CC BY
49
Арутюнов Александр Самсонович Фаниев Павел Андреевич
Понятие файлов и метаданных, необходимость их исследования для решения
криминалистических задач
А статье анализируются существующие определения понятия «файл», а также формируется определение. Рассматриваются понятия файловой системы, кодировки и определения метаданных. Отмечается важность исследования файлов и метаданных для раскрытия преступлений.
Ключевые слова: файл, файловая система, кодировка, метаданные.
The concept of files and metadata, the need for their research to solve forensic problems
The article analyzes the existing definitions of the concept of "file", and also gives the it's definition. The concepts of file system, encoding and metadata definitions are considered. An express analysis of the IP address is carried out. The importance of the study of files and metadata for solving crimes is noted.
Keywords: file, file system, encoding, metadata.
Основными объектами компьютерно-технической экспертизы, наряду с аппаратными устройствами выступают комплексы программного и информационного обеспечения - готовые программные продукты, состоящие из файлов.
Слово «файл» прежде обозначало не информацию, а устройство, на котором хранилась информация. Это было связано с тем, что на диск можно было записать лишь один файл (например, диски для первых коммерческих компьютеров IBM 305, появившихся в середине прошлого века). А соответствии с Толковым словарем С.И. Ожегова файл -это «поименованная область данных» [1]. Т.А. Ефремова определяет файл как «специально организованную структуру данных во внешней памяти ЭВМ» [2]. С.А. Кузнецов называет файлом «совокупность взаимосвязанных блоков информации, распознаваемую компьютером как единое целое» [3]. Анализ указанных определений позволяет сделать вывод, что файл - это специально структурированная совокупность взаимосвязанных блоков цифровой информации, представленной в виде двоичного кода, распознаваемая операционной системой как единое целое и хранящаяся в долговременной памяти устройства.
А зависимости от изменяемости все файлы можно условно разделить на три группы.
Неизменяемые файлы - содержащие какой-либо контент, предназначенный для использования конечным пользователем (например, аудио- и видеофайлы, электронные книги и т.д.), составляющие подавляющее большинство.
Изменяемые в процессе создания файлы -используемые для создания неизменяемых файлов. К ним относятся исходный программный код, редактируемые аудио-, видео-, графические файлы (например, файлы с расширением .crd (файлы CorelDraw), .psd (файлы AdobePhotoshop) и т.д.
Временные файлы - создаваемые программным обеспечением автоматически с целью выполнения какой-либо задачи в конкретный момент времени (например, при компиляции программы из исходного кода создается большое количество файлов, необходимых только для построения целевого бинарного файла).
Понятие файла тесно связано с такими понятиями, как файловая система и кодировка. Файловая система представляет собой порядок размещения, хранения и именования файлов на носителе информации. Первоначально применялась одноуровневая схема хранения файлов, когда все файлы размещены в одном каталоге, однако в настоящее время она практически не используется (за исключением устройств, не обладающих большими вычислительными мощностями).
63
В современных устройствах применяется иерархическая файловая система, которая подразумевает каталогизированное хранение файлов. Наибольшее распространение получили файловые системы операционных систем Unix/Linux и Windows. В Windows реализованы два вида файловых систем: FAT (FAT16 и FAT32) и NTFS. В Unix/Linux реализовано значительно большее количество их видов: Ext2, Ext3, Ext4, JFS, ReiserFS, XFS, Btrfs, ZFS. Каждая из систем обладает своими особенностями. После определенных настроек носители информации с файловыми системами Linux могут быть прочитаны в операционных системах Windows, и наоборот.
Отдельно следует отметить файловые системы, разработанные для операционных систем macOS. К ним относятся AppleFileSystem (APFS) - для macOS 10.13 и выше, MacOSExtended - для более ранних версий macOS. Запуск этих файловых систем на операционных системах, не принадлежащих к семейству Mac, без специального программного обеспечения невозможен, что в определенной мере затрудняет их исследование. Вместе с тем устройства Mac могут поддерживать совместимые с Windows файловые системы, а именно FAT и ExFAT. Однако операционная система и корневой каталог могут быть установлены только на носители информации с соответствующими файловыми системами.
