Экспертиза №2304

Системный блок персонального компьютера являлся основным объектом исследования в рамках данной судебной экспертизы. Его особенности включали состояние поставки в неупакованном и неопечатанном виде, что требовало особого внимания к сохранности данных при начале исследования. Обнаруженная на корпусе системного блока лицензионная наклейка операционной системы и лист с паролем стали важными элементами для доступа к хранимой информации.

• Системный блок персонального компьютера:

  • Заводской серийный номер: 285293-001
  • Лицензионная наклейка операционной системы Windows 7
  • Лист с записанным паролем (обнаружен на корпусе)

• Жесткий диск (НЖМД):

  • Производитель: Seagate
  • Модель: Barracuda 7200.12 (ST3320413AS)
  • Емкость: 320 GB
  • Серийный номер: 5VMTW5GR

Проведение данной судебной компьютерно-технической экспертизы было направлено на глубокий анализ системного блока персонального компьютера для установления наличия и версии почтового программного обеспечения, а также факта его настройки на конкретный электронный почтовый ящик. Особое внимание уделялось выявлению входящих и отправленных сообщений с определенного адреса на исследуемом почтовом ящике, их элементного состава и содержимого вложенных файлов. Эксперты также ставили целью проследить маршрут следования этих электронных сообщений, чтобы определить соответствие адресов отправителя/получателя данным, содержащимся в служебных заголовках, что является критичным для подтверждения их подлинности и происхождения в рамках судебного разбирательства. Сложность работы заключалась в необходимости работы с объектом, который не был надлежащим образом опечатан при передаче, что требовало применения безупречной методологии для сохранения целостности и допустимости электронных доказательств. Работа требовала применения специализированных программных и аппаратных средств для обеспечения полноты и достоверности исследования, а также исключения любого влияния на исходные данные в процессе анализа.

В процессе исследования эксперты столкнулись с ключевым нюансом – системный блок был доставлен без надлежащей упаковки и опечатывания, что могло поставить под сомнение целостность цифровых доказательств. Для преодоления этого обстоятельства и строгого соблюдения принципов цифровой криминалистики, был применен метод посекторного копирования исследуемого жесткого диска. Этот метод, выполненный с использованием профессионального оборудования AGESTAR 3UBT6, позволил создать точную битовую копию оригинального носителя информации без изменения исходных данных, обеспечивая неприкосновенность оригинала и возможность многократного исследования дубликата. Дальнейшие работы проводились исключительно на этой копии. Процесс включал процедуру аутентификации в операционной системе Microsoft Windows 7, что было осуществлено благодаря предоставленному паролю. Затем проводился детальный анализ установленного почтового клиента Microsoft Outlook 2010, включающий проверку его конфигурации для адреса 'info@tcgroupenergia.ru' и проведение поисковых запросов для идентификации сообщений от 'ktsh@mail.ru'. Особо значимым этапом стало исследование служебных заголовков электронных писем, которые предоставляют метаданные о маршруте сообщения, серверах-посредниках и временных метках, позволяя установить реальный путь и соответствие заявленных отправителей и получателей. Такой комплексный подход к сбору и анализу данных позволил обеспечить высокую степень достоверности полученных результатов.

1. Установлена ли на представленном на исследование ЭВМ почтовая программа, если да, то какая именно?

2. Настроен ли в установленной почтовой программе электронный почтовый ящик с адресом info@tcgroupenergia.ru?

3. Имеются ли в указанном электронном почтовом ящике входящие сообщения с адреса ktsh@mail.ru, отправленные сообщения на адрес ktsh@mail.ru? Каковы значения элементов указанных сообщений; каково содержание вложенных файлов (если имеются)?

4. Каков маршрут следования указанных сообщений (в том числе соответствуют ли адреса отправителя/получателя адресам, содержащимся в служебных заголовках)?