Что мы анализировали
На исследование был представлен защищенный архивный файл «зашифрован.7z» с пользовательской информацией. Требовалось установить, можно ли получить доступ к его содержимому, какие файлы и каталоги находятся внутри, есть ли среди них криптографически защищенные объекты, а также содержатся ли в массиве данных файлы, имеющие значение для исследования.
Такие задачи часто возникают в судебных и следственных спорах, когда цифровые материалы представлены не в виде одного понятного документа, а как сложный набор архивов, образов носителей, служебных файлов, документов, программных компонентов и метаданных.
Что мы сделали
- Исследовали защищенный архивный файл «зашифрован.7z» и определили его формат, объем и свойства
- Сформировали хэш-представление объекта защиты для подбора пароля
- Выполнили подбор пароля с использованием Hashcat версии 7.1.2
- Проверили корректность найденного пароля путем открытия и извлечения содержимого архива
- Систематизировали файлы, извлеченные из архива, и зафиксировали их основные метаданные
- Проверили наличие криптографически защищенных файлов и объектов с ограниченным доступом
- Исследовали образы носителей информации с использованием Autopsy версии 4.12
- Провели поиск по ключевым словам в наименованиях, метаданных и содержимом документов
К какому результату пришли
- Установили пароль, позволяющий получить доступ к защищенному архиву «зашифрован.7z»
- Подтвердили корректность пароля практическим открытием архива и извлечением данных без ошибок
- Определили, что в извлеченном каталоге содержатся файлы разных типов: текстовые файлы, архивы, PDF и DOCX-документы, графические файлы, установочный пакет ПО, ISO-образ и образы носителей
- Выявили документ с криптографически защищенным содержимым
- Установили наличие образов носителей информации
- Исследовали содержимое образов и выявили пользовательские данные, включая документы и графические файлы
- Провели поиск по ключевым словам и определили документы, имеющие значение для исследования
Суть кейса
В распоряжении стороны находился защищенный архив «зашифрован.7z», предположительно содержащий сведения, имеющие значение для спора. Сам по себе факт наличия такого файла еще не давал ответа на ключевые вопросы: что находится внутри, есть ли там документы, образы носителей, программные компоненты, скрытые или защищенные файлы, а также можно ли использовать эти данные как источник цифровых доказательств.
Задача компьютерно-технической экспертизы состояла не просто в том, чтобы «открыть архив». Необходимо было процессуально корректно описать весь цифровой объект: его структуру, состав, метаданные файлов, признаки защиты, результаты поиска и пределы проведенного исследования.
Как восстанавливали доступ к архиву
На первом этапе был исследован защищенный архивный файл «зашифрован.7z». Для него сформировали хэш-представление, совместимое с Hashcat версии 7.1.2. После этого был выполнен подбор цифрового пароля.
Найденное значение было проверено штатным способом: архив открыли в программе-архиваторе, после чего его содержимое было извлечено без сообщений об ошибках. Такая проверка важна, потому что результат автоматического подбора сам по себе недостаточен: эксперт должен подтвердить, что найденный пароль действительно обеспечивает доступ к содержимому файла.
Что оказалось внутри
После извлечения данных был сформирован перечень файлов и зафиксированы их характеристики: наименование, расширение, логический размер, дата и время последнего изменения, а также контрольные суммы. Такой перечень позволяет не только описать состав архива, но и в дальнейшем проверить неизменность исследуемых объектов.
В составе извлеченных данных были установлены файлы разных типов: текстовые документы, архивы, PDF и DOCX-файлы, графические изображения, установочный пакет программного обеспечения, ISO-образ и образы носителей информации.
Отдельное значение имело выявление файла с криптографически защищенным содержимым. В отношении такого объекта эксперт фиксирует сам факт защиты, способ ограничения доступа и пределы исследования. Если пароль не предоставлен и доступ к содержимому не получен, содержание такого файла не описывается предположительно.
Исследование образов носителей
В составе архива также были выявлены образы носителей информации. Такие объекты требуют отдельного подхода: их нельзя рассматривать как обычные документы, поскольку они могут содержать файловую систему, пользовательские файлы, служебные области, удаленные данные и иные цифровые следы.
Образы были подключены и исследованы в режиме чтения с использованием Autopsy версии 4.12. Это позволило установить структуру файловой системы, выявить документы и графические файлы, а также зафиксировать отдельные метаданные, связанные с томом носителя и пользовательскими файлами.
Поиск по ключевым словам
Еще одной задачей было установить, содержатся ли среди представленных файлов сведения, имеющие значение для исследования. Для этого был проведен поиск по ключевым словам в массиве данных. Проверялись не только названия файлов, но и содержимое документов.
По итогам поиска были определены конкретные документы, содержание которых имело значение для дальнейшего анализа. Такой подход особенно полезен, когда в распоряжении эксперта находится большой массив разнородных файлов, а для дела имеют значение отдельные тематические фрагменты.
Почему это важно
Компьютерно-техническая экспертиза позволяет перейти от общего утверждения «есть архив с файлами» к проверяемому описанию цифровых объектов. Эксперт устанавливает, какие данные фактически представлены, какие из них доступны для исследования, какие защищены паролем, какие являются образами носителей, а также какие цифровые следы могут иметь значение для суда или следствия.
В таких исследованиях важен не только результат, но и порядок его получения: фиксация исходного состояния, работа с копиями, расчет контрольных сумм, использование специализированного программного обеспечения и документирование каждого этапа.
Результат
По итогам исследования была сформирована структурированная картина содержимого защищенного архива «зашифрован.7z»:
- получен доступ к основному защищенному архиву;
- описан состав извлеченных файлов и их основные метаданные;
- выявлен документ с криптографической защитой;
- установлено наличие образов носителей информации;
- исследованы пользовательские файлы внутри образов;
- проведен поиск по ключевым словам;
- зафиксированы ограничения исследования в отношении объектов, доступ к которым не был получен.
Такой результат позволяет использовать цифровые материалы не как разрозненный набор файлов, а как систематизированную доказательственную базу, понятную для юристов, следствия и суда.
