Экспертиза №39829

Объектами исследования выступали мобильное устройство Истца под управлением операционной системы Android, содержащее данные мессенджера WhatsApp, а также материалы гражданского дела. Особенностью исследования стало наличие закодированной базы данных сообщений, требующей применения специализированных методов для доступа и расшифровки данных.

Перечень исследованных объектов:

• Мобильное устройство: Модель HTC One М9, с программным обеспечением Android 6.0.
• Гражданское дело: Том материалов гражданского дела №2-2020/2017.

Основной целью судебной компьютерно-технической экспертизы являлось всестороннее исследование мобильного устройства Истца для установления наличия и функционирования мобильного приложения WhatsApp. Перед экспертами ставилась задача определить возможность извлечения и анализа переписки между участником процесса, используя обобщенное имя, за строго определенные временные периоды, а также провести сравнительный анализ полученных данных с имеющимся нотариальным протоколом осмотра письменных доказательств. Значительной сложностью стало корректное извлечение и последующее декодирование зашифрованной базы данных сообщений мессенджера, хранившейся на устройстве, что требовало применения специализированных инструментов и глубоких знаний структуры данных приложения. Дополнительным вызовом явились расхождения в часовых поясах, установленных на исследуемом устройстве и отображаемых в протоколах, что требовало особо тщательного подхода к синхронизации, интерпретации временных меток сообщений и приведению их к единому стандарту. Также экспертам предстояло выявить специфические технические детали, касающиеся механизмов аутентификации пользователей, обеспечения целостности данных переписки, а именно влияние замены SIM-карты или расхождения номера регистрации на ведение коммуникации. Отсутствие второго исследуемого объекта — мобильного устройства Ответчика — наложило существенные ограничения на возможность проведения комплексного анализа переписки с обеих сторон, оставив часть вопросов без возможности технического подтверждения или опровержения.

Для достижения поставленных целей эксперты применили комплекс методов цифровой криминалистики и компьютерно-технического анализа. Вначале мобильное устройство было переведено в режим разработчика с активированной отладкой по USB, что позволило получить расширенный доступ к его файловой системе. Затем была создана полная логическая резервная копия всего устройства, включая данные с внутренней памяти и карты памяти, используя специализированные команды Android Debug Bridge (ADB). Эта резервная копия была распакована с применением утилиты abe.jar и тщательно проанализирована на предмет наличия служебных файлов приложения WhatsApp и его закодированной базы данных. Особое внимание уделялось процедуре извлечения и декодирования закодированной базы данных сообщений, для чего использовалось специализированное программное обеспечение WhatsAppKeyDBExtract. Анализ проводился на точной посекторной копии образа накопителя с использованием операционной системы Linux Caine 6.0, что обеспечивало сохранение целостности исходных данных и их неизменность на протяжении всего исследования. Были детально исследованы лог-файлы на предмет технических параметров сообщений, таких как время отправки, получения и прочтения, а также их согласованности и наличия признаков потенциальной модификации. В ходе работы учитывались положения Федерального закона «О государственной судебно-экспертной деятельности в Российской Федерации», а также передовые практические основы компьютерно-технической экспертизы и форензики, изложенные в профильной литературе, что гарантировало научную обоснованность и достоверность проведенных исследований.

