Комплексная экспертиза документов на твердых носителях

Подать онлайн заявку на проведение экспертизыУзнать стоимость проведения экспертизы
Комплексная экспертиза документов на твердых носителях

Комплексная экспертиза документов на твердых носителях

При расследовании различных видов преступлений, связанных с использованием поддельных документов, реквизиты которых нанесены с помощью средств компьютерной техники, требуется доказать не только факт их подделки, но и установить источник их происхождения.

Раздельным проведением компьютерно-технической экспертизы (КТЭ) и судебно-технической экспертизы документов (СТЭД) не всегда достигается положительный результат. Подобная ситуация при проведении КТЭ, как правило, обусловлена ошибкой лица, назначившего экспертизу, который значительно сузил круг поиска информации, интересующей следствие. В рамках проведенной СТЭД установить единый источник нанесенных текста и изображений на исследуемый документ и в сравнительных образцах при идентификационном исследовании принтеров в подавляющем большинстве случаев не представляется возможным (трудности решения идентификационных задач в отношении знакопечатающих устройств — струйных и лазерных принтеров — при отсутствии эксплуатационных признаков достаточно подробно рассмотрены С.Б. Шашкиным[1]).

В рамках проведения комплексной (СТЭД и КТЭ) экспертизы вопрос об установлении источника происхождения документа, реквизиты которого подготовлены и распечатаны с помощью средств компьютерной техники, можно решать достаточно успешно.

Заявка на компьютерную экспертизу

Для наглядности приведем пример. При постановлении следователя на комплексное исследование поступили: системный блок персонального компьютера, изъятый у нотариуса X., и доверенность на право продажи квартиры, заверенная нотариусом X. На разрешение экспертов были поставлены вопросы: «Имеется ли на накопителе на жестких магнитных дисках (НЖМД) системного блока, изъятого у нотариуса X., файл (файлы), содержащие текст доверенности, представленной на исследование? Если да, то распечатан ли текст доверенности с использованием обнаруженных файлов?» При проведении компьютерно-технического исследования файлов (в том числе удаленных) полный текст, представленной на исследование доверенности не был обнаружен.

Можно было бы с «чистой совестью» дать отрицательный категорический вывод об отсутствии на НЖМД файлов, содержащих текст доверенности, копия которой представлена на исследование. Но в таких ситуациях эксперт КТЭ, четко представляя возможные технологии создания и работы с файлами, которые могли содержать искомую информацию, в своей части заключения отметил, что на НЖМД имеются файлы, содержащие тексты доверенностей (за исключением переменных реквизитов: даты, сведений о доверяющем лице и доверителе, адреса объекта недвижимости и т.п.), по размеру и конфигурации шрифта, форматированию текста, топографическому расположению одних элементов текста относительно других и т.п., аналогичные по содержанию тексту, представленной доверенности. Впоследствии распечатки этих файлов и доверенность, заверенную нотариусом X., исследовал эксперт СТЭД и констатировал, что при их составлении использовался один и тот же файл-макет.

Отрицательный результат поиска файла с текстом искомой доверенности был обусловлен следующей технологией работы с файлом, который использовался в качестве макета (шаблона): имеющийся на НЖМД файл открывался с помощью соответствующего приложения; пользователем производилось изменение переменных реквизитов текста; отредактированный файл распечатывался и закрывался без сохранения внесенных при его редактировании изменений.

Такая технология применяется правонарушителями, как правило, при создании единичных поддельных документов. В случае, если шаблон отсутствует, то пользователь может с помощью какого-либо текстового редактора создать новый документ, набрать необходимый текст, распечатать его, а затем закрыть файл без сохранения. В таких случаях в файловых таблицах различных операционных систем информация о возможном создании и сохранении файла, как правило, отсутствует.

Одной из особенностей работы операционных систем Windows (которая крайне важна для получения значимой информации) является то, что она сохраняет в файле подкачки фрагменты оперативной памяти, освобождая тем самым место для работы с другим приложением. Содержимое файла виртуальной памяти (файла подкачки) может оказаться очень ценным, т.к. существует вероятность, что в нем мог сохраниться фрагмент интересующего следствие документа.

