Криминалистически значимая информация, хранящаяся в альтернативных потоках данных файловой системы NTFS

Ведение

В последнее время закономерно ученые-криминалисты всё больше обращают внимание на существование цифровых следов преступления, что делает криминалистическое исследование электронных носителей информации одним из видов техникокриминалистической деятельности [1—3]. Специфика следовой карти- ны преступлении, совершенных с использованием информационнотелекоммуникационных технологий или в сфере компьютерной информации, обусловливает необходимость обращения к широкому кругу возможностей программного обеспечения, в том числе для обнаружения информации, которая целенаправленно маскируется различными методами [см., напр., 4— 8]. '

В целях обнаружения криминалистически значимой информации правоохранительными органами могут использоваться сведения о наличии и содержании альтернативных потоков данных (ADS). Сегодня в криминалистической науке не сформированы подходы к разрешению отдельных проблем, связанных с обнаружением криминалистически значимой информации, сокрытой на электронных носителях информации, путем реализации возможностей альтернативных потоков данных файловой системы NTFS.

В настоящее время практически во всех сферах общественной жизни активно применяются компьютерные технологии, в том числе при подготовке, совершении и сокрытии преступлений или данных о них. Многообразие способов совершения противоправных деяний, бурное развитие технологий, а вместе с тем и возможностей компьютерных систем, позволяют сформулировать следующий тезис: установленные и описанные в частных криминалистических методиках закономерности преступной деятельности, с одной стороны, и специфика выявления, раскрытия и расследования преступлений — с другой, не всегда отражают присущие им особенности. В частности, не в полной мере учитываются аспекты технического характера, которые могут использоваться при сокрытии следов преступления. Полага ем, что уже при подготовке лицо заранее обдумывает способ совершения преступления с применением компьютерных технологий, включая в их состав возможность осуществления действий, направленных на сокрытие криминалистически значимой информации — следов. С этой целью могут использоваться достаточно сложные с технической стороны способы сокрытия сведений о преступлении, чаще всего это программное компьютерное обеспечение, позволяющее реализовывать дополнительные возможности. Без каких-либо сомнений к таковым можно отнести функционирование альтернативных потоков данных (ADS)1.

Результаты анализа состояния уровня преступности в России показывают, что количество зарегистрированных преступлений, совершенных с использованием информационнотелекоммуникационных технологий необычайно растет. Так за 2017 год зарегистрировано 90 тыс. 587 преступлений совершенных с использованием компьютерных и телекоммуникационных технологий; за 2018 год — 174 тыс. 674 (+92,8%); за 2019 год зарегистрировано 294 тыс. 409 (+68,5 %) преступлений, совершенных с использованием информационнотелекоммуникационных технологий; за 2020 год зарегистрировано 510 тыс. 396 (+73,4 %) преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации за 2021 год— 517 тыс. 722 (+1,4%); за период с января по апрель 2022 года зарегистрировано

163 тыс. 816 (-11,4 %)1. При этом наиболее распространенными видами таких преступлений являются:

• —    публичные призывы к осуществлению террористической деятельности, публичное оправдание терроризма или пропаганда терроризма (ст. 205.2 Уголовного кодекса Российской Федерации (далее — УК РФ));

• —    незаконные производство, сбыт или пересылка наркотических средств, психотропных веществ, а также незаконные сбыт или пересылка растений, содержащих наркотические средства или психотропные вещества (ст. 228.1 УКРФ); '

• —    изготовление порнографических материалов ст. 242, 242.1,242.2 (УК РФ);

• —    неправомерный доступ к компьютерной информации (ст. 272 УК РФ). * *

Полагаем, что данная ситуация обусловлена, прежде всего, тем, что электронная (цифровая) информация, являющаяся объектом, средством и (или) результатом совершения преступления обладает высокой латентностью и не может быть обнаружена непосредственно. Учитывая сказанное, правоохранительные органы просто не могут установить искомые на электронном носителе информации сведения при функционировании альтернативных потоков данных.

Основная часть

Помочь отыскать криминалистически значимую информацию позволит знание сущности и особенности реализации возможностей альтернативных потоков данных файловой системы NTFS.

О возможностях использования альтернативных потоков данных для организации секретного хранения на жестком диске конфиденциальных данных владельца компьютера или сохранения информации, не санкционированного хозяином, в соответствующих специальных изданиях упоминалось более 15 лет назад. Как отмечает автор: «в потоках могут содержаться текстовые документы, таблицы Excel и другие типы информации, которые можно обрабатывать как обычные файлы, без предварительного извлечения». А возможности ADS могут использоваться разработчиками вирусов и троянских утилит, например, Тго-jan.Comxt.B [9; с. 47].

