CC BY
32
Научная статья УДК: 343.985
DOI: 10.55001/2587-9820.2022.88.70.016
КРИМИНАЛИСТИЧЕСКИ ЗНАЧИМАЯ ИНФОРМАЦИЯ, ХРАНЯЩАЯСЯ В АЛЬТЕРНАТИВНЫХ ПОТОКАХ ДАННЫХ ФАЙЛОВОЙ СИСТЕМЫ NTFS
Андрей Борисович Соколов1, Роман Павлович Щербина2, Антон Александрович Шаевич34
^Омская академия Министерства внутренних дел, г. Омск Российская Федерация 1e-mail: andrey.perm@mail.ru 2e-mail: moloy.omsu@gmail.com
3Восточно-Сибирский институт Министерства внутренних дел Российской Федерации, Иркутский национальный исследовательский технический университет, г. Иркутск, Российская Федерация, e-mail: saant@list.ru 4Иркутский национальный исследовательский технический университет, г. Иркутск, Российская Федерация
Аннотация. В рамках статьи была предпринята попытка получения новых знаний в криминалистике в части, касающейся изучения сущности и функционирования альтернативных потоков данных файловой системы NTFS. Основной задачей исследования является установление последовательности и содержания действий правоприменителя по обнаружению криминалистически значимой информации, находящейся на электронных носителях информации, путем реализации возможностей изучения содержит много альтернативных потоков данных файловой системы NTFS.
В процессе исследования нормативных правовых актов, регулирующих отношения в исследуемой области, правоприменительной деятельности и юридической и технической литературы, была определена сущность альтернативных потоков данных файловой системы NTFS как способ хранения криминалистически значимой информации. Представлен содержательный аспект деятельности следователя по обнаружению такой информации. Установлены особенности использования полученной криминалистически значимой информации в доказывании при расследовании преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации.
Входе исследования делается вывод о том, что один из вероятных способов сокрытия криминалистически значимой информации состоит в использовании альтернативных потоков данных файловой системы NTFS. Не исключается применение знаний о рассмотренной технологии как потенциальный эффективный способ обнаружения следов (результатов) преступления в деятельности правоохранительных органов, однако для этого требуется дальнейшее изучение указанного направления, в том числе учеными-криминалистами.
Ключевые слова: преступление, специальные знания, компьютерные технологии, альтернативные потоки данных, криминалистически значимая информация, следователь.
Для цитирования: Соколов А.Б., Щербина Р.П., Шаевич A.A. Криминалисти-
159
О Соколов А.Б., Щербина Р.П.. Шаевич A.A., 2022
чески значимая информация, хранящаяся в альтернативных потоках данных файловой системы NTFS // Криминалистика: вчера, сегодня, завтра. — 2022. — Т. 22. — № 2. — С. 159—169. DOI: 10.55001/2587-9820.2022.88.70.016
CRIMINALLY SIGNIFICANT INFORMATION STORED IN ALTERNATIVE DATA
STREAMS OF THE NTFS FILE SYSTEM
Andrey B. Sokolov \ Roman P. Shcherbina2, Anton A. Shaevich3-4
^Orn.sk Academy of the Ministry of Internal Affairs of Russia, Omsk, Russian Federation 1e-mail: Andrey.perm@mail.ru 2e-mail: moloy.omsu@gmail.com
3East Siberian Institute of the Ministry of Internal Affairs of Russia, Irkutsk, Russian Federation, e-mail: saant@list.ru
4Irkutsk National Research Technical University, Irkutsk, Russian Federation
Abstract. Within the framework of the article, an attempt was made to gain new knowledge in criminology in terms of studying the essence and functioning of alternative data streams of the NTFS file system. The main objective of the study is to establish the sequence and content of the actions of the law enforcement officer to detect criminalistically significant information stored on electronic media by implementing the possibilities of studying the contents of alternative data streams of the NTFS file system.
In the process of studying regulatory legal acts regulating relations in the field under study, law enforcement activities and legal and technical literature, the essence of alternative data streams of the NTFS file system was determined, as a method of storing criminally significant information. The informative aspect of the investigator's activity on the detection of such information is presented. The features of the use of criminally significant information obtained in proving during the investigation of crimes committed using information and telecommunication technologies or in the field of computer information are established.
