Комплексная экспертиза документов на твердых носителях

При расследовании различных видов преступлений, связанных с использованием поддельных документов, реквизиты которых нанесены с помощью средств компьютерной техники, требуется доказать не только факт их подделки, но и установить источник их происхождения.

Раздельным проведением компьютерно-технической экспертизы (КТЭ) и судебно-технической экспертизы документов (СТЭД) не всегда достигается положительный результат. Подобная ситуация при проведении КТЭ, как правило, обусловлена ошибкой лица, назначившего экспертизу, который значительно сузил круг поиска информации, интересующей следствие. В рамках проведенной СТЭД установить единый источник нанесенных текста и изображений на исследуемый документ и в сравнительных образцах при идентификационном исследовании принтеров в подавляющем большинстве случаев не представляется возможным (трудности решения идентификационных задач в отношении знакопечатающих устройств — струйных и лазерных принтеров — при отсутствии эксплуатационных признаков достаточно подробно рассмотрены С.Б. Шашкиным[1]).

В рамках проведения комплексной (СТЭД и КТЭ) экспертизы вопрос об установлении источника происхождения документа, реквизиты которого подготовлены и распечатаны с помощью средств компьютерной техники, можно решать достаточно успешно.

Для наглядности приведем пример. При постановлении следователя на комплексное исследование поступили: системный блок персонального компьютера, изъятый у нотариуса X., и доверенность на право продажи квартиры, заверенная нотариусом X. На разрешение экспертов были поставлены вопросы: «Имеется ли на накопителе на жестких магнитных дисках (НЖМД) системного блока, изъятого у нотариуса X., файл (файлы), содержащие текст доверенности, представленной на исследование? Если да, то распечатан ли текст доверенности с использованием обнаруженных файлов?» При проведении компьютерно-технического исследования файлов (в том числе удаленных) полный текст, представленной на исследование доверенности не был обнаружен.

Можно было бы с «чистой совестью» дать отрицательный категорический вывод об отсутствии на НЖМД файлов, содержащих текст доверенности, копия которой представлена на исследование. Но в таких ситуациях эксперт КТЭ, четко представляя возможные технологии создания и работы с файлами, которые могли содержать искомую информацию, в своей части заключения отметил, что на НЖМД имеются файлы, содержащие тексты доверенностей (за исключением переменных реквизитов: даты, сведений о доверяющем лице и доверителе, адреса объекта недвижимости и т.п.), по размеру и конфигурации шрифта, форматированию текста, топографическому расположению одних элементов текста относительно других и т.п., аналогичные по содержанию тексту, представленной доверенности. Впоследствии распечатки этих файлов и доверенность, заверенную нотариусом X., исследовал эксперт СТЭД и констатировал, что при их составлении использовался один и тот же файл-макет.

Отрицательный результат поиска файла с текстом искомой доверенности был обусловлен следующей технологией работы с файлом, который использовался в качестве макета (шаблона): имеющийся на НЖМД файл открывался с помощью соответствующего приложения; пользователем производилось изменение переменных реквизитов текста; отредактированный файл распечатывался и закрывался без сохранения внесенных при его редактировании изменений.

Такая технология применяется правонарушителями, как правило, при создании единичных поддельных документов. В случае, если шаблон отсутствует, то пользователь может с помощью какого-либо текстового редактора создать новый документ, набрать необходимый текст, распечатать его, а затем закрыть файл без сохранения. В таких случаях в файловых таблицах различных операционных систем информация о возможном создании и сохранении файла, как правило, отсутствует.

Одной из особенностей работы операционных систем Windows (которая крайне важна для получения значимой информации) является то, что она сохраняет в файле подкачки фрагменты оперативной памяти, освобождая тем самым место для работы с другим приложением. Содержимое файла виртуальной памяти (файла подкачки) может оказаться очень ценным, т.к. существует вероятность, что в нем мог сохраниться фрагмент интересующего следствие документа.

