Автор: Вице-президент МОО «Экспертный Совет», эксперт, к.т.н., Профессор РАЕ, заместитель директора ООО «НИПИ ПГС», член Бассейнового Совета Нижневолжского БВУ, председатель Оренбургского Регионального Отделения ООО «ЦЭПК».
Методы и технологии восстановления данных начали развиваться в 1980-х годах, в это время, в связи с распространением персональных компьютеров, возникла необходимость в инструментах для восстановления случайно удалённых файлов. Первым из коммерческих решений стала программа Norton Utilities, позволяющая пользователям восстанавливать файлы после их удаления. Это стало возможным благодаря особенностям файловых систем, где удаленные данные не исчезают физически, а лишь помечаются как доступные для перезаписи. Эти первоначальные инструменты создали фундамент для последующего прогресса методов восстановления информации, которые с течением времени становились все более сложными и результативными. Среди современных файловых систем, например, ReFS, представленная в 2012 году, отмечается, что с момента её выпуска прошло 13 лет, однако детальная документация отсутствует.
Современные технологии восстановления данных значительно превосходят предыдущие поколения благодаря применению современных инновационных методик и методов, таких как машинное обучение и обработка больших объемов данных. Например, системы на основе машинного обучения способны восстановить данные с поврежденных устройств с высочайшей точностью — вплоть до 95%, что имеет огромное значение в случаях физического или программного повреждения находящейся информации. Обработка больших данных существенно повышает скорость обработки значительных объемов информации, обеспечивая быстрое и точное восстановление утраченных сведений. Машинное обучение и современный ИИ играет решающую роль в работе экспертов по цифровой криминалистике, автоматизируя процедуры анализа больших массивов данных и улучшая качество восстановления утраченной информации. Сегодня каждый день создаются огромные объемы данных — около 2,5 квинтиллионов байт, как показывают отчёты IBM за 2022 год. Подобные масштабы делают устаревшими классические методики восстановления. Между тем, инновационные подходы вроде нейронных сетей и метода случайных лесов (Random Forests) обеспечивают эффективный и быстрый анализ данных, раскрывая скрытые зависимости и восстанавливая утраченные или повреждённые файлы.
Это кардинально меняет ситуацию с обработкой крупных объёмов данных в короткие сроки, что чрезвычайно важно для судебно-криминалистического процесса. Метод Random Forests уже подтвердил свою действенность в юридической практике, демонстрируя способность специалистов качественно восстанавливать повреждённые файлы. Объем глобального информационного потока увеличивается сверхускоренными темпами, предъявляя повышенные требования к современным инструментам обработки данных. Аналитики IDC говорят о том, что к 2025 году совокупный мировой объем данных превзойдет рубеж в 175 зеттабайт. Данный тренд подтверждает важность аналитики больших данных, особенно в цифровой криминалистике. Работа с большими объемами данных помогает экспертам находить ценные сведения, включая восстановление утерянных данных, изучение файловых систем и выявление скрытого поведения пользователей. В условиях возрастающей активности киберпреступников и усложняющихся цифровых инфраструктур аналитика больших данных стала ключевой составляющей успешных расследований. Компания IBM констатирует ежедневное создание около 2,5 квинтиллионов байт данных, многие из которых потенциально полезны для целей цифрового криминалистического анализа. Современные цифровые инструменты, базирующиеся на принципах машинного обучения, применения ИИ, распределённых вычислений и интеллектуальной визуализации данных, позволяют эффективно справляться с гигантскими массивами информации, что абсолютно необходимо в рамках правовых и криминалистических процедур.
Среди ключевых подходов к восстановлению данных выделяются два направления:
1. Логическое восстановление, основанное на детальном исследовании внутренних структур файловых систем, применяется для возвращения случайно удалённой или нарушенной информации вследствие сбоя программы или повреждения файловой системы.
2. Физическое восстановление предполагает извлечение данных с физически повреждённых носителей, таких как жёсткие диски с механическими повреждениями или электронными неполадками, и требует наличия профессионального оборудования и квалифицированного персонала.
Для выполнения таких операций требуются специальные технические средства и высокая квалификация специалиста.
Опыт практического применения демонстрирует заметный прогресс в совершенствовании технологий восстановления данных.
Так, в 2018 году компания Kroll Ontrack сумела вернуть важные данные с жесткого диска, пострадавшего от сильного пожара, доказав высокую эффективность современных инструментов цифровой криминалистики.
Таким образом, внедрение актуальных технологий в область восстановления данных открывает новые горизонты и значительно повышает шансы на успешное восстановление информации в самых сложных ситуациях.
Несмотря на значительные физические повреждения, команда экспертов применила методы низкоуровневого анализа, что позволило восстановить 99% утраченной информации. Этот случай подчеркивает важность специализированных технологий и подходов в условиях критических повреждений носителей. В таких ситуациях в целях всестороннего и эффективного производства расследования рассматриваемой категории хищений необходимо производство экспертизы по восстановлению измененных и уничтоженных маркировочных обозначений.
