В последние годы термин "цифровая криминалистика" стал более привычным для всех, в особенности, для тех, кто связан с расследованиями. Цифровые улики постоянно появляются в телевизионных шоу. Во множестве областей, требующих навыки в области цифровой криминалистики, имеется множество вакансий, от электронного обнаружения до реагирования на происшествия и кибербезопасности. Но что такое цифровая криминалистика? На этот вопрос сложно ответить!

Не существует единого, принимаемого всеми, определения цифровой криминалистики. В этом разделе представлен ряд определений и указаны их общие элементы. В конечном итоге данный процесс завершится тем определением, которое и применяется в данной книге.

… раздел судебной экспертизы, занимающийся выявлением, получением, обработкой, анализом и составлением отчётов для хранящихся в электронном виде данным.

Интерпол (без даты)

Давайте определим цифровую криминалистику как:

… науку об идентификации, сборе, сохранении, документировании, исследовании, анализе и представлении доказательств с компьютеров, из сетевых устройств и прочих электронных приборов.

Лэнг и пр. (2014)

Технопедия определяет цифровую криминалистику как:

… процесс раскрытия и интерпретации электронных данных. Основной целью данного процесса является сохранение любых доказательств при выполнении структурированного расследования в их наиболее изначальной форме путём сбора, идентификации и проверки цифровой информации с целью реконструкции событий прошлого.

Технопедия (без даты)

Эти и многие иные определения, которые можно обнаружить, обладают некоторыми общие чертами. Например, все они упоминают электронные устройства/ данные. Все доказательства в цифровой криминалистике вырабатываются из электронных следов. Эти следы могут быть найдены на носителях информации, в сетевом обмене, в сетевой среде и т. д. Следовательно, цифровая криминалистика — это выполняемый на основе хранящейся/передаваемой в электронном виде сведений криминалистический анализ. Кроме того, и Лэнг и пр. (2014), а также Интерпол ссылаются на науку. Цифровая криминалистика — это раздел криминалистики и, как таковой, она обязана основываться на научных принципах.

Все приводимые выше определения пытаются постулировать сам преследуемый процесс. Многие определения пользуются похожими словами для описания этих процессов. Например, такие слова как выявление, сбор (или получение), сохранение, представление (или выдача отчётов), либо анализ (или интерпретация), все они применяются в большинстве определений.

Поэтому, для целей данной книги будет принято такое определение.

Цифровая криминалистика - это применение научных методов к выявлению, сохранению, сбору и представлению полученных с электронных носителей данных.

Криминалистика файловой системы это конкретная область цифровой криминалистики, в которой запрашиваемый электронный носитель на самом деле является устройством хранения (например, диском). Файловые системы являются структурами, организующими информацию на диске. Собственно файловая система, это структуры, которые делают возможным выполнять выборку сведений позднее. При сохранении некого файла записывается не только его содержимое, но и сведения об этом содержимом (метаданные). Эти метаданные предоставляют многие необходимые сведения о своём файле, такие как временные отметки и размер файла, а к тому же предоставляют информацию о расположении его содержимого на диске.

Технопедия определяет файловую систему следующим образом:

… процесс, управляющий тем, как и где данные на диске хранения записываются, управляются и предоставляют доступ, как правило, на жёстком диске (hdd). Именно компонента логического диска является тем, что управляет внутренними дисковыми операциями в соотнесении с вычислительной системой и она абстрагирует пользователя.

Технопедия (без даты)

Таким образом, криминалистика файловой системы подразумевает применение научного метода для выявления, сохранения, сбора, анализа и представления извлекаемых из некой файловой системы доказательств. Для обладания способностью выполнения этих задач, аналитик (будь то человек или программное обеспечение) обязаны полностью разбираться в тех структурах, которые лежат в основе рассматриваемой файловой системы. Различные файловые системы приводят к совершенно разным структурам, а, следовательно, к разным методам анализа.