Довольно сложными случаями при проведении комплексного исследования являются задачи установлении источника происхождения документов на твердых носителях, созданных с помощью специальных прикладных пакетов программного обеспечения (ПО), предназначенных для ведения бухгалтерского учета. Решение этих задач характеризуется рядом особенностей, которые заключаются в следующем:

• электронные аналоги реквизитов финансово-бухгалтерских документов (за очень редким исключением) в полном объеме отсутствуют;
• распечатка реквизитов документа производится только после специальной генерирации (формирования) финансово-хозяйственного документа с использованием специального шаблона конкретного документа и расположением в соответствующих местах переменных реквизитов документов, содержащихся в базах данных прикладного ПО;
• после распечатки электронный аналог (прообраз) финансово-хозяйственного документа не сохраняется.

Подобная технология создания машинограмм характерна практически для всех применяемых в настоящее время специальных прикладных пакетов программного обеспечения, предназначенных для ведения бухгалтерского учета: «1С», Парус, БЭСТ, ТурбоБухгалтер, BP6 (последний предназначен только для формирования платежных документов) и т.п. При поиске интересующей следствие информации, которая являлась источником нанесения реквизитов на твердый носитель, необходимо учитывать следующие моменты:

• сгенерированный файл, содержащий реквизиты для последующего нанесения их реквизитов на твердый носитель, состоит из бланка электронного документа (шаблона с постоянными реквизитами) и переменных реквизитов, содержащихся в полях соответствующей электронной записи;
• переменные реквизиты одной и той же электронной записи хранятся в нескольких различных файлах баз данных;
• сгенерированный файл может быть перед распечаткой вручную отредактирован, и содержание этих изменений в подавляющем большинстве случаев в каких- либо системных или временных файлах не фиксируется.

При поиске информации, содержащейся в применяемом прикладном ПО, эксперты КТЭ Омской ЛСЭ Минюста России» почти всегда привлекают в качестве консультантов специалистов, обеспечивающих сопровождение того или иного прикладного программного продукта. Это обусловлено специфичностью ПО, различными схемами его построения и функционирования. Здесь, как нигде, выступает на первый план необходимость особой специализации экспертов КТЭ, поскольку ни один эксперт не может в силу огромного объема требуемых знаний освоить все направления компьютерно-технической экспертизы.

Еще одной особенностью исследования информации, содержащейся в прикладном ПО, является невозможность, по ряду причин, его запуска на лабораторном компьютере, если НЖМД, демонтированный с исследуемого системного блока компьютера, подключен как «Slave» или работа проводится с копией исследуемого НЖМД. Основной причиной является использование в целях защиты от несанкционированного использования аппаратных ключей электронной защиты типа HASP (различные версии и конфигурации ПО «1С»). Поэтому приходится осуществлять запуск прикладной бухгалтерской программы непосредственно на исследуемом системном блоке с использованием «клона» НЖМД из исследуемого системного блока.

Допустим, что произведен успешный запуск программы «1 С», пароли и ограничения на допуск информации отсутствуют или сняты. Средствами поиска обнаружена электронная запись с информацией об интересующем финансовом документе — платежном поручении. После этого эксперт задает команду на формирование электронного документа, машинограмму которого требуется создать. Если есть возможность, то производится его распечатка с помощью принтера, желательно того же, который применял пользователь, или аналогичного, а при отсутствии такой возможности форма электронного документа выводится на экран монитора в режиме просмотра. Но в обоих случаях будет применена одна и та же схема идентификационного исследования финансового документа на твердом носителе и электронного документа:

• сравниваются характеристики и параметры постоянных реквизитов документа (содержание текста, типы и размеры шрифтов знаков, размеры строк и столбцов табличной структуры бланка документа, топографические признаки размещения одних реквизитов относительно других и т.п.);
• сравниваются характеристики и параметры переменных реквизитов документа (содержание текста, типы и размеры шрифтов знаков, их топографическое расположение среди постоянных реквизитов, сокращения в тексте, орфографические ошибки и т.п.).