Все файлы, которые находятся на носителе информации, воспринимаются операционными системами в бинарном формате. Это значит, что любое графическое изображение, звук, текст и т.д. могут быть представлены в виде нулей и единиц. Например, слово «текст» в бинарном виде будет иметь следующий вид: 11010001 10000010 11010000 10110101 11010000 10111010 11010001 10000001 11010001 10000010. Каждая буква представлена в виде двух восьмизначных чисел, каждое из которых равно 8 битам информации. Чтобы превратить эти цифры в информацию, воспринимаемую человеком, используются специальные кодовые таблицы (кодировки).
В предложенном авторами определении не случайно отмечено, что файлы хранятся именно в долговременной памяти. Это обусловлено тем, что в оперативной (временной) памяти устройств хранятся не сами файлы, а их промежуточные варианты. Без выполнения
сохранения итоговой версии файла все осуществленные с ним операции будут утрачены при отключении электропитания устройства. В то же время стоит отметить, что существуют файлы, которые сохраняются в долговременной памяти устройства, не требуя от пользователя дополнительных действий (в частности временные файлы, которые автоматически создаются программным обеспечением для сохранения промежуточных результатов деятельности). Такие файлы по прошествии определенного времени удаляются создавшей их программой.
Каждый файл обладает определенным набором характеристик, благодаря которым он обрабатывается операционной системой. К таким параметрам относятся имя, размер, дата создания, изменения файла, атрибуты файла и т.д. Все указанные характеристики являются метаданными. ГОСТ Р 52438-2005 «Географические информационные системы» в контексте своей спецификации содержит определение пространственных метаданных. Согласно п. 56 ГОСТа «(пространственные) метаданные -это данные о пространственных данных» [4]. В свою очередь, ГОСТ Р ИСО 15489-1-2007 в ст. 3.10 определяет метаданные как «данные, описывающие контекст, содержание, структуру документов и управление ими» [5]. ГОСТ Р ИСО/МЭК 20546-2019 описывает метаданные как «данные о данных или элементах данных, которые могут включать в себя их описания, а также данные о владении данными, путях и правах доступа и об изменчивости данных». Отмечается, что метаданные зачастую используются как средство интеграции при исследовании и анализе массивов данных различных форматов, логических моделей и семантики. В словаре компьютерных терминов метаданные трактуются как «данные, содержащие дополнительные сведения о файле и не являющиеся частью основного потока файла» [6]. Таким образом, метаданные в широком понимании - это данные о данных, опираясь на которые файловая система осуществляет распределение файлов по носителю информации. Кроме того, при подключении к сети Интернет с компьютера пользователя направляется целый поток метаданных, которые создают его своеобразную цифровую личность. Используемый браузер при взаимодействии с Интернетом осуществляет сбор информации об устройстве пользователя, о его настройках
64
и передает их на посещаемый сайт. Это необходимо, например, при передаче сведений об установленной раскладке языка, когда сайт определяет язык, на котором вернется запрошенная информация. При передаче данных об установленных плагинах сайт узнает о необходимости отключения рекламы в возвращаемой html странице (например, плагин AdGuard для Opera). При сборе сведений об IP-адресе пользователя сайт понимает, какую региональную информацию следует показать пользователю в первую очередь (например, контекстная реклама). Это связано с тем, что IP-адрес, под которым пользователь регистрируется в сети Интерент, содержит сведения об используемом устройстве. В качестве примера приведены сведения, полученные при анализе IP-адреса 185.52.29.201: IP - 185.52.29.201; город - Krasnodar; регион - Krasnodarskiy; страна - RU;
координаты - 45.0448,38.9760; хостовое наименование-рррое-185-52-29-201. clients.kubtel.ru;
почтовый индекс - 350000; наименование организации - AS48479 KUBAN-TELECOM Ltd;
операционная система - MicrosoftWindows 10.0; провайдер - Кубтел; браузер - Opera 89.0.4447.64. Таким образом, пользователь с исследуемым IP находится в Западном округе г. Краснодара, использует операционную систему Windows 10, браузер Opera 89.0.4447.64, обслуживается провайдером. Кроме того, было установлено, что смартфон, посредством ко-
торого осуществлялся выход в сеть Интернет через Wi-Fi, был зарегистрирован под этим же IP-адресом. Следует отметить, что при направлении соответствующего запроса провайдеру, которому принадлежит данный IP, возможно установление более точных координат.