К примеру, сравним две часто встречающиеся файловые системы: FAT (File Allocation Table) и APFS (новая Apple File System). FAT это древняя, по сравнению с такими современными файловыми системами, как, скажем, APFS, файловая система и она очень проста. Как правило, древние файловые системы позволяют хранить/ извлекать из них информацию и очень мало чего ещё. FAT содержит три структуры, которые представляют интерес для криминалистики (загрузочную запись тома, таблицу размещения файлов и записи каталогов), что подразумевает, что для действенного анализа такой файловой системы требуется лишь небольшой объём знаний. Теперь сопоставим это с APFS. APFS это современная файловая система. Она обеспечивает гораздо больше функциональных возможностей нежели столь древняя файловая система как FAT. Сюда входят шифрование, моментальные снимки, сжатие и прочее. По своей сути её базовые структуры более сложны, что означает, что такую файловую систему намного сложнее расследовать.

Ассоциация начальников полиции Великобритании (ACPO, United Kingdom’s Association of Chief Police Officers - Эта организация была распущена в 2015 году и заменена Национальным советом начальников полиции, NPCC, National Police Chief’s Council) разработала Руководство по надлежащей практике в области цифровых доказательств. Версия 5 (выпущена в 2012 году) является последней версией этого документа. Этот документ содержит набор из четырёх принципов для эффективной обработки цифровых доказательств.

Эти принципы ACPO, как их зачастую называют, основаны на правовой системе Великобритании и правилах доказывания в этой системе. Однако эти принципы почти универсальны и были приняты во многих странах в последние годы. Вот эти принципы:

Эти принципы изначально были разработаны на самой заре проведения цифровых доказательств. На том этапе большинство цифровых доказательств находились на устройствах хранения данных компьютеров. Стандартный метод заключался в выключении устройства, создании образа и анализе этого образа. По мере развития на протяжении многих лет отрасли цифровой криминалистики этот стандартный метод действий также развивался. Теперь уже не всегда рекомендуется выключать компьютер. Вместо этого порой рекомендуется анализировать работающие машины. Не вся сведения теперь хранятся локально, некоторые будут располагаться удалённо, даже само место преступления может быть удалённым. Однако, хотя некоторые утверждают, что эти принципы необходимо обновить, они по-прежнему пригодны для применения.

Общая цель данных принципов — гарантировать, что все полученные в ходе уголовного расследования цифровые доказательства, обрабатываются таким образом, чтобы их можно было применять в суде. Поэтому первый принцип гласит, что в исходные данные не следует вносить никаких изменений. Второй принцип обеспечивает, что только обученный персонал когда-либо получит доступ к исходным данным, а третий принцип даёт гарантию того, что другие смогут воссоздать и подтвердить анализ доказательственного материала. Для традиционной компьютерной криминалистики этих трёх принципов достаточно.

Теперь рассмотрим ситуацию наших дней. Первые спасатели прибывают в дом подозреваемого киберпреступника. Чтобы войти в помещение и изымать все обнаруженные электронные доказательства они пользуются ордером. Войдя в помещение, они обнаруживают работающий компьютер. Традиционным советом было «"выдернуть вилку из розетки", однако в случае с современными компьютерами это может привести к утрате доказательств. Большинство современных операционных систем допускают варианты хранения в шифрованном виде. Если питание отключено, данные на устройстве станут недоступны из-за их шифрования. Кроме того, многие пользователи применяют для файлов, электронных писем, профилей и т.п. удалённые ресурсы хранения. Когда питание отключено, соединения к этими площадками (и потенциальный доступ к данным, которые они содержат) будут утрачены. Поэтому чтобы определить, есть ли что-либо, имеющее ценность для доказательств, проводится экспертиза данных в реальном времени (LDF - live data forensics), в ходе которой анализируется работающий компьютер.