И только при полном совпадении всех выявленных признаков, относящихся к постоянным и переменным реквизитам, эксперт вправе дать вывод о том, что обнаруженная электронная запись являлась прообразом (основой) для формирования электронного документа, с которого была распечатана машинограмма.

Наиболее сложными в экспертном плане являются исследования, когда электронная запись была удалена. Каких-либо функций восстановления удаленных электронных записей в прикладном программном обеспечении, предназначенном для ведения бухгалтерского учета, не предусмотрено. Но при этом переменные реквизиты электронной записи (наименования банков и банковские реквизиты, наименования контрагентов, соответствующих записи товарно-материальных ценностей и т.п.) все-таки сохраняются в файлах баз данных, что является наиболее ценным для целей проведения компьютерно-технической экспертизы. Примером этого является экспертиза, выполненная автором в 2004 г.

При постановлении зам. начальника следственного отделения при ОВД Нижневартовского района Ханты-Мансийского автономного округа для производства комплексной экспертизы поступили системный блок персонального компьютера и принтер, изъятые у подозреваемого, и поддельное платежное поручение № 32 от 23.04.2004 г., с помощью которого преступники получили товарно-материальные ценности. Поиск файлов, возможно созданных с помощью офисных приложений Windows, дал отрицательный результат. Поэтому был применен поиск по отдельным переменным реквизитам (в различных типах кодировок), содержащимся в тексте исследуемого платежного поручения: наименования и реквизиты плательщика и получателя, банков получателя и плательщика, суммы и основания платежа. В результате исследования было обнаружено три файла баз данных ПО «1С: Предприятие», в текстах которых разрозненно содержится информация, аналогичная фрагментам текста в представленной копии платежного поручения. Однако при запуске программы «1С: Предприятие» электронная запись, соответствующая данному платежному поручению, не была обнаружена. В файле «1cv7.mlg» (log-файл администратора ПО) обнаружена информация о создании и редактировании платежного поручения № 32 от 23.04.2004 г. Расшифровкой содержания текста файла «1cv7.mlg» установлена следующая технология подготовки платежного поручения № 32 от 23.04.2004 г.:

• в демо-версии ПО «1С: Предприятие» в справочнике «Контрагенты» была создана запись с реквизитами получателя платежа и записаны в соответствующие справочники его платежные реквизиты, наименование товара и его цена;
• при открытии подпрограммы «Платежные документы — Платежные поручения» было создано новое платежное поручение с номером 00000001;
• данное платежное поручение было выведено на экран в режиме редактирования, после чего номер платежного поручения был изменен на номер «32», вручную были введены реквизиты плательщика (организация с подобными реквизитами являлась вымышленной);
• отредактированное платежное поручение было отправлено на печать;
• после распечатки платежного поручения электронная запись была помечена для удаления, а затем и удалена.

На основании проведенного исследования эксперт дал следующие выводы:

«1. На НЖМД исследуемого системного блока обнаружены файлы с информацией, свидетельствующей о создании, редактировании, распечатке платежного поручения № 32 от 23.04.2004 г. 2. Платежное поручение подготавливалось и распечатывалось с помощью ПО «1С: Предприятие», установленного на НЖМД данного системного блока».

При проведении дополнительных экспертиз была обнаружена информация о подготовке на данном системном блоке еще нескольких поддельных платежных поручений от имени различных несуществующих организаций. Выводы этих экспертиз явились основным доказательством о причастности подозреваемых лиц к фактам изготовления поддельных платежных поручений и получения с их помощью товарно- материальных ценностей на несколько миллионов рублей.

Приведенные примеры экспертиз, выполненных в Омской ЛСЭ Минюста России, наглядно показывают возможности комплексного исследования в целях установления обстоятельств изготовления поддельных документов на твердых носителях и источника их происхождения в случаях отсутствия полных электронных аналогов нанесенных на них реквизитов.

Автор:
Н. А. Иванов — ст. эксперт Омской ЛСЭ Минюста России.