В отечественной криминалистической литературе авторам статьи не удалось отыскать работы, раскрывающие вопросы обнаружения криминалистически значимой информации и описания процедуры, исследования альтернативных потоков данных. Вполне уместное упоминание о возможном поиске недоступных криминалистическому программному обеспечению компьютерных данных, сокрытых, например, при помощи стеганографии или альтернативных потоков данных (ADS) [10], в том числе установление первичного источника информации в информационнотелекоммуникационной сети Интернет, в контексте определения частных и общих направлениях возможностей искусственных нейронных сетей было сделано Д. В. Бахтеевым [11, с. 46], а также, уже после подготовки основной части представленного исследования, была опубликована статья, затрагивающая проблему возможностей исследования данных [12], авторы которой делают вывод, важный для освещения данной проблемы, о том, что «встроенных программных средств операционной системы недостаточно для проведения экспертом полноценного и качественного исследования» [12; с. 426].

Перейдем к рассмотрению сущности предмета исследования.

В файловой системе NTFS файл, кроме основных данных, может быть связан с одним или несколькими дополнительными потоками данных. При этом дополнительный поток может быть произвольного размера, в том числе может превышать размер основного файла.

Файловая система NTFS может работать с несколькими именованными потоками, получившими название «Альтернативные потоки данных». Поддержка ADS была реализована для совместимости с уже существующими операционными системами, позволяющими хранить метаданные для файлов (например, файловая система HFS). В операционной системе Windows 2000 альтернативные потоки данных используются для хранения таких атрибутов, как сведения об авторе, название и иконка файла. Начиная с Service Pack 2 для Windows ХР, Microsoft представила службу Attachment Execution Service, которая сохраняет в альтернативных потоках данных подробную информацию о происхождении загруженных файлов в целях повышения безопасности.

Альтернативные потоки данных игнорируются большинством программ, включая Windows Explorer и консольную команду DIR. Windows Explorer позволяет копировать альтернативные потоки и выдает предупреждение, если целевая файловая система их не поддерживает. Однако при этом Windows Explorer не подсчитывает размер ине отображает список альтернативных потоков. Команда DIR была обновлена в операционной системе Windows Vista: в команду добав лен флаг «/R» для построения списка ADS.

Целесообразным представляется рассмотрение сущности файла как такового сточки зрения файловой системы NTFS. Для упрощенного понимания, отметим, что он может быть представлен в виде контейнера, в котором хранятся некие данные. Обратимся к обычному текстовому документу, созданному в приложении «Блокнот». Пустой текстовый файл — это оболочка, а то, что в него записано — полезное содержимое, отображаемое в текстовом редакторе. Однако в файл может быть записана и другая информация, которая не отображается в текстовом редакторе. Таковыми могут быть, например, метаданные.

Эти метаданные хранятся в ADS, являющимися свойствами атрибутов, из которых, по представлению NTFS, состоит любой файл. Атрибуты в NTFS играют примерно туже роль, что и массивы данных. Свойства атрибутов могут быть как основными, так и альтернативными. Основным может быть только один поток, безымянный, именно в нем хранится полезное содержимое файла.

Так, записанный в текстовый файл текст содержится в основном потоке атрибута

$DATA ($data:"stream"). Разобьем его на части:

$DATA — название атрибута;

Двоеточие — разделитель;

Содержимое между прямыми кавычками — есть название потока, т.е. «stream».

Поток с пустым именем в NTFS основной, все остальные именованные потоки являются альтернативными. Например, поток $data: «Stream» — альтернати вный.

Наиболее простым способом записать данные в альтернативный поток является обращение к командной строке. Запишем для примера в текстовый файл «testtxt», уже содержащий текст «Пример», скрытую строку «Террористическая деятельность». Для этого необходимо открыть командную строку и выполнить в ней следующую команду:

echo «Террористическая деятельность» > D:\contenttxt: stream 1

При открытии файла «testtxt», мы обнаружим, что его содержание «Пример» не изменилось. Однако, выполнив в командной строке следующее:

Результатом будет «Террористическая деятельность».

Таким образом, в альтернативных потоках можно хранить данные любого типа: текстовые, графические, видео.

Альтернативные потоки, будучи невидимыми для стандартных средств работы с объектами файловой системы, тем не менее, очень часто используются для хранения дополнительных сведений о файлах и другой служебной информации. Так, при скачивании файлов из сети Интернет, браузеры добавляют к ним альтернативный поток с именем Zone.Identifier, который можно открыть приложением «Блокнот».

Например, рассмотрим файл установки «Яндекс.браузер». Выполним команду:

Путь к файлу можно не задавать, предварительно выполнив команду перехода в каталог загружаемых файлов текущего пользователя (при стандартном расположении служебных пользовательских папок):

cd %USERPROFILE%\Downloads

Команда

Как видим, содержимое альтернативного потока содержит строки:

[ZoneTransfer] — признак секции с описанием зоны передачи данных;

Zoneld=3 — идентификатор зоны.

Эта информация дает возможность определить происхождение файла по номеру идентификатора

Zoneld:

О — локальный компьютер;

• 1    — местная локальная сеть;

• 2    — надежные сайты Интернета;

• 3    — Интернет;

• 4    — опасные сайты;

Такое определение зон, например, соответствует настройкам безопасности обозревателя Internet Explorer.

