📌 Введение: процессуальное значение аппаратно-компьютерной экспертизы в современном судопроизводстве

В эпоху цифровизации значительная часть юридически значимых действий совершается с использованием компьютерных средств. Бухгалтерские документы, договоры, переписка, финансовые транзакции, результаты интеллектуальной деятельности — все это существует в электронном виде. Соответственно, споры о подлинности этих данных, о факте их изменения или о несанкционированном доступе к ним становятся одними из самых распространенных в судебной практике. Аппаратно-компьютерная экспертиза в таких случаях является не просто полезным инструментом, а часто — единственным способом установить объективную истину.

Настоящая консультация подготовлена на основе многолетней практики проведения компьютерных экспертиз для целей судебных разбирательств, трудовых споров и уголовных расследований. Мы подробно разберем, почему заключение аппаратно-компьютерной экспертизы имеет высокую доказательственную силу, как оно используется для оспаривания изменения данных и доказательства взлома, а также какие процессуальные требования необходимо соблюсти для его принятия судом.

⚖️ Глава 1. Процессуальный статус заключения компьютерной экспертизы: почему это — доказательство

1.1. Правовое основание

Заключение экспертизы компьютерных средств и систем (аппаратно-компьютерной экспертизы) является самостоятельным видом доказательств, предусмотренным процессуальным законодательством Российской Федерации:

• В гражданском процессе (ГПК РФ, ст. 55) — заключение эксперта наравне с объяснениями сторон, письменными и вещественными доказательствами.
• В арбитражном процессе (АПК РФ, ст. 64) — заключение эксперта относится к доказательствам, полученным с соблюдением требований закона.
• В уголовном процессе (УПК РФ, ст. 74) — заключение и показания эксперта являются самостоятельными источниками доказательств.

Юридическая сила заключения обусловлена тем, что оно формируется лицом, обладающим специальными знаниями в области компьютерных и цифровых технологий, по строго регламентированной процедуре, с применением научно обоснованных методик и сертифицированного программно-аппаратного обеспечения. Эксперт предупреждается об уголовной ответственности за дачу заведомо ложного заключения (ст. 307 УК РФ), что дополнительно гарантирует его объективность.

1.2. Чем отличается аппаратно-компьютерная экспертиза от иных видов компьютерных экспертиз

🔹 Аппаратно-компьютерная экспертиза (в системе судебных экспертиз — «компьютерно-техническая экспертиза») исследует:

• аппаратную составляющую (процессоры, материнские платы, накопители, их исправность и состояние);
• низкоуровневое программное обеспечение (BIOS/UEFI, прошивки, загрузчики);
• технические средства защиты информации;
• обстоятельства изменения данных на физическом уровне.

🔹 В отличие от нее, программно-компьютерная экспертиза фокусируется на прикладном ПО, базах данных, а сетевая экспертиза — на сетевых взаимодействиях.

В контексте оспаривания изменения данных и доказательства взлома именно аппаратно-компьютерная экспертиза является наиболее востребованной, так как она позволяет заглянуть на уровень, недоступный обычному пользователю и даже многим системным администраторам.

🔬 Глава 2. Как экспертиза доказывает факт изменения данных на устройстве

2.1. Анализ метаданных файлов (MAC times — Modified, Accessed, Created)

Каждый файл в файловой системе современных операционных систем (NTFS, FAT32, exFAT, ext4) имеет три временные метки:

• Created (рождение): когда файл был создан.
• Modified (изменение): когда содержимое файла было в последний раз изменено.
• Accessed (доступ): когда файл был открыт для чтения.

Эксперт может определить, были ли изменены эти метаданные задним числом (timestamp forgery). Например, если файл договора был подписан 01.01.2025, но его метаданные показывают дату создания 15.12.2025, а дату модификации — 10.02.2025 — это серьезное противоречие. Кроме того, эксперт анализирует согласованность временных меток между разными файлами и системными журналами.

2.2. Анализ журналов файловой системы (UsnJrnl,UsnJrnl,LogFile)

В NTFS (файловой системе Windows) существуют скрытые системные журналы, которые фиксируют все изменения файлов на диске, включая:

• создание, переименование, удаление, изменение атрибутов, изменение содержимого;
• время каждого изменения;
• имя файла и его путь.

Даже если пользователь удалил файл, в $UsnJrnl может сохраниться запись о его существовании и о том, кто (какой пользователь/процесс) его изменял. Эксперт извлекает и анализирует эти записи с помощью специализированного ПО (например, MFTECmd, UsnJrnl2CSV).