Возвращаясь к первому принципу ACPO, который гласит: "никакие предпринимаемые правоохранительными органами действия … не должны изменять данные, которые впоследствии могут быть использованы в суде". LDF немедленно нарушает этот принцип. Всякое выполняемое на работающей вычислительной системе действие оставит в оперативной памяти и на диске следы. Даже простое действие перемещения мыши будет обладать последствиями, поскольку внесёт изменения в определённые части своей вычислительной системы. Это привело к тому, что ряд исследователей предположило, что надлежит переписать обсуждаемые принципы ACPO. Тем не менее, они всё ещё пригодны для применения, поскольку, хотя LDF и нарушает первый принцип, в сочетании с принципом 2 (компетенция) и 3 (аудиторский след), собираемые в процессе LDF изменённые данные всё ещё могут применяться в судебной практике.

С самых первых дней цифровой криминалистики уже давно было признано, что для получения результатов не существует стандартной методологии. Поскольку в идеальном мире цифровая криминалистика "основана на научных принципах", требуется единственная согласованная методология.

Таблица 1.1 суммирует все фазы в череде конкурирующих методологий цифровой криминалистики. К ним относятся расширенная модель расследования киберпреступлений О'Киардуина, модель семинара по исследованию цифровой криминалистики, модель Рейта Карра и Ганша, а также модель скандинавских компьютерных криминалистов (именно она, NCFI, Nordic Computer Forensic Investigators, применяется в институте автора). Таблица 1.1 представляет каждую из этих методологий, сгруппированных для демонстрации схожих этапов.

Сочетание всех отображённых в Таблице 1.1 методологий ведёт к той методологии, которая будет применяться на протяжении всей этой книги. Они состоят из восьми этапов: Подготовки; Локализации / Сохранения; Получения; Обработки; Анализа; Отчёта; Гарантии качества и Возврата доказательств. Последующие разделы описывают все эти этапы предлагаемой методологии.

Таблица 1.1. Соперничающие методологии цифровой криминалистики. Группировка по аналогичным этапам.

DFRWS	Reith, Carr, Gunsch	O’Ciarduin	NCFI
	Идентификация Подготовка Авторизация	Осознание Авторизация Планирование Уведомление	Инициация Разработка стратегии
Идентификация Сохранение	Сохранение	Поиск	Локализация Сохранение
Сбор	Сбор	Сбор Транспортировка Хранение	Получение
Ревизия	Ревизия	Ревизия	Обработка
Анализ	Анализ	Составление гипотез Представление гипотез Доказательство гипотез	Анализ
Представление	Представление	Распространение	Составление отчёта
	Возврат фактов

Подготовительный этап состоит из ряда задач, которые надлежит выполнять для успешного проведения цифровой криминалистики. Расширенная модель расследования киберпреступлений О'Киардуина подразделяет данную фазу на четыре этапа. Общие задачи фазы подготовки включают:

Основной целью данной фазы является обнаружение источников потенциальных цифровых доказательств и сохранение их таким образом, дабы они не подвергались изменением (или же подвергались как можно меньшим изменениям), чтобы на них можно было бы ссылаться в суде.

Традиционно данная фаза происходила на физическом месте преступления, например, при обыске дома. Первая же группа реагирования пытается обнаружить все источники цифровых доказательств на месте преступления. Они могут включать традиционные устройства, такие как компьютеры, планшеты, смартфоны и USB-накопители. Также они включает менее распространённые вещи, такие как интеллектуальные приборы, сетевые технологии, транспортные средства и дроны. В современном цифровом расследовании фокус смещается с физического на виртуальное. Поэтому локализация также связана с поиском соответствующих интернет-источников (сбор данных с открытым исходным кодом – OSINT open-source intelligence), файлов журналов и внешних источников цифровых доказательств, таких как журналы видеонаблюдения (CCTV) и доступа.

Как только источники потенциальных доказательств выявлены, следующим этапом данной фазы является их сохранность. Традиционно он включал в себя отключение питания с последующей упаковкой и маркировкой физического устройства. С появлением LDF (экспертизы данных в реальном времени) данный этап порой включает в себя сохранения компьютера в рабочем состоянии с предотвращением его блокировки или же, если он работает от батареи, её отключения. В современную сетевую эпоху ещё одним важным шагом на данном этапе является предотвращение доступа к данному устройству, так как некая персона имеет возможность удалить с этого устройства данные. В интернет среде обеспечение сохранности зачастую более сложное. Как правило, потенциальные доказательства не будут присутствовать на месте преступления, в действительности они могут пребывать в некой иной юрисдикции, нежели юрисдикция следователя. Сохранение таких элементов интернета может быть достигнуто по решению суда. Сохранение таких внешних записей, как записи вызовов (CDR, call data records), также могут быть получены по решению суда.

