Введение

Формирование системы судебного компьютерно-технического экспертного знания неразрывно связано с научной рефлексией над природой его объекта. Категория «объекты судебной компьютерной экспертизы» (ОСКЭ) выступает не просто пассивным перечнем предметов исследования, а концептуальным ядром, определяющим границы компетенции, выбор методологии, процессуальный порядок назначения и проведения экспертизы, а также оценку доказательственной силы заключения. С методологической точки зрения, ОСКЭ представляют собой систему материальных и информационных образований, обладающих свойствами и признаками, установление которых требует применения специальных познаний в области информационных технологий и компьютерной инженерии и которые несут в себе потенциальную информацию о фактах, имеющих юридическое значение.

Классический подход, ограничивающий ОСКЭ аппаратными средствами и носителями данных, сегодня обнаруживает свою неполноту в условиях цифровой трансформации, где объектом правового регулирования и конфликта становятся виртуальные сущности, распределенные системы и алгоритмические процессы. Цель настоящей статьи заключается в проведении всестороннего системно-классификационного анализа объектов судебной компьютерной экспертизы, выявлении их специфических свойств, структуры и процессуального статуса, а также в определении влияния технологических трендов на эволюцию данной системы.

Глава 1. Теоретико-правовые и гносеологические основания определения объектов

1.1. Объект судебной экспертизы как процессуально-гносеологическая категория

В теории судебной экспертизы объект традиционно понимается как элемент материальной обстановки, исследуемый экспертом для установления фактов. Применительно к компьютерной экспертизе это определение требует существенной конкретизации. ОСКЭ обладают рядом уникальных характеристик, отличающих их от объектов традиционных криминалистических экспертиз:

1. Дуальная природа (материально-информационная):Любой ОСКЭ существует одновременно в двух ипостасях: как физическое устройство (материальный объект) и как носитель информации (логический объект). Жесткий диск — это корпус, платы, магнитные пластины (материальная составляющая) и в то же время — структурированная совокупность битов, представляющая файлы, каталоги, системные области (информационная составляющая). Экспертное исследование всегда направлено на информационную составляющую, но осуществляется через материальную.
2. Опосредованность восприятия и изменчивость:Содержательная (информационная) сущность ОСКЭ недоступна для непосредственного чувственного восприятия. Она раскрывается только с помощью специальных программных и аппаратных средств-посредников. При этом информация может быть легко и необратимо изменена даже незначительным внешним воздействием (например, при включении компьютера).
3. Системность и иерархичность:ОСКЭ редко существуют изолированно. Компьютер представляет собой систему взаимосвязанных компонентов (процессор, память, накопители, сетевой интерфейс). Сетевая активность — это система взаимодействующих узлов и протоколов. Программное обеспечение — это иерархия модулей, библиотек, конфигурационных файлов. Экспертное исследование должно учитывать эти связи.
4. Виртуальность и распределенность:Современные ОСКЭ всё чаще не имеют однозначной физической привязки. Данные в облачных сервисах, виртуальные машины, контейнеры, записи в блокчейне существуют в распределенной, виртуализированной среде. Их «изъятие» и предоставление эксперту становится сложной процедурой, требующей юридических и технических решений.

1.2. Процессуальный статус объектов: от вещественного доказательства к источнику иных сведений

В процессуальном праве объекты, поступающие на экспертизу, чаще всего имеют статус вещественных доказательств (ст. 81 УПК РФ, ст. 73 АПК РФ). Для компьютерной информации это означает её фиксацию на материальном носителе (ст. 81.1 УПК РФ). Однако с развитием технологий возникает проблема: данные, хранящиеся в облаке или обрабатываемые в оперативной памяти, не имеют постоянного материального носителя в традиционном понимании.

Следовательно, требуется расширительное толкование. Материальный носитель компьютерной информации — это любое физическое устройство или среда, используемые для её хранения, обработки или передачи, даже если эта среда динамична и энергозависима (оперативная память, регистры процессора). Процессуальная фиксация такого объекта осуществляется через:

• Изъятие и упаковку физического устройства(сервера, ноутбука, телефона).
• Создание криминалистической (битовой) копии (образа)данных, с последующим заверением её хэш-суммой, что юридически приравнивает образ к оригиналу для целей исследования.
• Протоколированиесодержимого, наблюдаемого на экране, или параметров сетевого соединения (например, при осмотре облачного хранилища).

Таким образом, для эксперта процессуально значимым является не сам «оригинал» в физическом смысле, а верифицированный и процессуально закрепленный набор данных, сохраняющий релевантную информацию об исследуемом событии.

Глава 2. Системная классификация объектов судебной компьютерной экспертизы

Наиболее полной и методологически выверенной представляется классификация ОСКЭ по их месту и роли в архитектуре информационных систем и происходящих процессов. Выделяются три фундаментальных класса.