The study concludes that one of the likely ways to conceal criminally significant information is to use alternative data streams of the NTFS file system. The use of knowledge about the considered technology as a potential effective way to detect traces (results] of a crime in the activities of law enforcement agencies is not excluded, however, this requires further study of this area, including by forensic scientists.
Keywords: crime, special knowledge, computer technologies, alternative data streams, criminally significant information, investigator.
For citation: Sokolov A.B., Shcherbina R.P., Shaevich A.A. Kriminalisticheski znachimaya informaciya, hranyashchayasya v al'ternativnyh potokah dannyh fajlovoj siste-iny NTFS [Criminally significant information stored in alternative data streams of the ntfs file system], Kriminalistika: vchera, segodnya, zavtra = Forensics:yesterday, today, tomorrow. 2022, vol. 22 no. 2, pp. 159—169 (in Russ.). DOI: 10.55001/25879820.2022.88.70.016
Ведение
делает криминалистическое исследование электронных носителей информации одним из видов технико-криминалистической деятельности [1—3]. Специфика следовой карти-
В последнее время закономерно ученые-кр ими нал исты всё больше обращают внимание на существование цифровых следов преступления, что
ны преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, обусловливает необходимость обращения к широкому кругу возможностей программного обеспечения, в том числе для обнаружения информации, которая целенаправленно маскируется различными методами [см., напр., 4— 8].
В целях обнаружения криминалистически значимой информации правоохранительными органами могут использоваться сведения о наличии и содержании альтернативных потоков данных (ADS). Сегодня в криминалистической науке не сформированы подходы к разрешению отдельных проблем, связанных с обнаружением криминалистически значимой информации, сокрытой на электронных носителях информации, путем реализации возможностей альтернативных потоков данных файловой системы NTFS.
В настоящее время практически во всех сферах общественной жизни активно применяются компьютерные технологии, в том числе при подготовке, совершении и сокрытии преступлений или данных о них. Многообразие способов совершения противоправных деяний, бурное развитие технологий, а вместе с тем и возможностей компьютерных систем, позволяют сформулировать следующий тезис: установленные и описанные в частных криминалистических методиках закономерности преступной деятельности, с одной стороны, и специфика выявления, раскрытия и расследования преступлений— с другой, не всегда отражают присущие им особенности. В частности, не в полной мере учитываются аспекты технического характера, которые могут использоваться при сокрытии следов преступления. Полага-
ем, что уже при подготовке лицо заранее обдумывает способ совершения преступления с применением компьютерных технологий, включая в их состав возможность осуществления действий, направленных на сокрытие криминалистически значимой информации — следов. С этой целью могут использоваться достаточно сложные с технической стороны способы сокрытия сведений о преступлении, чаще всего это программное компьютерное обеспечение, позволяющее реали-зовывать дополнительные возможности. Без каких-либо сомнений к таковым можно отнести функционирование альтернативных потоков данных (ADS)1.
Результаты анализа состояния уровня преступности в России показывают, что количество зарегистрированных преступлений, совершенных с использованием информационно-телекоммуникационных технологий необычайно растет. Так за 2017 год зарегистрировано 90 тыс. 587 преступлений совершенных с использованием компьютерных и телекоммуникационных технологий; за 2018 год — 174 тыс. 674 (+92,8%); за 2019 год зарегистрировано 294 тыс. 409 (+68,5 %) преступлений, совершенных с использованием информационно-телекоммуникационных технологий; за 2020 год зарегистрировано 510 тыс. 396 (+73,4 %) преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации за 2021 год— 517 тыс. 722 (+1,4%); за период с января по апрель 2022 года зарегистрировано
1 Аббревиатура от англ. Л itera a te Data Streams — дополнительная информация об объекте файловой системы NTFS.
163 тыс. 816 (-11,4 о/о)1. При этом наиболее распространенными видами таких преступлений являются:
— публичные призывы к осуществлению террористической деятельности, публичное оправдание терроризма или пропаганда терроризма (ст. 205.2 Уголовного кодекса Российской Федерации (далее — УК РФ));
— незаконные производство, сбыт или пересылка наркотических средств, психотропных веществ, а также незаконные сбыт или пересылка растений, содержащих наркотические средства или психотропные вещества (ст. 228.1 УК РФ);
— изготовление порнографических материалов ст. 242, 242.1,242.2 (УК РФ);
— неправомерный доступ к компьютерной информации (ст. 272 УК РФ).