Получение это тот процесс, в ходе которого создаётся криминалистически обоснованная копия потенциального доказательства. По завершению данного этапа не должно возникать потребности возврата к первоначальному источнику. Все последующие этапы обязаны осуществляться на соответствующей копии. В ситуации с электронными носителями информации данный этап включает создание некого образа, побитовой копии устройства хранения. Это подразумевает, что будут скопированы не только присутствующие в данном устройстве файлы, но также и удалённые файлы, неиспользуемое пространство, не распределённое пространство и т.п. Эти понятия будут объяснены в Главе 4.

Для интернет- ресурсов данный этап включает получение копии веб- ресурса. Это можно осуществить посредством браузера (при помощи функции сохранения) или выполнив снимки экрана или видео соответствующей площадки. В ряде случаев такое получение может быть осуществлено администратором этой площадки, а полученные файлы доказательства можно передать следователю.

Обработка включает в себя подготовку полученного файла доказательств для анализа следователями. Это тот этап, на котором располагается судебно-медицинский анализ файловой системы. При использовании традиционного электронного устройства хранения обработка включает в себя извлечение всех активных и удалённых файлов из образа вместе с не распределённым пространством и резервным пространством устройства. Обработка включает в себя вырезание не распределённого пространства для восстановления файлов, которые больше не являются частью файловой системы (раздел 4.5.2). Данный этап также включает в себя обработку определённых восстановленных артефактов. Они могут включать в себя восстановление истории браузера, извлечение отдельных сообщений чата из базы данных, расширение архивных файлов и т. д. В интернет- среде обработка включает в себя извлечение соответствующих компонентов интернет- артефакта, таких как контакты, образы, адреса электронной почты и комментарии.

Полученные в результате обработки данные передаются аналитику для определения их значимости в расследовании, а также подтверждают ли полученные доказательства следственные гипотезы или же опровергают их.

Этап анализа цифровой криминалистики требует знания реального расследуемого дела. На данном этапе вырабатываются следственные гипотезы, а аналитик применяет полученные на этапе обработки доказательства чтобы доказать или опровергнуть эти гипотезы. Данный этап во многом зависит от рассматриваемого дела.

Распространение результатов является одним из важнейших этапов любого расследования. Этот этап охватывает множество типов отчётов. Наиболее знаковым является окончательный отчёт, который представляется в суд. Данный документ показывает все обнаруженные в ходе расследования доказательства, важность этих доказательств для расследуемых гипотез и методы, используемые для восстановления доказательств.

Однако эта фаза — это гораздо больше, чем просто окончательный отчёт. Многие цифровые криминалистические методологии описываются линейно, подразумевая, что один этап следует за другим. Это не совсем верно, как и в случае с отчётами. Во-первых, изредка можно найти только один окончательный отчёт. Обычно отчёты составляются в конце большинства этапов методологии. Например, отчёт будет составлен в отношении локализации/сохранения (отчёт об осмотре места преступления). Другой отчёт будет составлен о процессе получения, а следующий — об обработке. Все эти промежуточные отчёты будут применяться для создания окончательного отчёта.

Распространение результатов включает в себя больше, чем письменные отчёты. Существуют и прочие виды распространения информации, которые жизненно важны для правильного применения методологии цифровой криминалистики. Одним из примеров этого является использование одновременных заметок. Рекомендуется, чтобы все участники процесса цифровой криминалистики вели свои собственные личные заметки о деле и задачах, которые выполняются в ходе дела. Это может служить ещё одним вспомогательным средством для создания окончательного отчёта, но также может использоваться в качестве контрольного следа (ACPO 3), позволяя третьим лицам воссоздавать действия следователей.

