ВВЕДЕНИЕ
Анализ образов дисков является фундаментальным методом цифровой криминалистики, особенно при расследовании финансовых преступлений, где критически важно сохранить целостность данных и обеспечить их приемлемость в суде. FTK Imager является одним из наиболее надежных инструментов для создания криминалистических образов и их последующего анализа.
Данный кейс демонстрирует комплексный подход к расследованию крупного финансового мошенничества с использованием поддельных документов и манипуляций с банковскими системами. Расследование включало анализ множественных жестких дисков, SSD накопителей и внешних устройств хранения для восстановления полной картины преступной деятельности.
Проблема заключалась в том, что злоумышленники использовали продвинутые методы сокрытия данных, включая шифрование, удаление файлов и манипуляции с файловой системой. Требовался глубокий анализ образов дисков для восстановления удаленных документов и доказательства факта мошенничества.
ИСХОДНАЯ СИТУАЦИЯ
Дело: Расследование финансового мошенничества
Подозреваемый: Сергей Козлов, 35 лет (руководитель финансовой пирамиды)
Период преступной деятельности: 1 июня 2023 - 15 декабря 2024
Тип преступления: Создание финансовой пирамиды, подделка документов, отмывание денег
Размер ущерба: Оценочно $12.5 млн (средства потерпевших)
Устройства для анализа:
- Основной компьютер: Dell OptiPlex 7090 (1 ТБ SSD)
- Ноутбук: Lenovo ThinkPad X1 Carbon (512 ГБ SSD)
- Внешний диск: Seagate Backup Plus 2 ТБ
- USB накопитель: SanDisk Ultra 128 ГБ
- Смартфон: Samsung Galaxy S23 (256 ГБ)
Технические характеристики:
- Dell OptiPlex: Windows 11 Pro, Intel Core i7-11700, 32 ГБ RAM
- Lenovo ThinkPad: Windows 11 Pro, Intel Core i7-1260P, 16 ГБ RAM
- Seagate Backup: NTFS, 2 ТБ, внешний USB 3.0
- SanDisk USB: FAT32, 128 ГБ, USB 3.0
- Samsung Galaxy: Android 13, заблокирован паролем
ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ
1. FTK Imager 4.7.0 - создание и анализ образов дисков
2. Autopsy 4.19.0 - комплексный анализ цифровых доказательств
3. Sleuth Kit - низкоуровневый анализ файловых систем
4. PhotoRec - восстановление удаленных файлов
5. TestDisk - восстановление разделов
6. Bulk Extractor - извлечение артефактов
7. Volatility - анализ памяти (если доступно)
8. EnCase - профессиональный анализ образов
ПОШАГОВОЕ РЕШЕНИЕ
ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ
Шаг 1.1: Создание криминалистических образов
bash
<h2 id="sozdanie-obraza-osnovnogo-diska-dell-optiplex">Создание образа основного диска Dell OptiPlex</h2>
ftk_imager --source /dev/sda --destination dell_optiplex_image.dd --format dd
<h2 id="sozdanie-obraza-noutbuka-lenovo">Создание образа ноутбука Lenovo</h2>
ftk_imager --source /dev/sdb --destination lenovo_thinkpad_image.dd --format dd
<h2 id="sozdanie-obraza-vneshnego-diska-seagate">Создание образа внешнего диска Seagate</h2>
ftk_imager --source /dev/sdc --destination seagate_backup_image.dd --format dd
<h2 id="sozdanie-obraza-usb-nakopitelya">Создание образа USB накопителя</h2>
ftk_imager --source /dev/sdd --destination sandisk_usb_image.dd --format dd
Шаг 1.2: Проверка целостности образов
bash
<h2 id="vychislenie-kontrolnyh-summ">Вычисление контрольных сумм</h2>
md5sum dell_optiplex_image.dd > dell_optiplex_image.dd.md5
md5sum lenovo_thinkpad_image.dd > lenovo_thinkpad_image.dd.md5
md5sum seagate_backup_image.dd > seagate_backup_image.dd.md5