2.3. Анализ теневых копий (Volume Shadow Copy)

Windows автоматически создает теневые копии (снапшоты) файлов перед их изменением (например, при установке обновлений, работе системного восстановления). Эксперт может извлечь предыдущие версии файлов из теневых копий и сравнить их с текущими, установив, какие изменения и когда были внесены.

2.4. Анализ артефактов прикладного ПО

Если файл был изменен в определенном приложении (Word, Excel, 1С, Photoshop), это приложение оставляет свои следы:

• Office (Word, Excel): в файлах есть внутренняя история изменений, имя автора, время последнего сохранения (можно извлечь через анализ XML-структуры docx/xlsx).
• Графические редакторы (Photoshop, GIMP): сохраняют слои, шаги истории, информацию о дате открытия.

2.5. Анализ RAM-дампов (оперативной памяти)

Если компьютер был включен в момент, когда произошло изменение (или вскоре после него), в оперативной памяти (RAM) могут сохраниться:

• активные процессы, открывшие файл;
• временные копии документа (аuto-recovery files);
• фрагменты файлов, еще не записанные на диск.

Эксперт создает дамп RAM и анализирует его с использованием инструментов типа Volatility Framework.

📂 Кейс № 1 (из практики: оспаривание факта фальсификации дат файлов с помощью анализа MFT и $UsnJrnl)

Ситуация: В арбитражном суде рассматривался спор о подлинности акта выполненных работ. Одна сторона утверждала, что акт был создан и подписан в декабре 2024 года. Другая сторона предоставила экспертное заключение, доказывающее, что файл документа был изменен после указанной даты, а его дата в свойствах была подделана.

Проведенная экспертиза:

• Эксперт проанализировал главную файловую таблицу (MFT — Master File Table) на жестком диске, где хранится информация о каждом файле (имя, размер, временные метки, расположение фрагментов).
• В MFT было установлено, что дата создания файла (Create Time) не соответствует более ранней дате в свойстве «Создан» (эксперт расшифровал внутренние форматы).
• Анализ $UsnJrnl (журнала изменений) показал, что файл был открыт на редактирование и сохранен с новым содержимым за 3 месяца до даты создания, указанной в метаданных. Это прямо указывало на то, что файл был скопирован с другого носителя и дата изменена стандартными утилитами (вроде SetMACE).
• В теневых копиях тома обнаружена предыдущая версия файла, где содержались иные суммы договора, отличные от текущих. Это доказывало, что текст был изменен уже после первичного подписания.

Решение суда: Суд принял экспертное заключение как неоспоримое доказательство фальсификации. Акт признан недостоверным. Требования истца отклонены. Расходы на экспертизу взысканы с проигравшей стороны (около 85 000 руб.).

⚠️ Глава 3. Как экспертиза доказывает факт взлома / несанкционированного доступа

3.1. Анализ журналов безопасности (Security Log) и системных журналов

Журнал безопасности Windows (Security.evtx) содержит события, которые прямо указывают на несанкционированный доступ:

• Event ID 4624 (успешный вход) — с необычного IP-адреса, в нерабочее время, с использованием типа входа 10 (RemoteInteractive — RDP);
• Event ID 4625 (неудачная попытка входа) — множественные неудачные попытки с одного IP-адреса указывают на атаку перебором паролей (brute force);
• Event ID 4672 (специальный вход) — вход с правами администратора;
• Event ID 4698, 4700-4702 (создание, изменение заданий планировщика) — часто используется злоумышленниками для закрепления в системе;
• Event ID 7045 (создание новой службы) — регистрация вредоносной службы.

Эксперт не просто перечисляет события, но и строит таймлайн атаки (timeline), сопоставляя их с другими артефактами.

3.2. Анализ подключений к компьютеру

• Журналы RDP (Remote Desktop Protocol): запись о подключении с определенного IP-адреса, имени пользователя и времени. Даже если злоумышленник использовал VPN, в журналах останется IP-адрес VPN-сервера.
• TeamViewer, Ammyy Admin, Radmin: если злоумышленник использовал легальные программы удаленного доступа, в системных журналах и журналах событий самих этих программ фиксируются ID сессий, IP-адреса, время подключения.
• Логи брандмауэра (Windows Firewall Logs): фиксируют входящие и исходящие соединения на определенные порты (порт RDP — 3389, порты TeamViewer — случайные, но также анализируются).