Заключительная часть данного этапа - внутреннее представление результатов. Общий процесс цифровой криминалистики может содержать множество участников (специалистов быстрого реагирования, аналитиков, следователей и т.д.). В ходе данного процесса необходимо убедиться, что все стороны осведомлены о предпринятых прочими участниками действиях при обработке цифровых доказательств данного дела. Такой тип отчётности зачастую достигается посредством брифингов на протяжении всего расследования.

В некоторых ситуациях окончательной задачей является представление доказательств в суде. Обычно такое представление будет основываться на заключительном отчёте и будет отправлено обвинением, в то время как защита будет подвергать его перекрёстному допросу.

Многие комментаторы говорят, что весь процесс цифровой криминалистики подвержен ошибкам, а потому на всём его протяжении должно быть обеспечено качество. В каждом конкретном случае этого можно достигать при помощи таких методов как экспертная оценка, при которой независимая сторона подтверждает результат проведения криминалистики. Это напрямую вытекает из принципов ACPO, которые требуют такую возможность воссоздания результатов (ACPO 3). Существуют различные уровни экспертных оценок, предложенных Хорсманом и Сунде (2020), от очень простых административных проверок вплоть до полной повторной проверки устройства (устройств).

В то время как в идеальном мире все дела должны бы подлежать полной переоценке, как правило, ресурсов для этого нет. Вместо этого, для полной переоценки выбираются лишь определённые дела. Полная переоценка может потребоваться когда:

Соответствующие вышеперечисленным ситуации совместно с образцами случайно выбираемых дел должны быть полностью пересмотрены.

Некоторые методики также включают этап возврата доказательств, в ходе которого доказательства возвращаются подозреваемому/ жертве. Такая фаза сложнее, чем может показаться на первый взгляд, поскольку не все доказательства могут быть возвращены. Например, материалы о сексуальном насилии над детьми являются незаконными и не могут быть возвращены подозреваемому. Необходимо провести оценку устройств/ доказательств и принять решения о том, что должно быть законно возвращено жертве/ подозреваемому, а что должно быть удержано/ уничтожено.

Эта книга начиналась как созданная для занятий, которые автор проводил на протяжении всей своей карьеры, серия заметок. Автор преподаёт цифровую криминалистику (с особым уклоном в сторону криминалистики файловых систем) более 15 лет. За это время автор преподавал/ анализировал множество различных файловых систем. Данная книга является результатом этой работы на протяжении многих лет.

Эта книга также написана в знак уважения к одной из величайших книг по цифровой криминалистике - File System Forensic Analysis Брайана Кэрриера (GitHub). Данная книга стала для автора введением в область криминалистики файловых систем и, по мнению автора, является одной из лучших книг по цифровой криминалистике из доступных на сегодняшний день. Однако с момента публикации этой книги прошло много лет. За прошедшие годы файловые системы развились. Например, Кэрриер рассматривал только на момент публикации своей книги Ext 2 и 3, Ext 4 ещё не была выпущена. Однако Ext 4 теперь применяется по умолчанию в подавляющем большинстве установок Linux, а также встречается на всех устройствах Android. Следовательно, для понимания предмета это жизненно важная файловая система. Книга Кэрриера не охватывала ни одну файловую систему Apple; однако устройства Apple являются большой и растущей частью рабочей нагрузки судебного аналитика файловых систем. Старые устройства будут применять файловые системы HFS+, в то время как новые устройства используют APFS. Даже в мире традиционных файловых систем Windows времена меняются. После публикации книги Кэрриера появились две новые файловые системы Windows: ExFAT и Refs. Все эти причины привели к необходимости нового ресурса.

Основная цель данной книги — предоставить читателю знания о том, как функционируют файловые системы и, что ещё важнее, как работают цифровые криминалистические инструменты. Многие цифровые криминалисты полагаются на выбранные ими криминалистические инструменты файловой системы для сбора доказательств, которые требуются им для суда, даже не понимая, какие процессы выполняются их инструментом. Это сталкивает таких аналитиков с трудностями. В сегодняшнем все более техногенном мире, с взрывным ростом позиций цифровой криминалистики/ кибербезопасности, такие трудности возникают всё чаще. Чтобы разобраться с полученными при помощи инструмента судебной экспертизы файловой системы доказательствами, аналитик обязан полностью понимать, как работает файловая система и как действует применяемый для восстановления доказательств инструмент.