md5sum sandisk_usb_image.dd > sandisk_usb_image.dd.md5
<h2 id="proverka-tselostnosti">Проверка целостности</h2>
md5sum -c dell_optiplex_image.dd.md5
ЭТАП 2: АНАЛИЗ ОСНОВНОГО КОМПЬЮТЕРА
Шаг 2.1: Монтирование образа в Autopsy
bash
<h2 id="zapusk-autopsy">Запуск Autopsy</h2>
autopsy
<h2 id="sozdanie-novogo-sluchaya">Создание нового случая</h2>
Case Name: Financial_Fraud_Investigation
Case Number: FF-2024-001
Investigator: Detective Smith
Description: Investigation of financial pyramid scheme
Шаг 2.2: Анализ файловой системы
bash
<h2 id="analiz-struktury-diska">Анализ структуры диска</h2>
mmls dell_optiplex_image.dd
<h2 id="rezultat-pokazal">Результат показал:</h2>
<h2 id="dos-partition-table">DOS Partition Table</h2>
<h2 id="offset-sector-0">Offset Sector: 0</h2>
<h2 id="units-are-in-512-byte-sectors">Units are in 512-byte sectors</h2>
<h2 id="slot-start-end-length-description"># Slot Start End Length Description</h2>
<h2 id="000-meta-0000000000-0000000000-0000000001-primary-table-0">000: Meta 0000000000 0000000000 0000000001 Primary Table (#0)</h2>
<h2 id="001-0000000001-0000002047-0000002047-unallocated">001: ------- 0000000001 0000002047 0000002047 Unallocated</h2>
<h2 id="002-000-000-0000002048-1953523711-1953521664-ntfs-0x07">002: 000:000 0000002048 1953523711 1953521664 NTFS (0x07)</h2>Шаг 2.3: Извлечение файлов из NTFS
bash
<h2 id="montirovanie-ntfs-razdela">Монтирование NTFS раздела</h2>
mount -o loop,offset=1048576 dell_optiplex_image.dd /mnt/analysis/
<h2 id="analiz-struktury-katalogov">Анализ структуры каталогов</h2>
ls -la /mnt/analysis/Users/
ЭТАП 3: ПОИСК ФИНАНСОВЫХ ДОКУМЕНТОВ
Шаг 3.1: Поиск Excel файлов с финансовыми данными
bash
<h2 id="poisk-excel-faylov">Поиск Excel файлов</h2>
find /mnt/analysis -name "*.xlsx" -o -name "*.xls" | head -20
<h2 id="obnaruzheny-fayly">Обнаружены файлы:</h2>
<h2 id="mnt-analysis-users-sergey-documents-financial-records-xlsx">- /mnt/analysis/Users/Sergey/Documents/Financial_Records.xlsx</h2>
<h2 id="mnt-analysis-users-sergey-desktop-client-list-xlsx">- /mnt/analysis/Users/Sergey/Desktop/Client_List.xlsx</h2>
<h2 id="mnt-analysis-users-sergey-documents-investment-plan-xlsx">- /mnt/analysis/Users/Sergey/Documents/Investment_Plan.xlsx</h2>Шаг 3.2: Анализ содержимого финансовых файлов
bash
<h2 id="izvlechenie-dannyh-iz-excel-faylov">Извлечение данных из Excel файлов</h2>
python3 -c "
import pandas as pd
import openpyxl
<h2 id="analiz-financial-records-xlsx">Анализ Financial_Records.xlsx</h2>
df = pd.read_excel('/mnt/analysis/Users/Sergey/Documents/Financial_Records.xlsx')
print('Financial Records Analysis:')
print(df.head(10))
print(f'Total rows: {len(df)}')
print(f'Columns: {list(df.columns)}')
"
Шаг 3.3: Поиск PDF документов
bash
<h2 id="poisk-pdf-faylov">Поиск PDF файлов</h2>
find /mnt/analysis -name "*.pdf" | grep -E "(contract|agreement|certificate)" -i
<h2 id="obnaruzheny-podozritelnye-dokumenty">Обнаружены подозрительные документы:</h2>
<h2 id="investment-agreement-template-pdf">- Investment_Agreement_Template.pdf</h2>
<h2 id="fake-bank-certificate-pdf">- Fake_Bank_Certificate.pdf</h2>
<h2 id="ponzi-scheme-plan-pdf">- Ponzi_Scheme_Plan.pdf</h2>ЭТАП 4: ВОССТАНОВЛЕНИЕ УДАЛЕННЫХ ФАЙЛОВ
Шаг 4.1: Использование PhotoRec для восстановления
bash
<h2 id="zapusk-photorec">Запуск PhotoRec</h2>
photorec /dev/loop0
<h2 id="nastroyki-vosstanovleniya">Настройки восстановления:</h2>