Довольно сложными случаями при проведении комплексного исследования являются задачи установлении источника происхождения документов на твердых носителях, созданных с помощью специальных прикладных пакетов программного обеспечения (ПО), предназначенных для ведения бухгалтерского учета. Решение этих задач характеризуется рядом особенностей, которые заключаются в следующем:

  • электронные аналоги реквизитов финансово-бухгалтерских документов (за очень редким исключением) в полном объеме отсутствуют;
  • распечатка реквизитов документа производится только после специальной генерирации (формирования) финансово-хозяйственного документа с использованием специального шаблона конкретного документа и расположением в соответствующих местах переменных реквизитов документов, содержащихся в базах данных прикладного ПО;
  • после распечатки электронный аналог (прообраз) финансово-хозяйственного документа не сохраняется.

Подобная технология создания машинограмм характерна практически для всех применяемых в настоящее время специальных прикладных пакетов программного обеспечения, предназначенных для ведения бухгалтерского учета: «1С», Парус, БЭСТ, ТурбоБухгалтер, BP6 (последний предназначен только для формирования платежных документов) и т.п. При поиске интересующей следствие информации, которая являлась источником нанесения реквизитов на твердый носитель, необходимо учитывать следующие моменты:

  • сгенерированный файл, содержащий реквизиты для последующего нанесения их реквизитов на твердый носитель, состоит из бланка электронного документа (шаблона с постоянными реквизитами) и переменных реквизитов, содержащихся в полях соответствующей электронной записи;
  • переменные реквизиты одной и той же электронной записи хранятся в нескольких различных файлах баз данных;
  • сгенерированный файл может быть перед распечаткой вручную отредактирован, и содержание этих изменений в подавляющем большинстве случаев в каких- либо системных или временных файлах не фиксируется.

При поиске информации, содержащейся в применяемом прикладном ПО, эксперты КТЭ Омской ЛСЭ Минюста России» почти всегда привлекают в качестве консультантов специалистов, обеспечивающих сопровождение того или иного прикладного программного продукта. Это обусловлено специфичностью ПО, различными схемами его построения и функционирования. Здесь, как нигде, выступает на первый план необходимость особой специализации экспертов КТЭ, поскольку ни один эксперт не может в силу огромного объема требуемых знаний освоить все направления компьютерно-технической экспертизы.

Еще одной особенностью исследования информации, содержащейся в прикладном ПО, является невозможность, по ряду причин, его запуска на лабораторном компьютере, если НЖМД, демонтированный с исследуемого системного блока компьютера, подключен как «Slave» или работа проводится с копией исследуемого НЖМД. Основной причиной является использование в целях защиты от несанкционированного использования аппаратных ключей электронной защиты типа HASP (различные версии и конфигурации ПО «1С»). Поэтому приходится осуществлять запуск прикладной бухгалтерской программы непосредственно на исследуемом системном блоке с использованием «клона» НЖМД из исследуемого системного блока.

Допустим, что произведен успешный запуск программы «1 С», пароли и ограничения на допуск информации отсутствуют или сняты. Средствами поиска обнаружена электронная запись с информацией об интересующем финансовом документе — платежном поручении. После этого эксперт задает команду на формирование электронного документа, машинограмму которого требуется создать. Если есть возможность, то производится его распечатка с помощью принтера, желательно того же, который применял пользователь, или аналогичного, а при отсутствии такой возможности форма электронного документа выводится на экран монитора в режиме просмотра. Но в обоих случаях будет применена одна и та же схема идентификационного исследования финансового документа на твердом носителе и электронного документа:

  • сравниваются характеристики и параметры постоянных реквизитов документа (содержание текста, типы и размеры шрифтов знаков, размеры строк и столбцов табличной структуры бланка документа, топографические признаки размещения одних реквизитов относительно других и т.п.);
  • сравниваются характеристики и параметры переменных реквизитов документа (содержание текста, типы и размеры шрифтов знаков, их топографическое расположение среди постоянных реквизитов, сокращения в тексте, орфографические ошибки и т.п.).