Кроме метаданных, отправляемых в Интернет, интерес представляют и метаданные, характеризующие файлы. У каждой категории файлов имеются метаданные, присущие только ей, в которых могут содержаться сведения, необходимые для установления личности или поимки преступника. Например, для графических форматов - это ширина и высота в пиксельном счислении, количество цветов, число точек на дюйм, геолокация, информация о камере, выдержка, использование вспышки и т.д. Помимо этого, у всех видов файлов могут быть общие поля, такие как название, автор, правообладатель, аннотация, время создания и размер в байтах.
Наглядным примером важности исследования файлов и их метаданных может служить факт задержания основателя компании McAfee -Джона Макафи, подозреваемого в совершении убийства. Журналисты молодежного журнала «Vice» взяли интервью у находящегося в бегах Макафи, которое опубликовали на своем официальном сайте вместе с фотографией. Однако не был учтен тот факт, что в фотографию, выполненную на Iphone, в автоматическом режиме были встроены метаданные с координатами места съемки. А таком виде она и была опубликована. Последующая обработка EXIF файла и его анализ позволили установить местонахождение Джона Макафи и задержать его.
1. Толковый словарь Ожегова [Электронный ресурс]. URL: https://slovarozhegova.ru/ word.php?wordid =33646 (дата обращения: 20.09.2022).
2. Толковый словарь Ефремовой [Электронный ресурс]. URL: https://www.efremova. info/word/fajl.html#.YvuDBzRByUk (дата обращения: 20.09.2022).
3. Толковый словарь Кузнецова [Электронный ресурс]. URL: https://slovariki.org/ search?did=tolkovyj-slovar-kuznecova&word=-файл (дата обращения: 20.09.2022).
4. ГОСТ Р 52438-2005 «Географические информационные системы» [Электронный
1. Explanatory dictionary of Ozhegov [Web resource]. URL: https://slovarozhegova.ru/ word.php?wordid =33646 (date of access: 20.09.2022).
2. Explanatory Dictionary of Efremova [Web resource]. URL: https://www.efremova.info/ word/fajl.html#.YvuDBzRByUk (date of access: 20.09.2022).
3. Explanatory Dictionary of Kuznetsov [Web resource]. URL: https://slovariki.org/ search?did=tolkovyj-slovar-kuznecova&word=file (date of access: 20.09.2022).
4. GOST R 52438-2005 "Geographic information systems" [Web resource]. URL: http://
65
ресурс]. URL: http://www.gistechnik.ru/gost/ GOST_R_52438-2005.pdf (дата обращения: 20.09.2022).
5. ГОСТ Р ИСО 15489 1 2007 «Система стандартов по информации, библиотечному и издательскому делу» [Электронный ресурс]. URL: https://docs.cntd.ru/document/1200049980 (дата обращения: 20.09.2022).
6. Словарь компьютерных терминов [Электронный ресурс]. URL: https://gufo.me/ dict/computer_terms/метаданные (дата обращения: 20.09.2022).
www.gistechnik.ru/gost/GOST_R_52438-2005. pdf (date of access: 20.09.2022).
5. GOST R ISO 15489 1 2007 "System of standards for information, librarianship and publishing" [Web resource]. URL: https://docs. cntd.ru/document/1200049980 (date of access: 20.09.2022).
6. Dictionary of computer terms [Web resource]. URL: https://gufo.me/dict/computer_terms/metadata (date of access: 20.09.2022).
СВЕДЕНИЯ ОБ АВТОРАХ
Арутюнов Александр Самсонович, кандидат юридических наук, доцент, начальник кафедры судебно-экспертной деятельности Краснодарского университета МВД России; тел.:+78612583831;
Фаниев Павел Андреевич, эксперт организационно-методического отдела экспертно-криминалистического центра ГУ МВД России по Краснодарскому краю; тел.: +78612135457.
INFORMATION ABOUT AUTHORS
A.S. Arutyunov, Candidate of Sciences in Jurisprudence, Associate Professor, Chief of the Department of Forensic Expert Activity of the Krasnodar University of the Ministry of the Interior of Russia; ph.: +78612583831;
P.A. Faniev, Expert of the Organizational and Methodological Department of the Forensic Center of the Main Directorate of the Ministry of Internal Affairs of Russia for the Krasnodar Territory; ph.: +78612135457.
66