<h2 id="vybrat-razdel-ntfs">- Выбрать раздел NTFS</h2>
<h2 id="vklyuchit-vosstanovlenie-vseh-tipov-faylov">- Включить восстановление всех типов файлов</h2>
<h2 id="ustanovit-papku-naznacheniya-recovery-photorec">- Установить папку назначения: /recovery/photorec/</h2>Шаг 4.2: Анализ восстановленных файлов
bash
<h2 id="analiz-vosstanovlennyh-faylov">Анализ восстановленных файлов</h2>
ls -la /recovery/photorec/
<h2 id="obnaruzheny-vosstanovlennye-fayly">Обнаружены восстановленные файлы:</h2>
<h2 id="deleted-financial-data-xlsx-2-1-mb">- deleted_financial_data.xlsx (2.1 МБ)</h2>
<h2 id="erased-client-database-csv-1-8-mb">- erased_client_database.csv (1.8 МБ)</h2>
<h2 id="removed-transaction-log-txt-856-kb">- removed_transaction_log.txt (856 КБ)</h2>Шаг 4.3: Использование TestDisk для восстановления разделов
bash
<h2 id="zapusk-testdisk">Запуск TestDisk</h2>
testdisk dell_optiplex_image.dd
<h2 id="analiz-struktury-diska-pokazal">Анализ структуры диска показал:</h2>
<h2 id="osnovnoy-razdel-ntfs-1-8-tb">- Основной раздел NTFS (1.8 ТБ)</h2>
<h2 id="skrytyy-razdel-200-gb-vozmozhno-zashifrovannyy">- Скрытый раздел (200 ГБ) - возможно, зашифрованный</h2>
<h2 id="nerazmechennaya-oblast-50-gb">- Неразмеченная область (50 ГБ)</h2>ЭТАП 5: АНАЛИЗ НОУТБУКА LENOVO
Шаг 5.1: Монтирование образа ноутбука
bash
<h2 id="montirovanie-obraza-lenovo">Монтирование образа Lenovo</h2>
mount -o loop,offset=1048576 lenovo_thinkpad_image.dd /mnt/lenovo/
<h2 id="analiz-polzovatelskih-dannyh">Анализ пользовательских данных</h2>
ls -la /mnt/lenovo/Users/
Шаг 5.2: Поиск криптовалютных кошельков
bash
<h2 id="poisk-faylov-koshelkov">Поиск файлов кошельков</h2>
find /mnt/lenovo -name "wallet.dat" -o -name "*.wallet" -o -name "*.key"
<h2 id="obnaruzheny-fayly">Обнаружены файлы:</h2>
<h2 id="mnt-lenovo-users-sergey-appdata-roaming-bitcoin-wallet-dat">- /mnt/lenovo/Users/Sergey/AppData/Roaming/Bitcoin/wallet.dat</h2>
<h2 id="mnt-lenovo-users-sergey-desktop-ethereum-private-key-txt">- /mnt/lenovo/Users/Sergey/Desktop/Ethereum_Private_Key.txt</h2>Шаг 5.3: Анализ истории браузера
bash
<h2 id="analiz-chrome-istorii">Анализ Chrome истории</h2>
sqlite3 /mnt/lenovo/Users/Sergey/AppData/Local/Google/Chrome/User\ Data/Default/History
<h2 id="izvlechenie-podozritelnyh-url">Извлечение подозрительных URL</h2>
SELECT url, title, visit_count, last_visit_time
FROM urls
WHERE url LIKE '%bitcoin%' OR url LIKE '%cryptocurrency%' OR url LIKE '%exchange%'
ORDER BY last_visit_time DESC;
ЭТАП 6: АНАЛИЗ ВНЕШНЕГО ДИСКА SEAGATE
Шаг 6.1: Монтирование внешнего диска
bash
<h2 id="montirovanie-seagate-diska">Монтирование Seagate диска</h2>
mount -o loop,offset=1048576 seagate_backup_image.dd /mnt/seagate/
<h2 id="analiz-struktury">Анализ структуры</h2>
ls -la /mnt/seagate/
Шаг 6.2: Поиск резервных копий
bash
<h2 id="poisk-faylov-rezervnyh-kopiy">Поиск файлов резервных копий</h2>
find /mnt/seagate -name "*.bak" -o -name "*.backup" -o -name "*backup*"
<h2 id="obnaruzheny-fayly">Обнаружены файлы:</h2>
<h2 id="mnt-seagate-backup-2024-12-15-bak-500-mb">- /mnt/seagate/Backup_2024_12_15.bak (500 МБ)</h2>
<h2 id="mnt-seagate-client-database-backup-sql-2-1-gb">- /mnt/seagate/Client_Database_Backup.sql (2.1 ГБ)</h2>Шаг 6.3: Анализ SQL базы данных
bash
<h2 id="analiz-sql-fayla">Анализ SQL файла</h2>
head -50 /mnt/seagate/Client_Database_Backup.sql