2.1. Класс I. Аппаратно-технические средства и их компоненты (Hardware)

Данный класс включает физические устройства, образующие инфраструктуру для обработки информации. Их исследование направлено на установление технических характеристик, состояния, идентификационных признаков, фактов модификации.

Категория 1.1. Универсальные вычислительные системы:

• Персональные компьютеры, рабочие станции, серверы(системные блоки, материнские платы, процессоры, модули оперативной памяти).
• Моноблоки, ноутбуки, планшетные компьютеры.

Категория 1.2. Устройства хранения информации (Storage Devices):

• Основные накопители:HDD, SSD, SSHD.
• Съемные и внешние носители:USB-флеш-накопители, карты памяти (SD, microSD), внешние жесткие диски, оптические диски (CD, DVD, Blu-ray).
• Ленточные накопители (стримеры), диск-массивы (RAID).

Категория 1.3. Устройства ввода-вывода и периферийное оборудование:

• Клавиатуры, манипуляторы, графические планшеты.
• Мониторы, проекторы.
• Принтеры, МФУ, сканеры(включая анализ служебной памяти принтера, содержащей историю печати).
• Мультимедийное оборудование(веб-камеры, микрофоны, аудиокарты).

Категория 1.4. Сетевое и телекоммуникационное оборудование:

• Активное сетевое оборудование:маршрутизаторы, коммутаторы, межсетевые экраны (аппаратные), точки доступа Wi-Fi, модемы. Объектом исследования являются их конфигурации, прошивки, таблицы маршрутизации, журналы.
• Пассивное оборудование:кабели, патч-панели.

Категория 1.5. Специализированные и встраиваемые системы:

• Мобильные устройства:смартфоны, фаблеты, «умные» часы.
• Оборудование систем видеонаблюдения и контроля доступа:видеорегистраторы (DVR, NVR), IP-камеры.
• Банкоматы, платежные терминалы, POS-системы.
• Одноплатные компьютеры и микроконтроллеры(Raspberry Pi, Arduino).

2.2. Класс II. Программное обеспечение и алгоритмические сущности (Software & Algorithms)

Этот класс объединяет логические объекты, управляющие работой аппаратных средств и реализующие целевые функции. Их исследование направлено на анализ функциональности, структуры, поведения, соответствия требованиям.

Категория 2.1. Системное программное обеспечение:

• Операционные системы(Windows, Linux-дистрибутивы, macOS, мобильные ОС).
• Драйверы устройств.
• Микропрограммы (прошивки, firmware):BIOS/UEFI, прошивки контроллеров (дисков, сетевых карт), мобильных устройств, IoT-гаджетов.
• Виртуальные машины и их образы(файлы .vmdk, .vdi, .qcow2).
• Контейнеры и их образы(Docker, Kubernetes).

Категория 2.2. Прикладное и специализированное программное обеспечение:

• Офисные пакеты, системы управления базами данных (СУБД).
• Браузеры, почтовые клиенты, мессенджеры.
• Инструментальные среды разработки (IDE), компиляторы.
• Бизнес-приложения(1С, SAP, CRM-системы).
• Серверное ПО(веб-серверы, почтовые серверы, прокси-серверы).
• Антивирусное ПО, системы обнаружения вторжений (IDS/IPS).

Категория 2.3. Алгоритмы и их реализации:

• Исходный код программ(файлы .c, .java, .py и др.).
• Исполняемые файлы и библиотеки(.exe, .dll, .so).
• Скрипты(batch-файлы, shell-скрипты, PowerShell, JavaScript).
• Смарт-контракты(код на Solidity, Rust и др.).
• Обученные модели искусственного интеллекта(файлы весов и архитектуры).

2.3. Класс III. Данные и информация (Data)

Наиболее объемный и значимый класс, включающий всю информацию, хранимую, обрабатываемую и передаваемую компьютерными системами. Исследование направлено на установление содержания, свойств, происхождения, метаданных, признаков манипуляций.

Категория 3.1. Пользовательские данные и файлы:

• Документы(текстовые, табличные, презентации).
• Графические, аудио- и видеофайлы.
• Архивы(ZIP, RAR, 7z).
• Электронная почта и файлы почтовых ящиков(.pst, .ost, .eml).
• Базы данных и их дампы.

Категория 3.2. Системные данные и метаданные:

• Служебные структуры данных файловых систем(MFT для NTFS, суперблок и inode для ext, таблицы разделов MBR/GPT).
• Метаданные файлов:атрибуты (время создания, модификации, доступа — MAC-times), права доступа, альтернативные потоки данных (ADS в NTFS).
• Журналы событий (логи) операционных систем и приложений(Event Log, syslog, журналы веб-серверов).
• Данные реестра Windows.
• Кэш браузеров, история посещений, cookies.

Категория 3.3. Оперативные и остаточные данные:

• Дампы оперативной памяти (RAM).
• Файлы подкачки и гибернации.
• Содержимое нераспределенного пространства диска (unallocated space).
• Остаточные данные в кластерах (slack space).
• Сетевые пакеты и дампы трафика(файлы .pcap).