В данном случае, можно определить, что файл Yandexexe был получен из сети Интернет (идентификатор зоны = 3). При запуске такого файла, будет выдано предупреждение системы безопасности о ненадежном источнике. Аналогичным образом работают средства безопасности приложений Microsoft Office, когда предупреждают об опасности открытия файлов, которые были загружены из сети Интернет.

При изменении в блокноте, значение Zoneld на «О», что будет соответствовать локальному происхождению файла, и предупреждение системы безопасности исчезнет, как и проблемы с открытием офисных документов.

Аналогичное поведение систем безопасности будет и в тех случаях, если удалить содержимое альтернативного потока (сделать его пустым), либо удалить сам альтернативный поток.

Лицо, совершившее один из видов ранее указанных видов преступлений, может использовать альтернативные потоки для хранения в них данных об осуществленной противоправной деятельности. В ADS могут храниться данные о логинах и паролях; видео-, аудиозаписи с содержанием публичных призывов к осуществлению террористической деятельности, публичных оправданий терроризма или пропаганды терроризма; точных местах (адресах) «закладок» наркотических средств; неправомерно скопированной компьютерной информации; видео порнографического характера; тело вредоносного программного обеспечения и многое другое, что является свидетельством преступной деятельности.

В случае применения ADS для использования вредоносного программного обеспечения антивирусная защита справляется весьма хорошо. Однако при исследовании альтернативных потоков в рамках судебнокомпьютерной экспертизы (СДЭ) проблема заключается в том, что для выполнения общих задач по поиску информации, чаще всего применяется поиск по расширению фалов. Как правило, такой подход применяется в ситуации, когда речь идет о медиа файлах. Даже при выполнении самой распространенной задачи СДЭ по поиску текстовой информации, при помощи программного обеспечения Archivarius3000, которое достаточно распространен в экспертной деятельности, данные из ADS не анализируются. Таким образом, электронные (цифровые) следы совершения преступления не будут обнаружены.

Другой программный продукт, используемый экспертами судебнокомпьютерных лабораторий это приложение WinHEX. Данное программное обеспечение позволяет просмотреть содержимое носителя информации и предоставить его в шестнадцатеричном виде. В рамках проведенного ис следования была проверена возможность нахождения тестовых данных в альтернативном потоке. В целом WinHEX с этим справилась при постановке задачи — «поиск конкретного слова». В случае, когда в качестве задачи предполагалось обнаружить видео или графических данные, работа исследуемого приложения значительно усложнялась, занимала большое количество времени. Полагаем, причина этого кроется в ином целевом назначении данного приложения.

При осуществлении поиска графических или видеофайлов эксперты входе производства судебной компьютерной экспертизы, как правило, прибегают к поиску по расширению. В случае, когда искомые данные находятся в альтернативных потоках, файл к которому прикреплены эти данные может быть любого типа, а значит и любого расширения. Поиск по расширению, при постановке указанной ранее задачи, не дает ожидаемого результата.

В случае обнаружения необходимых данных в альтернативных потоках инициатору экспертного исследования будет предоставлен исходный файл с этим потоком. Следователь при просмотре предоставленных ему фалов должен обладать навыками работы с альтернативными потоками, что, думается, сегодня в правоохранительной системе большая редкость.

Для исследования обнаружения альтернативных потоков можно использовать команду «DIR \г». Также работать cADS позволяет утилита PowerShell. Она умеет создавать, обнаруживать, выводить содержимое и удалять альтернативные потоки данных. Для того, чтобы обнаружить наличие альтернативных потоков, можно воспользоваться командой:

Get-Item -Path testtxt -Stream *

При этом результаты проведенного исследования, а также анализ материалов уголовных дел, как правило возбужденных пост. 186УК РФ (изготовление, хранение, перевозка или сбыт поддельных денег или ценных бумаг (фальшивомонетчество)), эксперты применяют программные продукты от Belkosoft и программное обеспечение Autopsy. Данные приложения позволяю обнаружить и получить данные, находящиеся в альтернативных потоках.

Выводы и заключение

Учитывая сказанное, полагаем целесообразно применять данного рода программное обеспечение для более полного исследования при расследовании различных видов (групп) преступлений, в том числе ст.ст. 205.2, 228.1, 242, 242.1, 242.2, 272 УК РФ, совершаемых с применением информационно-телекоммуникационных технологий или в сфере компьютерной информации. В экспертной практике бывают случаи, когда при производстве экспертизы по одной категории уголовных дел, обнаруживаются данные иной противоправной деятельности. Для выявления большего числа совершенных преступлений, правильным представляется более полное и глубокое исследование цифровой информации, в том числе изучении данных, содержащихся в альтернативных потоках.

В заключение укажем, что одним из вероятных способов сокрытия криминалистически значимой информации при совершении преступлений, с использованием информационнотелекоммуникационных технологий или в сфере компьютерной информации является использование альтернативных потоков данных файловой системы NTFS. Знания о рассмотренной технологии как потенциальном эффективном способе обнаружения следов (результатов) преступления могут быть полезны в деятельности правоохранительных органов, однако для этого требуется дальнейшее изучение указанного направления, в том числе учеными-криминалистами.