1. Установлено ли на исследуемом объекте (мобильное устройство HTC One М9, программное обеспечение Android 6.0.) мобильное приложение WhatsApp? Возможно ли установить дословное содержание переписки в мобильном приложении WhatsApp исследуемого объекта с контактом за 16.09.2016 (с 12.48 по 18.48.) и 27.10.2016 (с 15.00 по 15.09.)?
2. Идентична ли переписка, содержащаяся в мобильном приложении WhatsApp с контактом за 16.09.2016 (с 12.48 по 18.48.) и 27.10.2016 (с 15.00. по 15.09) переписке, указанной в протоколе осмотра письменного доказательства 25 АА 2072316, составленном нотариусом Владивостокского нотариального округа (содержание, дата и время отправки и получения сообщений, адресаты сообщений)?
3. Можно ли сделать определённый вывод об отправке, получении и прочтении абонентами данных сообщений за указанные даты и время?
4. Содержится ли в лог-файлах базы данных программы для ЭВМ «WhatsApp» (WhatsApp/Databases), установленной на мобильном устройстве Истца, техническая информация о том, что сообщения между Истцом и контактом 16.09.2016 года и 27.10.2016 года были действительно (реально) отправлены и получены каждым адресатом? Если содержится, то какова дата и время отправки и получения?
5. Содержат ли лог-файлы базы данных программы для ЭВМ «WhatsApp» (WhatsApp/Databases), установленной на мобильном устройстве Истца, информацию о IMEI мобильного устройства абонента, указанного в контактах Истца под именем «Контакт»? Если содержат, то что это за IMEI?
6. Содержат ли лог-файлы базы данных программы для ЭВМ «WhatsApp» (WhatsApp/Databases), установленной на мобильном устройстве Истца, информацию о действительном (реальном) использовании данной программы для переписки между Истцом и контактом 16.09.2016 года и 27.10.2016 года? Если содержит, то что это за информация?
7. Содержит ли память мобильного устройства Истца информацию о действительном (реальном) использовании программы для ЭВМ «WhatsApp» для переписки между Истцом и контактом 16.09.2016 года и 27.10.2016 года? Если содержит, то что это за информация?
8. Содержат ли лог-файлы базы данных программы для ЭВМ «WhatsApp» (WhatsApp/Databases), установленной на мобильном устройстве Истца, информацию об отсутствии изменений содержания переписки между Истцом и контактом за 16.09.2016 года и 27.10.2016 года? Если содержит, то что это за информация?
9. Содержит ли память мобильного устройства Истца информацию об отсутствии изменений содержания переписки между Истцом и контактом за 16.09.2016 года и 27.10.2016 года? Если содержит, то что это за информация?
10. Имеет ли программа для ЭВМ «WhatsApp», установленная на мобильном устройстве Истца, признаки внесения изменений? Если имеет, то что это за признаки?
11. Согласуются ли между собой лог-файлы, содержащиеся в базе данных программы для ЭВМ «WhatsApp» (WhatsApp/Databases), установленной на мобильном устройстве Истца, по дате и времени создания, объёму и иным техническим параметрам?
12. Имеют ли файлы, с ключами шифрования переписки программы для ЭВМ «WhatsApp», содержащиеся в мобильном устройстве Истца, информацию об отсутствии изменений в них? Если имеет, то что это за признаки?
13. Допускает ли программа для ЭВМ «WhatsApp», установленная на мобильном устройстве Истца, копирование с одного мобильного устройства на другое файлов, содержащих ключи шифрования? Если допускает, то каким образом?
14. Какое имя контакта будет указано в переписке программой для ЭВМ «WhatsApp», если в «записной книжке» мобильного устройства Истца под именем «Контакт» будет записано два отдельных контакта, с разными телефонными номерами: номер1 и номер2. при условии, что переписка будет вестись между Истцом и лицом с использованием номера2?
15. Допускает ли программа для ЭВМ «WhatsApp» установленная на мобильном устройстве Истца возможность ведения переписки, с заменённой СИМ-картой?
16. Допускает ли программа для ЭВМ «WhatsApp» установленная на мобильном устройстве Истца ведение переписки со сторонним лицом, при условии, что телефонный номер стороннего лица, указанный им при регистрации аккаунта в WhatsApp отличается от телефонного номера этого лица по СИМ-карте?
17. Содержится ли в лог-файлах базы данных программы для ЭВМ «WhatsApp» (WhatsApp/Databases), установленной на мобильном устройстве Ответчика, техническая информация о том, что сообщения между Ответчиком и Истцом 16.09.2016 года и 27.10.2016 года были действительно (реально) отправлены и получены каждым адресатом? Если содержится, то какова дата и время отправки и получения?
18. Содержат ли лог-файлы базы данных программы для ЭВМ «WhatsApp» (WhatsApp/Databases), установленной на мобильном устройстве Ответчика, информацию о действительном (реальном) использовании данной программы для переписки между Истцом и Ответчиком 16.09.2016 года и 27.10.2016 года? Если содержит, то что это за информация?
19. Содержит ли память мобильного устройства Ответчика информацию о действительном (реальном) использовании программы для ЭВМ «WhatsApp» для переписки между Истцом и Ответчиком 16.09.2016 года и 27.10.2016 года? Если содержит, то что это за информация?
20. Имеет ли программа для ЭВМ «WhatsApp», установленная на мобильном устройстве Ответчика, признаки внесения изменений? Если имеет, то что это за признаки?
21. Согласуются ли между собой лог-файлы, содержащиеся в базе данных программы для ЭВМ «WhatsApp» (WhatsApp/Databases), установленной на мобильном устройстве Ответчика, по дате и времени создания, объёму и иным техническим параметрам?
22. Имеют ли файлы, с ключами шифрования переписки программы для ЭВМ «WhatsApp», содержащиеся в мобильном устройстве Ответчика, информацию об изменениях в них? Если имеет, то что то за признаки?