3.3. Обнаружение вредоносного ПО (экспертиза на наличие rootkit, бэкдоров, шпионского ПО)

• Антивирусные логи: если система была защищена, антивирус мог зафиксировать попытку внедрения вредоносного ПО.
• Анализ автозагрузки: злоумышленники часто прописывают вредоносные программы в автозагрузку (ветки реестра Run, RunOnce, папка Startup).
• Анализ необъяснимых процессов: эксперт проверяет список запущенных (и ранее запущенных) процессов на наличие подозрительных имен (например, svshost.exe вместо svchost.exe, csrsss.exe, неизвестные исполняемые файлы во временных папках).
• Анализ сетевых соединений: обнаружение соединений с известными командными центрами (C&C) злоумышленников (по IP-адресам, доменам), которые указывают на активность бэкдора.

3.4. Анализ следов использования специализированных хакерских инструментов

• Mimikatz (кража паролей из памяти): оставляет характерные записи в журналах, артефакты в памяти (паттерны в дампе RAM).
• PowerShell-скрипты: если злоумышленник использовал PowerShell без записи на диск (fileless malware), эксперт может обнаружить следы в журналах PowerShell (если включено логирование) или в дампе памяти.
• Nmap, Hydra (сканирование портов, подбор паролей): их запуск фиксируется в журналах приложений и Prefetch.

3.5. Анализ «заметания следов» (anti-forensics)

Если злоумышленник пытался уничтожить улики (очистил журналы, удалил временные файлы), это само по себе является доказательством. Эксперт выявляет:

• Событие 1102 (очистка журнала аудита) — явный признак.
• Использование утилит типа wevtutil cl (команда очистки логов) — сохраняется в командной строке (cmd.exe), запись в Prefetch.
• Наличие следов программ для «чистки» (CCleaner, BleachBit) — их установка и запуск фиксируются в UserAssist, Prefetch, списке установленного ПО.

📂 Кейс № 2 (из практики: доказательство взлома сервера через RDP, установление IP-адреса злоумышленника)

Ситуация: На корпоративный сервер компании было совершено нападение с использованием вредоносного ПО-шифровальщика. Файлы баз данных были зашифрованы, а злоумышленник потребовал выкуп в криптовалюте. Системный администратор переустановил ОС на сервере, но следственные органы обратились к нам для проведения аппаратно-компьютерной экспертизы оставшегося жесткого диска.

Проведенная экспертиза:

• Эксперт извлек сохранившиеся фрагменты системных журналов (файлы.evtx были частично перезаписаны новой ОС, но эксперту удалось восстановить их из нераспределенного пространства — unallocated space).
• В восстановленных журналах безопасности (Security Log) обнаружены события 4608 и 4624 (успешный вход с учетной записью администратора) за 2 дня до атаки с IP-адреса 185.130.5.253 (Германия, известный прокси-сервер).
• Анализ сетевых логов брандмауэра, предоставленных компанией-провайдером, подтвердил, что с указанного IP-адреса велись RDP-подключения к серверу в нерабочее время (02:00 — 04:00) на протяжении 5 ночей подряд.
• В дампе оперативной памяти (RAM), созданном до переустановки системы (по счастью, администратор не выключал сервер до прибытия эксперта), обнаружены следы выполнения PowerShell-скрипта, который скачал и запустил программу-шифровальщик. В скрипте содержался адрес командно-контрольного сервера (C&C), с которого было загружено вредоносное ПО.

Выводы эксперта:

• Факт несанкционированного удаленного доступа установлен.
• Вход осуществлялся под учетной записью администратора, с использованием скомпрометированного пароля.
• В качестве канала доступа использовался протокол RDP (порт 3389).
• На сервере было запущено вредоносное ПО (шифровальщик), что подтверждается анализом памяти и журналов.

Итог: Экспертное заключение легло в основу уголовного дела. IP-адрес злоумышленника был передан в правоохранительные органы для дальнейшего расследования. Страховая компания признала случай страховым на основании доказательств взлома, что позволило компании получить возмещение ущерба.

📋 Глава 4. Процессуальные требования для того, чтобы заключение имело максимальную силу

4.1. Соблюдение цепочки хранения доказательств (Chain of Custody)

Суды крайне критично относятся к доказательствам, у которых не соблюдена процедура изъятия и хранения. Чтобы заключение аппаратно-компьютерной экспертизы не было признано недопустимым доказательством, необходимо:

🔹 Изъятие носителя с участием понятых (или нотариуса) с составлением протокола осмотра, где фиксируется состояние компьютера (включен/выключен, наличие открытых окон, индикаторов).
🔹 Упаковка в антистатический пакет с описью и подписями лиц, присутствовавших при изъятии.
🔹 Фотографирование (видеосъемка) упакованного устройства.
🔹 Отсутствие доступа к устройству до момента передачи эксперту. Любое неквалифицированное вмешательство (включение/выключение, попытка скопировать файлы, запуск антивируса) может быть признано нарушением, ставящим под сомнение всю экспертизу.