У этой книги имеются две аудитории, причём обе основываются на опыте автора. Автор долгое время вёл преподавание в области цифровой криминалистики на университетском уровне. За это время автор обучил большинству файловых систем из данной книги, а потому книга написана для студентов. Книга подойдёт как студентам цифровой криминалистики бакалавриата, так и магистратуры.

Курс бакалавриата может сосредотачиваться на предварительной части данной книги и анализе вручную одной или двух файловых систем Windows (автор рекомендовал бы ExFAT и NTFS). Расширенный курс магистратуры будет сосредоточен на большем числе файловых систем, а также будет содержать углубленные вопросы, относящиеся к каждой из рассматриваемых файловых систем. Часть курсов магистратуры может специализироваться на системной криминалистике Windows/ Apple/ Linux. В таком случае для курса будут важны применяемые для каждой из ОС файловые системы. Таким образом, каждая из частей II, III и IV независимы друг от друга. Предполагается, что читатель разберётся с предварительными сведениями, но сами по себе эти части могут применяться по усмотрению преподавателя.

Вторая аудитория данной книги это правоохранительные органы или, точнее, любой аналитик цифровой криминалистически, которому необходимо давать показания в судах. Слишком часто аналитики полагаются на инструмент для интерпретации сложных структур, полностью не понимая базовую структуру. В таком подходе потенциально имеется некий риск. Когда доказательства оспариваются, неспособность объяснить, что именно делают криминалистические инструменты, может быть засчитана против предоставленных доказательств. Следовательно, такая аудитория может применять нашу книгу в качестве ресурса для понимания того, как функционируют файловые системы и как наши криминалистические инструменты могут работать с конкретными файловыми системами. (Автор не утверждает, что ваши инструменты работают идентично тем, что представлены в этой книге, а лишь говорит о том, что это именно тот метод, которым могут применяться такие инструменты!)

Кроме того, знание файловых систем на подобном уровне позволит аналитику проверять результаты своих криминалистических инструментов. Работают ли его инструменты так, как ожидалось? Восстанавливают ли они всю имеющуюся информацию? Правильно ли они восстанавливают сведения? Ответы на такие вопросы имеют жизненно важное значение для обеспечения правильности цифровых доказательств и права всякого на справедливое судебное разбирательство.

Данная книга разделена на пять частей. Самая первая часть озаглавлена "Начальные сведения" и это в точности так! Она представляет собой обзор базовых сведений, необходимых для криминалистики файловых систем. Одной из рассматриваемых в этой части тем является применение в качестве платформы для расследований Linux. Linux это операционная система с открытым исходным кодом, которая предоставляет по умолчанию отличную поддержку для множества файловых систем (больше чем Windows/ macOS). Это делает её идеальной рабочей станцией криминалистики. Глава 2 предоставляет сведения относительно установки и применения ОС Linux. Те из вас, кто пользуется Linux на постоянной основе, могут пропустить это раздел (хотя если вы не применяли криминалистику файловой системы Linux, некие полезные для вас сведения могут быть в Разделе 2.5).

Дабы полностью разбираться в некой файловой системе, необходимо чтобы мы понимали как именно в вычислительной системе представлена информация. Помните, что на диске могут храниться только нули и единицы. Таким образом, необходимо понимать как какая- то последовательность нулей и единиц способна представлять любые виды сведений (числа, текст, время и т.п.). Необходимые для данной книге предварительные сведения по математике приводятся в Главе 3. Обычно файловая система пребывает на дисках, Глава 4 описывает структуру традиционного жёсткого диска, а также более новых твердотельных устройств. Данная глава опишет разбиение на разделы и введёт вас в наиболее часто встречающиеся схемы разбиения на разделы. Наконец, эта глава предоставит введение в саму файловую систему. Что представляет собой некая файловая система? Чем она занимается? По ходу этого будет представлено множество важных для криминалистики файловых систем понятий. Эти понятия помогут читателю получить полное понимание того, чем именно занимаются его инструменты.