Полагаем, что данная ситуация обусловлена, прежде всего, тем, что электронная (цифровая) информация, являющаяся объектом, средством и (или) результатом совершения преступления обладает высокой латент-ностью и не может быть обнаружена непосредственно. Учитывая сказанное, правоохранительные органы просто не могут установить искомые на электронном носителе информации сведения при функционировании альтернативных потоков данных.
Основная часть
Помочь отыскать криминалистически значимую информацию позволит знание сущности и особенности реализации возможностей альтернативных потоков данных файловой системы NTFS.
1 Статистика. Состояние преступности в России за январь-декабрь 2017, 2018, 2019, 2020, 2021, январь-апрель 2022 г.г. URL: https://MBfl.p4>/folder/101762 (дата обращения: 23.05.2022].
О возможностях использования альтернативных потоков данных для организации секретного хранения на жестком диске конфиденциальных данных владельца компьютера или сохранения информации, не санкционированного хозяином, в соответствующих специальных изданиях упоминалось более 15 лет назад. Как отмечает автор: «в потоках могут содержаться текстовые документы, таблицы Excel и другие типы информации, которые можно обрабатывать как обычные файлы, без предварительного извлечения». А возможности ADS могут использоваться разработчиками вирусов и троянских утилит, например, Тго-jan.Comxt.B [9; с. 47].
В отечественной криминалистической литературе авторам статьи не удалось отыскать работы, раскрывающие вопросы обнаружения криминалистически значимой информации и описания процедуры, исследования альтернативных потоков данных. Вполне уместное упоминание о возможном поиске недоступных криминалистическому программному обеспечению компьютерных данных, сокрытых, например, при помощи стеганографии или альтернативных потоков данных (ADS) [10], в том числе установление первичного источника информации в информационно-телекоммуникационной сети Интернет, в контексте определения частных и общих направлениях возможностей искусственных нейронных сетей было сделано Д. В. Бахтеевым [11, с. 46], а также, уже после подготовки основной части представленного исследования, была опубликована статья, затрагивающая проблему возможностей исследования данных [12], авторы которой делают вывод, важный для освещения данной проблемы, о том, что «встроенных программных средств операционной системы недостаточно
для проведения экспертом полноценного и качественного исследования» [12; с. 426].
Перейдем к рассмотрению сущности предмета исследования.
В файловой системе NTFS файл, кроме основных данных, может быть связан с одним или несколькими дополнительными потоками данных. При этом дополнительный поток может быть произвольного размера, в том числе может превышать размер основного файла.
Файловая система NTFS может работать с несколькими именованными потоками, получившими название «Альтернативные потоки данных». Поддержка ADS была реализована для совместимости с уже существующими операционными системами, позволяющими хранить метаданные для файлов (например, файловая система HFS). В операционной системе Windows 2000 альтернативные потоки данных используются для хранения таких атрибутов, как сведения об авторе, название и иконка файла. Начиная с Service Pack 2 для Windows ХР, Microsoft представила службу Attachment Execution Service, которая сохраняет в альтернативных потоках данных подробную информацию о происхождении загруженных файлов в целях повышения безопасности.
Альтернативные потоки данных игнорируются большинством программ, включая Windows Explorer и консольную команду DIR. Windows Explorer позволяет копировать альтернативные потоки и выдает предупреждение, если целевая файловая система их не поддерживает. Однако при этом Windows Explorer не подсчитывает размер и не отображает список альтернативных потоков. Команда DIR была обновлена в операционной системе Windows Vista: в команду добав-
лен флаг «/R» для построения списка ADS.
Целесообразным представляется рассмотрение сущности файла как такового сточки зрения файловой системы NTFS. Для упрощенного понимания, отметим, что он может быть представлен в виде контейнера, в котором хранятся некие данные. Обратимся к обычному текстовому документу, созданному в приложении «Блокнот». Пустой текстовый файл — это оболочка, а то, что в него записано — полезное содержимое, отображаемое в текстовом редакторе. Однако в файл может быть записана и другая информация, которая не отображается в текстовом редакторе. Таковыми могут быть, например, метаданные.
Эти метаданные хранятся в ADS, являющимися свойствами атрибутов, из которых, по представлению NTFS, состоит любой файл. Атрибуты в NTFS играют примерно туже роль, что и массивы данных. Свойства атрибутов могут быть как основными, так и альтернативными. Основным может быть только один поток, безымянный, именно в нем хранится полезное содержимое файла.
