Добро пожаловать в мир низкоуровневой криминалистики мобильных устройств. Когда планшет становится вещественным доказательством по гражданскому, арбитражному или уголовному делу, обычными методами копирования файлов тут не обойтись. Судебная экспертиза планшета — это комплексное техническое исследование, включающее в себя аппаратное извлечение данных из встроенной флеш-памяти, анализ файловых систем (ext4, F2FS, APFS), восстановление удаленных записей из журналов приложений и формирование процессуально значимого заключения. В отличие от бытового восстановления данных, здесь каждый шаг фиксируется, используется оборудование с метрологической поверкой, а эксперт предупреждается об уголовной ответственности. В этой статье я разберу все технические этапы: от получения физического образа через JTAG до анализа временных меток и карапетинга по сигнатурам.

▶️ Аппаратный доступ: интерфейсы JTAG, ISP и прямая выпайка чипов

Первый и самый важный этап судебная экспертиза планшета — получение низкоуровневого доступа к накопителю. Если устройство включается и разблокируется, можно использовать программные методы через отладочный режим. Но в большинстве судебных случаев планшет либо заблокирован паролем, либо имеет поврежденный загрузчик, либо вообще не включается. Тогда применяются аппаратные методы:

• Интерфейс JTAG (Joint Test Action Group). На системной плате планшета находятся контактные площадки (TDI, TDO, TMS, TCK, TRST). Подключив к ним программатор (например, RIFF Box или Medusa Pro), мы получаем прямой доступ к отладочному порту процессора. Через JTAG можно остановить загрузчик, считать дамп оперативной памяти и получить доступ к встроенному накопителю в обход блокировок.
• Интерфейс ISP (In—System Programming). Для чипов eMMC и UFS используются выводы команд (CMD), тактовой частоты (CLK) и нулевого бита данных (DAT0). Подключившись к ним через адаптер, мы читаем содержимое чипа напрямую, даже если контроллер планшета мертв.
• Прямая выпайка чипа памяти. Если JTAG и ISP недоступны (например, после залития или механического разрушения платы), чип eMMC или UFS выпаивается на инфракрасной станции, очищается от шариков припоя и устанавливается в специализированный программатор (PC-3000 Flash, EasyJTAG). После этого судебная экспертиза планшета работает непосредственно с физическим образом.

Все эти манипуляции производятся в антистатической среде с использованием микроскопа. Результатом является файл-образ (расширение.bin,.img,.dd), с которым можно работать программно.

🟧 Логический анализ: файловые системы планшетов

После получения образа судебная экспертиза планшета переходит к анализу файловой системы. Для планшетов на операционной системе Андроид используется комбинация разделов:

• Раздел boot (загрузчик). Содержит ядро и образ восстановления. Анализируется на предмет модификаций (кастомные рекавери), которые могут свидетельствовать о вмешательстве.
• Раздел system (системный). Содержит предустановленные приложения и библиотеки. Анализируется на предмет наличия шпионского или удаляющего данные программного обеспечения.
• Раздел userdata (пользовательские данные). Самый важный раздел. Содержит файлы приложений, базы данных SQLite, кэш, историю браузера, сообщения мессенджеров, фотографии, документы. Файловая система — ext4 или F2FS.
• Раздел cache (кэш). Может содержать временные файлы, которые не были перезаписаны.
• Раздел misc (служебный). Хранит флаги загрузки и информацию о последних операциях.

Для планшетов на операционной системе iOS (iPadOS) структура иная: используется файловая система APFS с шифрованием по умолчанию. Судебная экспертиза планшета в этом случае требует извлечения ключей шифрования из доверенного платформенного модуля (SEP) или использования уязвимостей загрузчика (checkm8 для старых устройств).

Анализ файловых систем производится с помощью программных комплексов, которые умеют монтировать образы, распознавать суперблоки и журналы. Для ext4 проверяется суперблок по смещению 1024 байта, для F2FS — суперблок на смещении 0x400.

🟩 Работа с базами данных SQLite и журналами приложений

Практически все приложения на планшетах хранят свои данные в базах данных SQLite (файлы с расширением.db или.sqlite). Судебная экспертиза планшета включает детальный анализ этих баз. Основные объекты:

• Мессенджеры (Telegram, WhatsApp, Viber). Базы данных хранят историю сообщений, временные метки, идентификаторы отправителей и получателей, приложенные файлы. Даже если сообщения удалены из интерфейса, в базе данных они могут оставаться как помеченные флагом deleted. Восстановление возможно через анализ нераспределенного пространства внутри файла базы данных.
• Браузеры (Chrome, Edge, Firefox). Базы данных History и Downloads содержат полную историю посещений, время каждого визита, количество переходов. Даже если пользователь очистил историю, в файле журнала (journals) или в свободных страницах базы данных могут остаться следы.
• Браузеры на движке WebKit (Safari). Используют формат Property List (plist) для хранения истории и файлов cookie. Судебная экспертиза планшета включает декодирование plist-файлов.
• Приложения для заметок и офисные пакеты. Хранят содержимое документов в базах данных или в отдельных файлах в зашифрованном виде. Расшифровка возможна при наличии ключа из системного связки ключей (Keychain).

Для анализа SQLite используются утилиты, которые показывают не только активные записи, но и удаленные (флаг удаления в ячейках). Также анализируются журналы предзаписи (WAL) и теневые страницы.