Последующие части представляют различные файловые системы. Эти части делятся по основным операционным системам. К примеру, Часть II делает введение в те файловые системы, которые наиболее часто встречаются в операционных системах Windows, FAT (Глава 5 хотя FAT и ExFAT наиболее часто ассоциируются с удаляемыми носителями, а не с какой- то определённой операционной системой, первоначальная спецификация FAT была разработана Microsoft, а раз так, она включается в раздел файловых систем Windows), ExFAT (Глава 6) и NTFS (Глава 7).

Часть III является введением в файловые системы Linux которые не так распространены как файловые системы Windows/ Mac и наиболее часто представлены в машинах уровня серверов. Тем не менее, с другой стороны общей шкалы, ОС Linux также постоянно обнаруживается в устройствах меньшего масштаба (Android это некий вид Linux) и даже зачастую во встроенных устройствах. Файловые системы зачастую обнаруживаются в компании с ОС Linux, а потому знание таких файловых систем часто является важным. В целом, файловые системы Linux не столь хорошо поддерживаются инструментами цифровой криминалистики, как файловые системы Windows/ maсOS. Данная часть книги охватывает семейство файловых систем Ext (Глава 8 и Глава 9), файловую систему XFS (Глава 10) и, наконец, самую современную файловую систему BtrFS (Глава 11).

Часть IV представляет файловые системы Apple. Имеются две, с которыми, скорее всего, вы столкнётесь в современных системах macOS. Вплоть до 2017 года системы, как для телефонов, так и для компьютеров, поставлялись с Hierarchical File System, HFS+, в то время как более новые системы пользуются Apple File System (APFS). Эти две файловые системы охватывает Часть IV (Глава 12 и Глава 13).

Наконец, Часть V (Глава 14) заглядывает в будущее. С какими вызовами в области криминалистики файловых систем мы столкнёмся в наступающих годах? И, что ещё важнее, она охватывает возможные методы преодоления таких потенциальных проблем!

В этой главе представлена концепция цифровой криминалистики и её значение в современных расследованиях. В последние годы резко возрос объём цифровых улик, что привело к необходимости привлечения для обработки постоянно растущего объёма информации большего числа цифровых криминалистов- аналитиков. Рассмотрим некий семейный дом. В 1990-х годах здесь размещались один или два компьютера и ряд внешних носителей информации (дискеты, компакт-диски и т.д.). Теперь в этом же доме будет несколько компьютеров/ ноутбуков; планшеты, смартфоны, игровые приставки, smart- телевизоры и т.д. С годами постоянно росло число устройств, что привело к потребности в более квалифицированных специалистах в этой области.

Для начала работы в данной области, аналитик обязан ознакомиться с лежащими в основе этой дисциплины принципами и методологиями. В этой главе мы познакомили вас с принципами ACPO, которые на протяжении ряда лет составляли базу цифрового криминалистического анализа. При работе с цифровыми доказательствами все аналитики обязаны помнить о данных принципах. Верное соблюдение этих концепций значительно повышает вероятность принятия судом цифровых доказательств.

Методология добавляет в нашу деятельность структуру. Методологии обеспечивают то, что не будут забыты важные шаги. В данной главе сопоставляется ряд предложенных в последние годы методологий и показано насколько они схожи друг с другом. Далее в главе описывается методология из восьми этапов, которая содержит все описанные в прочих методологиях этапы. Тем не менее, основным ключевым моментом является то, что все эти методологии очень схожи. Не важно какая именно методология используется, важно то, что некая методология применяется на протяжении всего анализа.

Остаток предварительного раздела данной книги в первую очередь познакомит читателя с операционной системой Linux и, в частности, с её применением в качестве рабочей станции криминалиста. Далее следуют необходимые для цифровой криминалистике основы математики и введение в дисковую/ файловую систему хранения.