Анализ успешных примеров восстановления данных выявляет ключевые факторы, обеспечивающие высокую эффективность применяемых методов. Успешность восстановления данных после воздействия огня была обеспечена применением методов низкоуровневого анализа, которые позволяют осуществлять доступ к физическим структурам повреждённых носителей.
Однако развитие современных технологий сталкивается с рядом серьёзных препятствий, негативно сказывающихся на эффективности процессов восстановления информации. Ключевая проблема заключается в сложности обработки сильно повреждённых хранилищ данных. Исследования компании Kroll указывают, что примерно в трети всех случаев проблемы возникают именно из-за механических дефектов носителей, что затрудняет или вовсе исключает использование традиционных способов восстановления. Кроме того, развитие технологий хранения данных, например, широкое распространение твердотельных накопителей (SSD), добавляет ряд новых трудностей, связанных с уникальной архитектурой этих устройств. Методы шифрования и особенности размещения данных на SSD-дисках заметно усложняют процедуру восстановления утраченной информации. Специалисты и инженеры обязаны учитывать подобные факторы при разработке стратегий эффективного восстановления данных.
Также существенным аспектом восстановления данных выступают юридические и этические аспекты. Технологии восстановления должны строго соответствовать нормативному праву, которое регулирует защиту личной информации и секретных данных. Это подразумевает выполнение ряда правил и стандартов, накладывающих дополнительные обязательства на профессионалов, работающих с восстановлением данных.
В связи с этим, помимо технического мастерства, экспертам необходимо также учитывать юридические и этические аспекты в процессе восстановления данных, что делает эту задачу ещё более сложной и многогранной.
В Российской Федерации эти вопросы регулируются Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. №149-ФЗ и Федеральным законом «О персональных данных» от 27.07.2006 г. №152-ФЗ.
Это особенно важно в случаях, когда восстановление данных связано с доступом к личной информации пользователей. Кроме того, специалисты сталкиваются с этическими дилеммами, связанными с возможным нарушением приватности или использованием восстановленных данных в недобросовестных целях.
Данные аспекты требуют повышенного внимания и создания соответствующих стандартов и рекомендаций.
Процесс восстановления информации с электронных носителей сопровождается множеством технических сложностей, обусловленных как механическим состоянием самих носителей, так и спецификой их внутреннего строения и функционирования. Отчёт компании Kroll Ontrack свидетельствует, что приблизительно треть всех ситуаций потери данных связана именно с физическими повреждениями носителей, что серьёзно усложняет восстановление. Причины выхода из строя носителей разнообразны: механические травмы, воздействие влаги или экстремально высокие температуры. Современная техника хранения данных отличается высокой плотностью записи и сложными системами шифрования, что требует применения специальных инструментов и программного обеспечения для качественного восстановления утраченной информации. Ввиду этих обстоятельств становится принципиально важным фиксировать ход следственных мероприятий техническими средствами и сохранять полученные материалы в электронном виде. Это облегчает процесс восстановления данных и гарантирует надёжность их сохранности.
Вопросы юридического характера и этики являются серьезными препятствиями в данной области. Обзор, выполненный в 2021 году, показал, что почти две трети организаций сталкиваются с правовыми осложнениями при восстановлении данных ввиду отсутствия чётко сформулированных законодательных норм.
Необходимость соблюдения законодательства в сфере защиты персональных данных и конфиденциальной информации создаёт дополнительные сложности для специалистов, занимающихся восстановлением данных. Эффективное управление этими аспектами требует не только знания технологий, но и глубокого понимания правовых норм, что является ключевым фактором для успешного завершения процесса восстановления.
В настоящее время практически невозможно найти уголовное дело, при расследовании которого не назначалась бы судебная экспертиза, что подчеркивает важность соблюдения всех юридических норм. Следует отметить, что в Уголовно-процессуальном кодексе Российской Федерации производство судебной экспертизы определяется главой 27, а именно статьями со 195 по 207. Этические вопросы, связанные с правом на конфиденциальность и несанкционированным доступом к информации, требуют тщательного подхода и строгого соблюдения профессиональных норм.
Изучение методов цифровой экспертизы для восстановления удалённых данных является актуальной и значимой задачей в современном мире, где объём информации и зависимость от неё постоянно увеличиваются. Использование передовых технологий в данной области не только способствует решению насущных задач, но и открывает новые возможности для обеспечения безопасности и сохранности данных.
Дальнейшее развитие и исследование цифровой экспертизы имеет существенное значение для научного и практического прогресса
Материал подготовлен по данным:
1. file:///C:/Users/1/Downloads/primenenie-metodov-tsifrovoy-ekspertizy-dlya-vosstanovleniya-udalennoy-informatsii-s-elektronnyh-nositeley.pdf