Так, записанный в текстовый файл текст содержится в основном потоке атрибута
$DATA ($data:"stream"). Разобьем его на части:
$DATA — название атрибута;
Двоеточие — разделитель;
Содержимое между прямыми кавычками — есть название потока, т.е. «stream».
Поток с пустым именем в NTFS основной, все остальные именованные потоки являются альтернативными. Например, поток $data: «Stream» — ал ьтер нати вн ы й.
Наиболее простым способом записать данные в альтернативный поток является обращение к командной
строке. Запишем для примера в текстовый файл «testtxt», уже содержащий текст «Пример», скрытую строку «Террористическая деятельность». Для этого необходимо открыть командную строку и выполнить в ней следующую команду:
echo «Террористическая деятельность» > D:\content. txt:streaml
При открытии файла «test.txt», мы обнаружим, что его содержание «Пример» не изменилось. Однако, выполнив в командной строке следующее:
morectest.txt: str eaml
Результатом будет «Террористическая деятельность».
Таким образом, в альтернативных потоках можно хранить данные любого типа: текстовые, графические, видео.
Альтернативные потоки, будучи невидимыми для стандартных средств работы с объектами файловой системы, тем не менее, очень часто используются для хранения дополнительных сведений о файлах и другой служебной информации. Так, при скачивании файлов из сети Интернет, браузеры добавляют к ним альтернативный поток с именем Zone.Identifier, который можно открыть приложением «Блокнот».
Например, рассмотрим файл установки «Яндекс.браузер». Выполним команду:
notepad %USERPROFILE%\
Downloads\ Yan-
dex.exe ¡Zone.Identifier
Путь к файлу можно не задавать, предварительно выполнив команду перехода в каталог загружаемых файлов текущего пользователя (при стандартном расположении служебных пользовательских папок):
cd %USERPROFILE%\Downloads Команда
"notepadYandex.exe: Zone.Identifier"
откроет альтернативный поток с именем Zone.Identifier для инсталляционного файла браузера «Яндекс» с именем Yandexexe в текущем каталоге.
Как видим, содержимое альтернативного потока содержит строки:
[ZoneTransfer] — признак секции с описанием зоны передачи данных;
ZoneId=3 — идентификатор зоны.
Эта информация дает возможность определить происхождение файла по номеру идентификатора
Zoneid:
0 — локальный компьютер;
1 — местная локальная сеть;
2 — надежные сайты Интернета;
3 — Интернет;
4 — опасные сайты;
Такое определение зон, например, соответствует настройкам безопасности обозревателя Internet Explorer.
В данном случае, можно определить, что файл Yandexexe был получен из сети Интернет (идентификатор зоны = 3). При запуске такого файла, будет выдано предупреждение системы безопасности о ненадежном источнике. Аналогичным образом работают средства безопасности приложений Microsoft Office, когда предупреждают об опасности открытия файлов, которые были загружены из сети Интернет.
При изменении в блокноте, значение Zoneid на «О», что будет соответствовать локальному происхождению файла, и предупреждение системы безопасности исчезнет, как и проблемы с открытием офисных документов.
Аналогичное поведение систем безопасности будет и в тех случаях, если удалить содержимое альтернативного потока (сделать его пустым), либо удалить сам альтернативный поток.
Лицо, совершившее один из видов ранее указанных видов преступлений, может использовать альтернативные
потоки для хранения в них данных об осуществленной противоправной деятельности. В ADS могут храниться данные о логинах и паролях; видео-, аудиозаписи с содержанием публичных призывов к осуществлению террористической деятельности, публичных оправданий терроризма или пропаганды терроризма; точных местах (адресах) «закладок» наркотических средств; неправомерно скопированной компьютерной информации; видео порнографического характера; тело вредоносного программного обеспечения и многое другое, что является свидетельством преступной деятельности.
В случае применения ADS для использования вредоносного программного обеспечения антивирусная защита справляется весьма хорошо. Однако при исследовании альтернативных потоков в рамках судебно-компьютерной экспертизы (СДЭ) проблема заключается в том, что для выполнения общих задач по поиску информации, чаще всего применяется поиск по расширению фалов. Как правило, такой подход применяется в ситуации, когда речь идет о медиа файлах. Даже при выполнении самой распространенной задачи СДЭ по поиску текстовой информации, при помощи программного обеспечения Archivarius3000, которое достаточно распространен в экспертной деятельности, данные из ADS не анализируются. Таким образом, электронные (цифровые) следы совершения преступления не будут обнаружены.