Категория 3.4. Информация о процессах и сетевой активности:

• Сведения о запущенных процессах, сетевых соединениях, открытых портах.
• Конфигурационные данные сетевых устройств.
• Записи о транзакциях в распределенных реестрах (блокчейнах).

Глава 3. Процессуальные особенности работы с объектами судебной компьютерной экспертизы

3.1. Изъятие, фиксация и обеспечение сохранности ОСКЭ

Работа с ОСКЭ на досудебной стадии требует соблюдения строгих правил для обеспечения их допустимости как доказательств.

1. Принцип минимального воздействия:Любые действия с устройством должны минимизировать риск изменения данных. Компьютеры не выключаются стандартным способом (риск активации деструктивных скриптов), а обесточиваются. Мобильные устройства изолируются от сетей (режим «в самолете», Faraday bag).
2. Документирование цепочки обеспечения доказательств (Chain of Custody):Фиксация всех лиц, имевших доступ к объекту, времени, места и цели каждого взаимодействия.
3. Создание криминалистических образов:Работа эксперта ведется не с оригиналами накопителей, а с их точными битовыми копиями, целостность которых контролируется криптографическими хэш-суммами (MD5, SHA-256). Оригиналы опечатываются и хранятся.
4. Особенности изъятия облачных данных:Требуется взаимодействие с провайдером на основании судебного запроса. Фиксируются не сами данные «в облаке», а процесс их получения и результаты (скачанные архивы, предоставленные логи).

3.2. Отражение объектов в постановлении о назначении экспертизы

В процессуальном документе объекты должны быть описаны максимально конкретно и идентифицируемо:

• Для аппаратных средств: тип, модель, серийный номер, инвентарный номер (при наличии).
• Для носителей информации: тип, объем, присвоенный номер вещественного доказательства.
• Для данных и ПО: точные пути к файлам в образе, версии программ, адреса веб-ресурсов, хэш-суммы файлов.
  Недостаточная конкретизация («исследовать компьютер», «проанализировать данные») может привести к признанию экспертизы незаконной или выводов – неотносимыми.

Глава 4. Актуальные тенденции и проблемные зоны, связанные с эволюцией объектов

1. Дематериализация и виртуализация.Доминирование облачных сервисов, контейнеризация, использование виртуальных рабочих столов ставят под вопрос традиционные процедуры изъятия. Объект становится услугой, доступом, потоком данных. Требуется разработка новых процессуальных протоколов работы с провайдерами.
2. Усложнение аппаратно-программного стека.Появление специализированных процессоров (TPU, NPU для AI), сложных иерархий памяти, технологий типа Intel SGX создает «черные ящики», недоступные для классического экспертного анализа. Необходимы новые методики и глубокие инженерные познания.
3. Распространение шифрования.Сквозное шифрование на уровне ОС (BitLocker, FileVault), приложений (мессенджеры) и протоколов (HTTPS, TLS 1.3) переводят значительную часть ОСКЭ (пользовательские данные) в категорию практически недоступных для исследования. Акцент смещается на метаданные, недешифрованные артефакты и контекстуальную информацию.
4. Рост объема данных (Big Data).Объектом исследования становятся массивы данных в петабайтном масштабе (например, логи крупной интернет-платформы). Это требует от экспертизы применения методов Data Science, машинного обучения для фильтрации и выявления аномалий, а также принципиально иных подходов к организации хранения и анализа.
5. Конвергенция с физическим миром (киберфизические системы).Компьютерные системы управляют автомобилями, медицинским оборудованием, промышленными роботами. ОСКЭ в таких случаях включают не только код и данные, но и телеметрию, показания датчиков, алгоритмы управления, требующие междисциплинарного подхода.

Заключение

Объекты судебной компьютерной экспертизы образуют сложную, динамичную и постоянно расширяющуюся систему, отражающую все многообразие цифровой реальности. Их адекватная классификация и понимание специфических свойств являются фундаментальной предпосылкой для формирования научно обоснованной методологии, корректного процессуального оформления и, в конечном итоге, достижения главной цели экспертизы – установления объективной истины.

Предложенная трехклассовая модель (аппаратные средства, программное обеспечение, данные) позволяет систематизировать экспертную деятельность, но должна восприниматься не как жесткая схема, а как гибкий инструмент для анализа конкретных ситуаций, где объекты разных классов находятся в неразрывном единстве. Будущее развития теории ОСКЭ видится в углубленном изучении новых классов объектов (алгоритмов ИИ, виртуальных активов, данных IoT), разработке стандартизированных процессуальных и технических протоколов работы с ними, а также в укреплении междисциплинарных связей с компьютерными науками, криптографией и теорией информации. Только на этом пути судебная компьютерная экспертиза сможет сохранить свою эффективность в качестве инструмента правосудия в технологически усложняющемся мире.