4.2. Правильная постановка вопросов эксперту

Вопросы должны быть конкретными, техническими и не выходить за пределы компетенции эксперта. Нельзя спрашивать «виновен ли ответчик» (это правовая оценка), но можно:

✅ Были ли внесены изменения в файл «договор.doc» в период с 01.01.2025 по 01.02.2025? Если да, то какие именно?
✅ Имеются ли на жестком диске следы несанкционированного удаленного доступа? Если да, то с какого IP-адреса и когда осуществлялись подключения?
✅ Были ли повреждены или удалены системные журналы (Event Logs) в указанный период?
✅ Содержит ли компьютер вредоносное программное обеспечение, способное осуществлять несанкционированный доступ или изменение данных?

4.3. Документы, которые необходимо предоставить эксперту (перечень)

• Судебное определение о назначении аппаратно-компьютерной экспертизы (или постановление следователя, или договор с частным лицом).
• Изъятое устройство (ноутбук, системный блок, жесткий диск) в упакованном виде.
• Протокол изъятия и осмотра (если есть).
• Известные пароли от учетных записей ОС, BIOS, шифрования диска (BitLocker, VeraCrypt).
• Копии (с хеш-суммами) облачных данных (если устройство синхронизировалось с облаком).
• Временные рамки инцидента (дата и время предполагаемого изменения или взлома).
• Справка о том, какие сетевые ресурсы (IP-адреса, серверы) были доступны с данного компьютера.
• Любые другие материалы дела, которые могут содержать сведения о цифровых доказательствах (скриншоты, переписка с показаниями свидетелей).

4.4. Категорически запрещено делать до экспертизы

❌ Включать выключенный компьютер.
❌ Выключать включенный компьютер (эксперт должен сначала извлечь дамп оперативной памяти).
❌ Самостоятельно копировать файлы через проводник Windows (изменяются временные метки).
❌ Запускать антивирусную проверку, дефрагментацию диска, чистильщики (CCleaner и пр.).
❌ Подключать к компьютеру флешки, внешние диски, телефоны, клавиатуры (если они не были подключены ранее).

💰 Глава 5. Стоимость и сроки проведения аппарно-компьютерной экспертизы для целей доказывания

Стоимость и сроки зависят от сложности случая, объема данных и необходимости применения лабораторных методов.

Факторы, влияющие на цену:

• Объем накопителя (1 ТБ обрабатывается дольше 256 ГБ).
• Состояние устройства (не включается, поврежден) — требуется ремонт или чип-офф.
• Необходимость выезда эксперта (если устройство нельзя перевозить).
• Срочность (коэффициент 1,5-2,5).

Заключение: надежный инструмент судебного доказывания

Аппаратно-компьютерная экспертиза является одним из наиболее эффективных и юридически значимых инструментов для оспаривания изменения данных и доказательства взлома. В отличие от «любительского» анализа, проведенного штатным IT-специалистом, экспертное заключение:

✅ Основано на научно обоснованных, верифицируемых методиках, с использованием сертифицированного ПО (EnCase, FTK, X-Ways Forensics, Belkasoft, Oxygen Forensic и др.).
✅ Позволяет исследовать не только логи (которые можно подделать), но и низкоуровневые структуры файловой системы (MFT, $UsnJrnl, теневые копии), куда злоумышленник не может добраться, не оставив следов.
✅ Фиксирует действия, которые невозможно скрыть даже при удалении файлов и очистке журналов (незаметно стереть данные с жесткого диска, не прибегая к физическому уничтожению, практически невозможно без использования специализированного ПО, которое также оставляет следы).
✅ Обладает процессуальной силой, так как эксперт предупрежден об уголовной ответственности, а ход исследования документируется, что позволяет перепроверить его выводы.

Важнейший практический вывод: если вы заподозрили, что файлы были изменены, а компьютер взломан, немедленно прекратите любые действия с устройством. Не выключайте его, не пробуйте «почистить» или скопировать файлы. Обратитесь к эксперту, который проведет корректное изъятие и создаст образ диска. Только так можно сохранить шанс на восстановление доказательств, которые затем будут приняты судом.

Для получения индивидуальной консультации по вашему конкретному случаю, а также предварительного расчета стоимости и сроков проведения аппарно-компьютерной экспертизы, обращайтесь на страницу: https://toveks.ru/. Наши специалисты имеют многолетний опыт работы со сложными цифровыми доказательствами, включая восстановление данных с физически поврежденных и зашифрованных носителей, и готовы участвовать в судебных заседаниях в качестве экспертов.