Другой программный продукт, используемый экспертами судебно-компьютерных лабораторий это приложение WinHEX. Данное программное обеспечение позволяет просмотреть содержимое носителя информации и предоставить его в шестнадцатерич-ном виде. В рамках проведенного ис-
следования была проверена возможность нахождения тестовых данных в альтернативном потоке. В целом WinHEX с этим справилась при постановке задачи — «поиск конкретного слова». В случае, когда в качестве задачи предполагалось обнаружить видео или графических данные, работа исследуемого приложения значительно усложнялась, занимала большое количество времени. Полагаем, причина этого кроется в ином целевом назначении данного приложения.
При осуществлении поиска графических или видеофайлов эксперты входе производства судебной компьютерной экспертизы, как правило, прибегают к поиску по расширению. В случае, когда искомые данные находятся в альтернативных потоках, файл к которому прикреплены эти данные может быть любого типа, а значит и любого расширения. Поиск по расширению, при постановке указанной ранее задачи, не дает ожидаемого результата.
В случае обнаружения необходимых данных в альтернативных потоках инициатору экспертного исследования будет предоставлен исходный файл с этим потоком. Следователь при просмотре предоставленных ему фалов должен обладать навыками работы с альтернативными потоками, что, думается, сегодня в правоохранительной системе большая редкость.
Для исследования обнаружения альтернативных потоков можно использовать команду «DIR \г». Также работать с ADS позволяет утилита Ро-werShell. Она умеет создавать, обнаруживать, выводить содержимое и удалять альтернативные потоки данных. Для того, чтобы обнаружить наличие альтернативных потоков, можно воспользоваться командой:
Get-Item -Path testtxt -Stream *
При этом результаты проведенного исследования, а также анализ материалов уголовных дел, как правило возбужденных пост. 186УК РФ (изготовление, хранение, перевозка или сбыт поддельных денег или ценных бумаг (фалыпивомонетчество)), эксперты применяют программные продукты от Ве1козоЙ и программное обеспечение АШюрБу. Данные приложения позволяю обнаружить и получить данные, находящиеся в альтернативных потоках.
Выводы и заключение Учитывая сказанное, полагаем целесообразно применять данного рода программное обеспечение для более полного исследования при расследовании различных видов (групп) преступлений, в том числе ст.ст. 205.2, 228.1, 242, 242.1, 242.2, 272 УК РФ, совершаемых с применением информационно-телекоммуникационных технологий или в сфере компьютерной информации. В экспертной практике бывают случаи, когда при производстве экспертизы по одной категории
уголовных дел, обнаруживаются данные иной противоправной деятельности. Для выявления большего числа совершенных преступлений, правильным представляется более полное и глубокое исследование цифровой информации, в том числе изучении данных, содержащихся в альтернативных потоках.
В заключение укажем, что одним из вероятных способов сокрытия криминалистически значимой информации при совершении преступлений, с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации является использование альтернативных потоков данных файловой системы КТРЭ. Знания о рассмотренной технологии как потенциальном эффективном способе обнаружения следов (результатов) преступления могут быть полезны в деятельности правоохранительных органов, однако для этого требуется дальнейшее изучение указанного направления, в том числе учеными-криминалистами.
СПИСОК ИСТОЧНИКОВ
1. Российская Е. Р. Информационно-компьютерное обеспечение криминалистической деятельности как частная криминалистическая теория // Воронежские криминалистические чтения. — 2017. — № 2(19). — С. 168—176.
2.Вехов Б. В. Формирование стратегий расследования преступлений на основе положений электронной криминалистики / Б. В. Вехов, П. С. Пастухов // Ехщге. —
2019. — № 4. — С. 129—141.
3. Пастухов П. С. Методологические основы цифровизации криминалистической деятельности / П. С. Пастухов // Вестник Пермского института ФСИН России. —
2020. — № 4 (39). — С. 69—77.
4. Альхрейсат X. Сокрытие информации внутри шау-файлов: применение, анализ и оценка / X. Альхрейсат // Известия СПбГЭТУ ЛЭТИ. — 2006. — № 15. — С. 48— 56.
