспертизы документов, на основании результатов которой можно судить о способе изготовления документа, которая должна предшествовать СКТЭ. Так, используя данные реестра «Windows» можно определить дату первого использования принтера и, если она окажется позднее указанной на документе, эксперт может сделать вывод о более позднем выполнении последнего.
Ряд моделей современных принтеров и многофункциональных устройств помимо платы оперативной памяти, из которой при экспертном исследовании можно получить данные о последнем задании печати, оснащаются жесткими дисками, которые предназначены для сохранения большего объема распечатываемых и сканируемых документов. Исследование данных дисков осуществляется с использованием аналогичных методов и средств, применяемых в отношении накопителей информации персональных компьютеров. Как правило, жесткими дисками снабжаются струйные и электрофотографические многофункциональные устройства для обеспечения параллельной работы различных функций устройства: факс, сканирование и ксерокопирование документов, а также непосредственно печати. Принтеры комплектуются 2.5-дюмовым накопителем на жестких магнитных дисках с интерфейсом подключения «EIDE» - подобные устройства, выпускаемые компаниями «HP», «Epson», «Xerox» и т. д., в названии модели имеют букву «h». Полное название модели принтера можно установить с использованием различных маркировочных обозначений на корпусе, либо в их отсутствие - использовать сведения, имеющиеся на любом компьютере, с которого хотя бы раз отправлялось задание на печать. Их исследование осуществляется с использованием тех же программ, что и для жестких магнитных дисков компьютера. При этом, важное значение имеет выбор программы, способной корректно работать с конкретной файловой системой.
Завершается работа эксперта оценкой выявленных признаков, формированием вывода и оформлением результатов исследования. Вывод эксперта должен основываться на совокупной оценке всех выявленных признаков в их взаимозависимости.
Выводы. Таким образом, только реализация комплексного подхода к исследованию объектов с использованием специальных знаний в области технико-криминалистической экспертизы документов, почерко-ведческой, автороведческой экспертизы, экспертизы материалов, веществ и изделий и судебной компьютерно-технической (компьютерной) экспертизы, позволит полно и всесторонне изучить документы и получить доказательства, соответствующие требованиям процессуального законодательства.
Список источников
1. Баринова О. А., Купин А. Ф. Установление времени изготовления документа: современные возможности и пределы решения задачи // Российский судья. 2018. № 2. С. 30-35.
2. Демин К. Е. О понятии «компьютерная информация» применительно к процессу доказывания // Вестник Московского университета МВД России. 2019. № 1. С. 44-47.
3. Типовые экспертные методики исследования вещественных доказательств / под ред. Ю. М. Дильдина. М. : Интеркрим-Пресс, 2010. Ч. 1. 568 с.
4. Смолина А. Р. Методическое и алгоритмическое обеспечение производства компьютерно-технической экспертизы : дис. ... канд. техн. наук : 05.13.19 / А. Р. Смолина. Томск : Томский государственный университет систем управления и радиоэлектроники., 2017. 132 с.
References
1. Barinova O. A., Kupin A. F. Establishing the time of document production : modern possibilities and limits of problem solving // Russian court. 2018. № 2. P. 30-35.
2. Dyomin K. E. On the concept of «computer information» in relation to the process of proof // Bulletin of the Moscow University of the Ministry of Internal Affairs of Russia. 2019. № 1. P. 44-47.
3. Typical expert methods of studying material evidence / ed. by Yu. M. Dildin. M. : Interkrim-Press, 2010. Ch. 1. 568 p.
4. Smolina A. R. Methodical and algorithmic support of production of computer-technical expertise : dis. ... cand. techn. science : 05.13.19 / A. R. Smolina. Tomsk : Tomsk State University of Control Systems and Radioelectronics., 2017. 132 p.
Информация об авторе
О. А. Баринова - доцент кафедры оружиеведения и трасологии учебно-научного комплекса судебной экспертизы Московского университета МВД России имени В.Я. Кикотя, доцент кафедры «Безопасность в цифровом мире» Московского государственного технического университета имени Н.Э. Баумана, кандидат юридических наук.
Information about the author
O. A. Barinova - Associate Professor of the Department of Weapon Analysis and Trasology of the Training and Scientific Complex of Forensic Examination of the Moscow University of the Ministry of Internal Affairs of Russia named after VYa. Kikot', Associate Professor of the Department of «Security in the Digital World» of the Moscow State Technical University named after N.E. Bauman, Candidate of Legal Sciences.
Статья поступила в редакцию 27.06.2022; одобрена после рецензирования 30.08.2022; принята к публикации 29.09.2022.
The article was submitted 27.06.2022; approved after reviewing 30.08.2022; accepted for publication 29.09.2022.
