Восстановление переписки

Анализ накопителей или носителей информации с целью поиска и восстановления переписки, хранящейся в явном или удаленном виде, является наиболее часто встречающимся видом исследования в рамках компьютерно-технической экспертизы.

В рамках данного исследования возможно:

Получить доступ к почтовой переписке, осуществляемой посредством почтовых программ (Microsoft Outlook, Mozilla Thunderbird, The Bat! и т.д.). В ходе экспертизы исследуются базы данных сообщений и журналы работы программного обеспечения. Также проводится анализ системных журналов той операционной системы, в рамках которой эксплуатировалась исследуемая программа и осуществлялась переписка, с целью соотнесения временных интервалов работы с программным продуктом и временем осуществления переписки. Данное обстоятельство является одним из косвенных доказательств, подтверждающих факт осуществления отправки или принятия почтового сообщения.

Извлечь переписку из программ мгновенного обмена сообщениями (ICQ, Mail Агент, Skype, QIP и т.д.) как хранящуюся в явном виде, так и в удаленном, с проведением предварительных процедур по восстановлению. Стоит отметить, что восстановлению подлежат не только удаленные файлы, хранящие переданные/принятые сообщения, но и выборочные сообщения, хранящиеся в базе данных. Данное обстоятельство обусловлено использованием в программных продуктах реляционных баз данных (пример: SQLite в Skype), в которых окончательное удаление помеченной на удаление информации осуществляется только в результате ее перезаписи новыми данными, что приводит в большинстве случаев к возможности восстановлению удаленной переписки.

Установить факт формирования, отправки или просмотра сообщения на различных интернет-ресурсах посредством использования браузеров. В ходе поиска следов обстоятельств ведения переписки, добавления комментариев, создания сообщений на форумах и иных интернет-ресурсов экспертом исследуется как «Сache» и «Сookie» файлы браузеров, хранящие сведения о подключении, настройках пользователя и сохраненные страницы интернет-ресурсов в различные интервалы времени, так и внутренние базы данных браузеров, содержащие криминалистическую информацию по данному обстоятельству.