5. Зиновьева Н. С. Криминалистический анализ информации, сокрытой методами криптографии и стеганографии / Н. С. Зиновьева // Современные проблемы отечественной криминалистики и перспективы ее развития: сб. науч. ст. по мат-лам всерос. науч.-практ. конф. (смелсдунар. участием), поев. 20-летию каф. криминалистики, Краснодар, 28—29сент. 2018 г./ Отв. ред. Г. М. Меретуков.— Краснодар: Кубанский государственный аграрный университет имени И. Т. Трубилина, 2019.— С. 256—258.
6. Свидетельство о государственной регистрации программы для ЭВМ № 2022619084 Российская Федерация. Программа стеганографического преобразования информации с использованием файлов формата МРЗ: №2022616154: заявл. 07.04.2022: опубл. 19.05.2022 / В. А. Булавин, А. А. Трипутень, С. В. Радаев, А. А. Слышев.
7. Свидетельство о государственной регистрации программы для ЭВМ №2022617579 Российская Федерация. Программа стеганографического преобразования информации с использованием изображений, сжатие которых основано на вейвлет-преобразовании: №2022616346 : заявл. 08.04.2022: опубл. 22.04.2022/ А. А. Трипутень, В. А. Булавин, С. В. Радаев, Ю. Б. Иванов.
8. Усачев С. И. Использование ресурсов информационно-телекоммуникационной сети «интернет» при расследовании мошенничества в сфере автострахования / С.И.Усачев, К. С. Сидорова // Криминалистика: вчера, сегодня, завтра. — 2020. — № 1 (13). — С. 94—102.
9. Костышин М. Использование альтернативных потоков данных / М. Костышин // Системный администратор. — 2005. — № 3 (28). — С. 44—47.
10. Harris R. М. Using Artificial Neural Networks for Forensic File Type Identification. Master'sthesis. WestLafayette: PurdueUniversity, 2007.66 p.
11. БахтеевД. В. Искусственный интеллект в криминалистике: состояние и перспективы использования // Российское право: образование, практика, наука. — 2018, —№2, —С. 43—49.
12. Долгушина П. Е. Возможности исследования альтернативных потоков данных / П. Е. Долгушина, А. В. Караваева, Ю. В. Молодцова // ModernScience. — 2022. — №4—1, —С. 422—426.
REFERENCES
1. Rossinskaya E.R. Information and computer support of criminalistic activity as a private criminalistic theory [Informacionno-komp'yuternoe obespechenie kriminal-isticheskoj deyatel'nosti kak chastnaya kriminalisticheskaya teoriya]. Voronezhskie kriminalisticheskie chteniya— Voronezh forensic readings. 2017, no. 2(19), pp. 168— 176. (in Russian).
2. Vekhov B.V., Pastuhov P.S. Formirovanie strategij rassledovaniya prestuplenij na osnove polozhenij elektronnoj kriminalistiki [Formation of crime investigation strategies based on the provisions of electronic criminalistics], Exjure. 2019, no. 4, pp. 129— 141. (in Russian).
3. Pastuhov P.S. Metodologicheskie osnovy cifrovizacii kriminalisticheskoj deyatel'nosti [Methodological foundations of digitalization of criminalistic activity], Vestnik Permskogo instituta FSIN Rossii — Vestnik of the Perm Institute of the Federal Penitentiary Service of Russia. 2020, no. 4(39), pp. 69—77. (in Russian).
4. Al'hrejsat, H. Sokrytie informacii vnutri wav-fajlov: primenenie, analiz i ocenka [Hiding information inside wav files: application, analysis and evaluation] Izvestiya SPbGETU LETI. 2006, no. 15, pp. 48—56. (in Russian).
5. Zinov'eva N.S. [Criminalistic analysis of information hidden by cryptography and steganography methods] Sovremennye problemy otechestvennoj kriminalistiki iperspektivy eerazvitiya: Sbornik nauchnyh statej pomaterialam Vserossijskoj nauch-no-prakticheskoj konferencii (s mezhdunarodnym uchastiem), posvyashchennoj 20-letiyu kafedry kriminalistiki, Krasnodar, 28-29 sentyabrya [Modern problems of domestic criminology and prospects for its development: A collection of scientific ar-
tides based on the materials of the All-Russian Scientific and Practical Conference (with international participation) dedicated to the 20th anniversary of the Department of Criminology, Krasnodar, September 28-29, 2018]. Krasnodar: Kuban State Agrarian University named after I.T. Trubilin. 2019, pp. 256—258. (in Russian).