<h2 id="obnaruzheny-tablitsy">Обнаружены таблицы:</h2>
<h2 id="clients-5-000-zapisey">- clients (5,000+ записей)</h2>
<h2 id="investments-10-000-zapisey">- investments (10,000+ записей)</h2>
<h2 id="transactions-25-000-zapisey">- transactions (25,000+ записей)</h2>
<h2 id="fake-certificates-500-zapisey">- fake_certificates (500+ записей)</h2>ЭТАП 7: АНАЛИЗ USB НАКОПИТЕЛЯ
Шаг 7.1: Монтирование USB накопителя
bash
<h2 id="montirovanie-sandisk-usb">Монтирование SanDisk USB</h2>
mount -o loop sandisk_usb_image.dd /mnt/usb/
<h2 id="analiz-faylovoy-sistemy-fat32">Анализ файловой системы FAT32</h2>
ls -la /mnt/usb/
Шаг 7.2: Поиск скрытых файлов
bash
<h2 id="poisk-skrytyh-i-sistemnyh-faylov">Поиск скрытых и системных файлов</h2>
find /mnt/usb -name ".*" -o -name "*.sys" -o -name "*.dll"
<h2 id="obnaruzheny-fayly">Обнаружены файлы:</h2>
<h2 id="hidden-financial-data-txt">- .hidden_financial_data.txt</h2>
<h2 id="encrypted-wallet-dat">- .encrypted_wallet.dat</h2>
<h2 id="system32-dll-podozritelno-dlya-usb">- system32.dll (подозрительно для USB)</h2>ЭТАП 8: ИЗВЛЕЧЕНИЕ АРТЕФАКТОВ С ПОМОЩЬЮ BULK EXTRACTOR
Шаг 8.1: Извлечение email адресов
bash
<h2 id="zapusk-bulk-extractor">Запуск Bulk Extractor</h2>
bulk_extractor -o bulk_output/ dell_optiplex_image.dd
<h2 id="analiz-izvlechennyh-email-adresov">Анализ извлеченных email адресов</h2>
cat bulk_output/email.txt | head -20
<h2 id="obnaruzheny-podozritelnye-adresa">Обнаружены подозрительные адреса:</h2>
<h2 id="sergey-kozlov-fakeinvestment-com">- sergey.kozlov@fakeinvestment.com</h2>
<h2 id="clients-ponzischeme-net">- clients@ponzischeme.net</h2>
<h2 id="support-fakebank-org">- support@fakebank.org</h2>Шаг 8.2: Извлечение кредитных карт
bash
<h2 id="analiz-izvlechennyh-kreditnyh-kart">Анализ извлеченных кредитных карт</h2>
cat bulk_output/ccn.txt
<h2 id="obnaruzheny-nomera-kart">Обнаружены номера карт:</h2>
<h2 id="4532-1234-5678-9012">- 4532-1234-5678-9012</h2>
<h2 id="5555-4444-3333-2222">- 5555-4444-3333-2222</h2>
<h2 id="3782-822463-10005">- 3782-822463-10005</h2>Шаг 8.3: Извлечение URL
bash
<h2 id="analiz-izvlechennyh-url">Анализ извлеченных URL</h2>
cat bulk_output/url.txt | grep -E "(bitcoin|crypto|exchange)" -i
<h2 id="obnaruzheny-podozritelnye-sayty">Обнаружены подозрительные сайты:</h2>
<h2 id="https-fakecryptoexchange-com">- https://fakecryptoexchange.com</h2>
<h2 id="https-ponzischeme-net">- https://ponzischeme.net</h2>
<h2 id="https-fakeinvestment-com">- https://fakeinvestment.com</h2>ЭТАП 9: КОРРЕЛЯЦИЯ ДАННЫХ МЕЖДУ УСТРОЙСТВАМИ
Шаг 9.1: Создание временной линии событий
bash
<h2 id="sozdanie-vremennoy-linii">Создание временной линии</h2>
cat > financial_fraud_timeline.txt << EOF
ВРЕМЕННАЯ ЛИНИЯ ФИНАНСОВОГО МОШЕННИЧЕСТВА
2023-06-01 - Создание компании "ИнвестПроект"
2023-07-15 - Первые инвестиции от клиентов
2023-09-20 - Создание поддельных банковских сертификатов
2023-11-10 - Начало использования криптовалют для отмывания
2024-01-15 - Массовое привлечение клиентов
2024-03-20 - Создание фейкового сайта обмена
2024-06-10 - Пик привлечения средств ($8.5 млн)
2024-09-15 - Начало выплат "дивидендов" старым клиентам
2024-11-20 - Прекращение выплат новым клиентам
2024-12-15 - Попытка сокрытия следов преступления
EOF
Шаг 9.2: Анализ денежных потоков
bash
<h2 id="sozdanie-karty-denezhnyh-potokov">Создание карты денежных потоков</h2>
cat > money_flow_analysis.txt << EOF
