Цифровая криминалистика (digital forensics) — это высокотехнологичная отрасль экспертной деятельности, нацеленная на обнаружение, сохранение, анализ и представление цифровых доказательств. Огромная часть общения, финансовых операций и рабочих взаимодействий происходит в цифровом формате. Соответственно, улики, которые раньше искали в физическом мире, сегодня все чаще скрыты на жестких дисках, в облачных хранилищах и памяти мобильных устройств. Наше агентство проводит профессиональную компьютерно-техническую экспертизу, чтобы пролить свет на обстоятельства дела, будь то корпоративный конфликт или личная тайна.
Когда полезно?
Обращение к услугам цифровой криминалистики необходимо в ситуациях, когда единственный возможный вариант доказательства какого-либо факта является извлечение информации с носителей. Например, расследование инсайдерских угроз. Как доказать факт несанкционированного копирования и передачи конфиденциальной информации конкуренту? Провести анализ рабочих устройств сотрудника, их оперативной и постоянной памяти, логов, данные приложений и служб. В частной сфере цифровая криминалистика помогает в разрешении споров, связанных с использованием электронной переписки, историей браузеров и активности в мессенджерах, что может быть актуально при гражданско-правовых процессах, оспаривании условий договоров, контроля за поведением детей. По сути, любая ситуация, требующая доказательства фактов, записанных в байтах и битах, является областью применения такой работы.
Наш метод.
Любое проведение компьютерно-технической экспертизы базируется на строгих процессуальных и технических стандартах. Мы начинаем с консультации, чтобы точно определить цели и объекты исследования. Далее следует этап изъятия и криминалистического копирования носителей информации — жестких дисков, серверов, телефонов и иных устройств. В целом, для подобного вида экспертизы, правильной практикой является принцип неизменности оригинального носителя, это значит, что при дублировании информации не допускается искажение всего набора информации в извлекаемой памяти. Это весьма важно для суда, но не всегда технически возможно. Работая с уже полученными копиями, проводится глубокий анализ данных. Восстанавливаются удаленные файлы, изучаются метаданные, журналы системных событий, история посещения веб-сайтов и переписку в приложениях, набор искомых данных зависит от поставленной задачи. Экспертиза позволяет реконструировать цифровые действия, выстраивая хронологически выверенную и логически связанную картину произошедшего. В случае искажения или повреждения данных мы пытаемся их восстановить и найти любые файлы, что могут быть полезны в деле. Весь процесс документируется в виде подробного заключения.
Результат.
Итогом работы является заключение, где описан весь процесс от извлечения и копирования до описания вывода по найденному. Так же там содержится информация о используемых программных и аппаратных инструментах, а так же ФИО эксперта.