6. Svidetel'stvo о gosudarstvennoj registracii programmy dlya EVM № 2022619084 Rossijskaya Federaciya. Programma steganograficheskogo preobra-zovaniya informacii s ispol'zovaniem fajlov formata MR3: №2022616154: za-yavl. 07.04.2022: opubl. 19.05.2022 [Certificate of state registration of the computer program No. 2022619084 Russian Federation. The program of steganographic transformation of information using MP3 format files: No. 2022616154: application 07.04.2022: publ. 19.05.2022]. V. A. Bulavin, A. A. Triputen', S. V. Radaev, A. A. Slyshev. (in Russian).
7. Svidetel'stvo о gosudarstvennoj registracii programmy dlya EVM № 2022617579 Rossijskaya Federaciya. Programma steganograficheskogo preobra-zovaniya informacii s ispol'zovaniem izobrazhenij, szhatie kotoryh osnovano na vejvlet-preobrazovanii: № 2022616346: zayavl. 08.04.2022: opubl. 22.04.2022 [Certificate ofstate registration ofthe computer program No. 2022617579 Russian Federation. The program of steganographic transformation of information using images whose compression is based on the wavelet transform: No. 2022616346: application 08.04.2022: publ. 22.04.2022]. A. A. Triputen', V. A. Bulavin, S. V. Radaev, YU. B. Ivanov. (in Russian).
8. Usachev, S. I. Ispol'zovanie resursov informacionno-telekommunikacionnoj seti "internet" pri rassledovanii moshennichestva v sfere avtostrahovaniya [Using the resources of the information and telecommunications network "Internet" in the investigation of fraud in the field ofauto insurance]. Kriminalistika: vchera, segodnya, zavtra — Forensic: yesterday, today, tomorrow. — 2020. No. 1(13), pp. 94—102. (in Russian).
9. Kostyshin, M. Ispol'zovanie al'ternativnyh potokov dannyh [Using alternative data streams]. Sistemnyj administrator— System administrator. 2005. №3(28), pp. 44—47. (in Russian).
10. Harris R. M. Using Artificial Neural Networks for Forensic File Type Identification. Master'sthesis. WestLafayette: PurdueUniversity, 2007. 66 p. (in Russian).
11. Bahteev D.V. Iskusstvennyj intellekt v kriminalistike: sostoyanie i perspektivy ispol'zovaniya [Artificial intelligence in criminalistics: state and prospects of use] Ros-sijskoe pravo: obrazovanie, praktika, nauka— Russian law: education, practice, science. 2018. № 2. pp. 43—49. (in Russian).
12. Dolgushina, P. E. Vozmozhnosti issledovaniya al'ternativnyh potokov dannyh [Possibilities of alternative data flows research], ModernScience. 2022. № 4-1. pp. 422— 426. (in Russian).
ИНФОРМАЦИЯ ОБ АВТОРАХ Соколов Андрей Борисович, кандидат юридических наук, доцент, заместитель начальника кафедры криминалистики. Омская академия МВД России, 644092, Россия, г. Омск, проспект Комарова, 7.
Щербина Роман Павлович, преподаватель кафедры криминалистики. Омская академия Министерства внутренних дел Российской Федерации, 644092, Россия, г. Омск, пр. Комарова, 7.
Шаевич Антон Александрович, кандидат юридических наук, доцент, профессор кафедры криминалистики. Восточно-Сибирский институт МВД России, 664071, Россия, г. Иркутск, ул. Лермонтова, 110; доцент кафедры юриспруденции.
Иркутский национальный исследовательский технический университет, 664074, г. Иркутск, ул. Лермонтова, 83.
INFORMATION ABOUT THE AUTHORS Andrey В. Sokolov, candidate oflaw sciences, associate professor, Deputy Head of the Department of Criminalistics. Omsk Academy of the Ministry of Internal Affairs of Russia, 7 Komarova Avenue, Omsk, Russia, 644092.
Roman P. Shcherbina, lecturer of the Department of Criminalistics. Omsk Academy of the Ministry of Internal Affairs of the Russian Federation, 7 Komarova Ave., Omsk, Russia, 644092.
Anton A. Shaevich, candidate oflaw, associate professor, Professor of the Department of Criminalistics. East-Siberian Institute of the MIA of Russia, 110 Lermontov St., Irkutsk, Russia, 664071; associate professor of the Department of Jurisprudence. Irkutsk National Research Technical University, 83 Lermontov St., Irkutsk, Russia, 664074.