АНАЛИЗ ДЕНЕЖНЫХ ПОТОКОВ
ВХОДЯЩИЕ СРЕДСТВА:
- Банковские переводы: $8.2 млн
- Криптовалютные переводы: $3.1 млн
- Наличные средства: $1.2 млн
ИТОГО: $12.5 млн
ИСХОДЯЩИЕ СРЕДСТВА:
- "Дивиденды" клиентам: $2.8 млн
- Личные расходы подозреваемого: $1.5 млн
- Переводы в криптовалюты: $6.2 млн
- Сокрытие в офшорах: $2.0 млн
ИТОГО: $12.5 млн
МЕТОДЫ ОТМЫВАНИЯ:
1. Переводы через криптовалютные биржи
2. Создание фейковых компаний
3. Использование подставных лиц
4. Переводы в офшорные зоны
EOF
ЭТАП 10: СОЗДАНИЕ ОТЧЕТА И ДОКАЗАТЕЛЬСТВ
Шаг 10.1: Документирование результатов
bash
<h2 id="sozdanie-itogovogo-otcheta">Создание итогового отчета</h2>
cat > financial_fraud_investigation_report.txt << EOF
ОТЧЕТ О РАССЛЕДОВАНИИ ФИНАНСОВОГО МОШЕННИЧЕСТВА
Дата расследования: 15-30 декабря 2024
Подозреваемый: Сергей Козлов, 35 лет
Тип преступления: Финансовая пирамида, отмывание денег
АНАЛИЗИРОВАННЫЕ УСТРОЙСТВА:
1. Dell OptiPlex 7090 (основной компьютер)
2. Lenovo ThinkPad X1 Carbon (ноутбук)
3. Seagate Backup Plus 2 ТБ (внешний диск)
4. SanDisk Ultra 128 ГБ (USB накопитель)
ИЗВЛЕЧЕННЫЕ ДОКАЗАТЕЛЬСТВА:
- Финансовые документы: 47 файлов
- База данных клиентов: 5,000+ записей
- Криптовалютные кошельки: 3 кошелька
- Поддельные сертификаты: 12 документов
- Схемы отмывания денег: 8 файлов
МЕТОДЫ МОШЕННИЧЕСТВА:
1. Создание финансовой пирамиды
2. Подделка банковских документов
3. Использование криптовалют для отмывания
4. Создание фейковых инвестиционных планов
5. Манипуляции с финансовой отчетностью
ОБЪЕМ УКРАДЕННЫХ СРЕДСТВ: $12.5 млн
КОЛИЧЕСТВО ПОТЕРПЕВШИХ: 5,000+ человек
ПЕРИОД ПРЕСТУПНОЙ ДЕЯТЕЛЬНОСТИ: 18 месяцев
ДОКАЗАТЕЛЬНАЯ ЦЕННОСТЬ: 100%
EOF
РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ
Количественные показатели:
- Проанализировано устройств: 4
- Создано образов дисков: 4 (общий объем 3.6 ТБ)
- Извлечено файлов: 15,247
- Восстановлено удаленных файлов: 156
- Обнаружено криптовалютных кошельков: 3
- Время анализа: 120 часов
- Доказательная ценность: 100%
Качественные результаты:
- Установлена схема финансовой пирамиды
- Доказан факт подделки документов
- Восстановлены денежные потоки
- Определены методы отмывания денег
- Создана база доказательств для судебного разбирательства
ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ
1. **Регулярные проверки**: Внедрить систему мониторинга финансовых операций
2. **Обучение инвесторов**: Проводить тренинги по выявлению финансовых пирамид
3. **Техническая защита**: Использовать блокчейн для отслеживания транзакций
4. **Международное сотрудничество**: Координировать действия с зарубежными органами
5. **Превентивные меры**: Создать базу данных подозрительных компаний
ЗАКЛЮЧЕНИЕ
Данный кейс демонстрирует эффективность комплексного анализа образов дисков при расследовании финансовых преступлений. Использование FTK Imager в сочетании с дополнительными инструментами позволило не только извлечь доказательства, но и восстановить полную картину мошеннической схемы.
Ключевые факторы успеха:
- Правильное создание криминалистических образов
- Систематический анализ всех устройств
- Восстановление удаленных данных
- Корреляция информации между устройствами
- Тщательное документирование процесса
Результаты расследования стали основой для возбуждения уголовного дела и взыскания компенсации ущерба в размере $12.5 млн с подозреваемого.
---
**⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.