И только при полном совпадении всех выявленных признаков, относящихся к постоянным и переменным реквизитам, эксперт вправе дать вывод о том, что обнаруженная электронная запись являлась прообразом (основой) для формирования электронного документа, с которого была распечатана машинограмма.

Наиболее сложными в экспертном плане являются исследования, когда электронная запись была удалена. Каких-либо функций восстановления удаленных электронных записей в прикладном программном обеспечении, предназначенном для ведения бухгалтерского учета, не предусмотрено. Но при этом переменные реквизиты электронной записи (наименования банков и банковские реквизиты, наименования контрагентов, соответствующих записи товарно-материальных ценностей и т.п.) все-таки сохраняются в файлах баз данных, что является наиболее ценным для целей проведения компьютерно-технической экспертизы. Примером этого является экспертиза, выполненная автором в 2004 г.

При постановлении зам. начальника следственного отделения при ОВД Нижневартовского района Ханты-Мансийского автономного округа для производства комплексной экспертизы поступили системный блок персонального компьютера и принтер, изъятые у подозреваемого, и поддельное платежное поручение № 32 от 23.04.2004 г., с помощью которого преступники получили товарно-материальные ценности. Поиск файлов, возможно созданных с помощью офисных приложений Windows, дал отрицательный результат. Поэтому был применен поиск по отдельным переменным реквизитам (в различных типах кодировок), содержащимся в тексте исследуемого платежного поручения: наименования и реквизиты плательщика и получателя, банков получателя и плательщика, суммы и основания платежа. В результате исследования было обнаружено три файла баз данных ПО «1С: Предприятие», в текстах которых разрозненно содержится информация, аналогичная фрагментам текста в представленной копии платежного поручения. Однако при запуске программы «1С: Предприятие» электронная запись, соответствующая данному платежному поручению, не была обнаружена. В файле «1cv7.mlg» (log-файл администратора ПО) обнаружена информация о создании и редактировании платежного поручения № 32 от 23.04.2004 г. Расшифровкой содержания текста файла «1cv7.mlg» установлена следующая технология подготовки платежного поручения № 32 от 23.04.2004 г.:

  • в демо-версии ПО «1С: Предприятие» в справочнике «Контрагенты» была создана запись с реквизитами получателя платежа и записаны в соответствующие справочники его платежные реквизиты, наименование товара и его цена;
  • при открытии подпрограммы «Платежные документы — Платежные поручения» было создано новое платежное поручение с номером 00000001;
  • данное платежное поручение было выведено на экран в режиме редактирования, после чего номер платежного поручения был изменен на номер «32», вручную были введены реквизиты плательщика (организация с подобными реквизитами являлась вымышленной);
  • отредактированное платежное поручение было отправлено на печать;
  • после распечатки платежного поручения электронная запись была помечена для удаления, а затем и удалена.

На основании проведенного исследования эксперт дал следующие выводы:

«1. На НЖМД исследуемого системного блока обнаружены файлы с информацией, свидетельствующей о создании, редактировании, распечатке платежного поручения № 32 от 23.04.2004 г. 2. Платежное поручение подготавливалось и распечатывалось с помощью ПО «1С: Предприятие», установленного на НЖМД данного системного блока».

При проведении дополнительных экспертиз была обнаружена информация о подготовке на данном системном блоке еще нескольких поддельных платежных поручений от имени различных несуществующих организаций. Выводы этих экспертиз явились основным доказательством о причастности подозреваемых лиц к фактам изготовления поддельных платежных поручений и получения с их помощью товарно- материальных ценностей на несколько миллионов рублей.

Приведенные примеры экспертиз, выполненных в Омской ЛСЭ Минюста России, наглядно показывают возможности комплексного исследования в целях установления обстоятельств изготовления поддельных документов на твердых носителях и источника их происхождения в случаях отсутствия полных электронных аналогов нанесенных на них реквизитов.

Автор:
  Н. А. Иванов — ст. эксперт Омской ЛСЭ Минюста России.

Нашли в тексте ошибку? Выделите её, нажмите Ctrl + Enter, и мы всё исправим!