В приводимом ниже списке представлен ряд тем, которые могут применяться заданиях в стиле эссе или как темы обсуждения на занятии.

ACPO (2011). ACPO Good Practice Guide for Digital Evidence Версия 5.0 по состоянию на 14.03.2025

The Enhanced Digital Investigation Process Model, Baryamureeba, V. and Tushabe, F. (2004).

Digital forensics: best practices and perspective. Brighi, R. and Ferrazzano, M. (2021). Collezione Di Giustizia Penale 7: 13–48.

File System Forensic Analysis. Carrier, B. (2005). Boston, MA; London: Addison-Wesley.

PRECEPT: a framework for ethical digital forensics investigations. Ferguson, R.I., Renaud, K., Wilford, S., and Irons, A. (2020). Journal of Intellectual Capital 21 (2): 257–290.

Digital Forensics Explained. Gogolin, G. (2021). CRC Press.

A Guide for First Responders, 2nd ed. (2008), National Institute of Justice.

ACPO principles for digital evidence: Time for an update? Horsman, G. (2020). Forensic Science International: Reports 2: 100076.

Defining principles for preserving privacy in digital forensic examinations. Horsman, G. (2022). Forensic Science International: Digital Investigation 40: 301350.

Part 1: The need for peer review in digital forensics. Horsman, G. and Sunde, N. (2020). Forensic Science International: Digital Investigation 35: 301062.

Digital Forensics. INTERPOL (2022). по состоянию на 14.03.2025

Rethinking digital forensics. Jones, A. and Vidalis, S. (2019). Annals of Emerging Technologies in Computing (AETiC), Print ISSN: 2516–0281.

Developing a new digital forensics curriculum. Lang, A., Bashir, M., Campbell, R., and DeStefano, L. (2014). Digital Investigation 11: S76–S84.

Quality standards and regulation: challenges for digital forensics. Marshall, A.M. (2010). Measurement and Control 43 (8): 243–247.

Digital forensics: defining a research agenda. Nance, K., Hay, B., and Bishop, M. (2009). In: 2009 42nd Hawaii International Conference on System Sciences (5 January 2009), 1–6. IEEE.

Digital Forensic Science Strategy. National Police Chief’s Council (2020). по состоянию на 14.03.2025

An extended model of cybercrime investigations. Ó’Ciardhuáin, S. (2004). International Journal of Digital Evidence 3 (1): 1–22.

A history of digital forensics. Pollitt, M. (2010). In: Advances in Digital Forensics VI: Sixth IFIP WG 11.9 International Conference on Digital Forensics, Hong Kong, China (4–6 January 2010), Revised Selected Papers 6 2010, 3–15. Berlin, Heidelberg: Springer-Verlag.

An examination of digital forensic models. Reith, M., Carr, C., and Gunsch, G. (2002). International Journal of Digital Evidence 1 (3): 1–2.

Extended abstract digital forensics model with preservation and protection as umbrella principles. Saleem, S., Popov, O., and Bagilli, I. (2014). Procedia Computer Science 35: 812–821.

Rules of professional responsibility in digital forensics: a comparative analysis. Sharevski, F. (2015). Journal of Digital Forensics, Security, and Law 10 (2): 3.

The presumption of innocence as a source for universal rules on digital evidence –the guiding principle for digital forensics in producing digital evidence for criminal investigations. Stoykova, R. (2021). Computer Law Review International 22 (3): 74–82.

Part 2: The Phase-oriented Advice and Review Structure (PARS) for digital forensic investigations. Sunde, N. and Horsman, G. (2021). Forensic Science International: Digital Investigation 36: 301074.

What is a File System? - Definition from Techopedia. Techopedia, 26 July 2016. по состоянию на 14.03.2025

Digital forensics investigation jurisprudence: issues of admissibility of digital evidence. Yeboah-Ofori, A. and Brown, A.D. (2020). Journal of Forensic, Legal & Investigative Sciences 6 (1): 1–8.