❎ Восстановление удаленных файлов и карапетинг по сигнатурам

Даже если пользователь удалил файлы или отформатировал раздел, судебная экспертиза планшета может восстановить информацию. Методы:

• Поиск по сигнатурам (карапетинг). Сканируется весь образ в поисках заголовков известных форматов файлов. Сигнатуры: JPEG (FF D8 FF), PNG (89 50 4E 47), PDF (25 50 44 46), ZIP (50 4B 03 04), SQLite (53 51 4C 69 74 65), MP4 (00 00 00 18 66 74 79 70). Для каждого найденного блока данных программа определяет предполагаемый размер (по заголовку или по маркеру конца файла) и вырезает фрагмент.
• Анализ нераспределенного пространства (unallocated space). В файловых системах ext4 и F2FS после удаления файла его блоки помечаются как свободные, но данные сохраняются до перезаписи. Судебная экспертиза планшета сканирует все блоки, не входящие в активные файлы, и пытается собрать из них файлы по сигнатурам.
• Восстановление из журналов файловых систем. Журналы ext4 и F2FS хранят копии метаданных перед изменениями. Если файл был удален, в журнале может сохраниться его запись с указанием блоков.
• Восстановление из кэша приложений. Многие приложения кэшируют миниатюры изображений даже после удаления оригиналов. Эти миниатюры могут быть извлечены.

Эффективность восстановления зависит от времени, прошедшего с момента удаления, и интенсивности записи новых данных. Судебная экспертиза планшета включает расчет доли успешно восстановленной информации.

🟨 Анализ временных меток и установление хронологии событий

Каждый файл в планшете имеет несколько временных меток. В файловой системе ext4 это: время создания (crtime), время последнего доступа (atime), время последней модификации данных (mtime), время последнего изменения метаданных (ctime). В базе данных SQLite каждая запись также имеет временные метки. Судебная экспертиза планшета позволяет:

• Установить, когда был создан конкретный документ.
  • Установить, когда он был в последний раз открыт.
  • Установить, когда он был изменен и кем (если используется несколько учетных записей).
  • Выявить аномалии: например, если время создания файла позже времени последней модификации — это признак подделки или изменения системного времени.
• Сопоставить временные метки файлов с журналами событий операционной системы (логи logcat для Андроид) для восстановления полной картины действий пользователя.

Для анализа временных меток используются специализированные модули, которые конвертируют временные метки в понятный формат (с учетом часового пояса и смещений). Судебная экспертиза планшета может определить, производилось ли изменение системного времени (например, для создания ложных доказательств).

🧧 Работа с зашифрованными устройствами и ключами шифрования

Современные планшеты (начиная с Андроид 6.0 и всех iPad) шифруют пользовательские данные по умолчанию. Судебная экспертиза планшета в таких случаях требует извлечения ключей шифрования:

• Для Андроид. Ключ шифрования привязан к паролю блокировки экрана и хранится в доверенной среде выполнения (TEE). Если пароль известен или может быть подобран (слабый пароль), возможно программное расшифрование. Если нет — используется атака через уязвимости TEE или извлечение ключа из дампа оперативной памяти.
• Для iPadOS. Шифрование основано на аппаратном модуле SEP (Secure Enclave Processor). Без пароля расшифровать данные невозможно. Однако судебная экспертиза планшета может использовать уязвимость checkm8 для устройств на процессорах A5-A11 (iPad 2 — iPad 7), которая позволяет обойти SEP и получить доступ к данным.
• Для внешних карт памяти (MicroSD). Карты памяти могут быть зашифрованы как отдельно (с помощью сторонних приложений), так и как часть расширенного хранилища (Adoptable Storage в Андроид). В последнем случае ключ шифрования хранится на самом планшете, и без него карта памяти нечитаема.

В любом случае судебная экспертиза планшета сначала пытается извлечь ключи из работающего устройства (если оно предоставлено в разблокированном виде), а затем переходит к аппаратным методам.

⏺️ Формирование отчета и процессуальная фиксация

Каждый шаг судебная экспертиза планшета должен быть задокументирован так, чтобы его можно было воспроизвести. В отчет включаются:

• Сведения об оборудовании: модель программатора, версия прошивки, серийные номера стендов.
  • Сведения о программном обеспечении: названия утилит, их версии, контрольные суммы (хеши) использованных модулей.
  • Фотографии процесса: подключение к JTAG, установка чипа в программатор, скриншоты промежуточных результатов.
  • Хеши исходного образа (MD5, SHA-256) для подтверждения неизменности.
  • Список извлеченных файлов с их временными метками и путями.
  • Выводы по каждому поставленному вопросу.

Отчет предоставляется в суд на бумажном носителе и в электронном виде (на оптическом диске или флеш-накопителе). Эксперт, проводивший судебная экспертиза планшета, должен быть готов явиться в суд для дачи пояснений и ответов на вопросы сторон.

🟥 Стоимостные параметры и распределение издержек

Стоимость судебная экспертиза планшета определяется сложностью. Для досудебных исследований (по договору) тарифы: без разбора устройства — 5000 рублей, с разбором и аппаратным доступом — от 10000 до 15000 рублей. При судебном назначении стоимость выше (определяется сметой), но все издержки взыскиваются с проигравшей стороны в течение нескольких месяцев. Таким образом, добросовестная сторона фактически не несет финансовых потерь.

Если вам требуется профессиональная судебная экспертиза планшета с полным циклом работ (аппаратное извлечение, анализ файловых систем, восстановление удаленных данных), перейдите по ссылке

❎ Почему наш центр — оптимальный выбор

На рынке много компаний, но только наш центр располагает полным набором оборудования: программаторы JTAG и ISP, стенды для выпайки eMMC/UFS, чистая комната, лицензионное программное обеспечение для анализа SQLite и карапетинга. Судебная экспертиза планшета в нашем исполнении включает обязательную фиксацию каждого этапа, использование только поверенных средств и полную процессуальную чистоту. Если данные не извлекаются — диагностика бесплатна. Сроки: от 3 рабочих дней. Не рискуйте доказательствами — обращайтесь к настоящим профи.