Всего несколько лет назад практически всё, что эксперт видел на экране компьютера, можно было найти на пластинах жёсткого диска. Найти, извлечь и внимательно исследовать. Сегодня же ситуация другая. Отключить компьютер, вынуть диски, снять образы… Подход — правильный, но почему, когда компьютер работал, на экране были видны сотни файлов, а в образе диска их нет?  Возможно, дело в частичной синхронизации, или синхронизации «по запросу», а сами файлы спокойно лежат в «облаке» Dropbox или OneDrive. Как добраться до этих данных, не затерев случайно другие улики? Попробуем разобраться.

Что происходит с «облачными» файлами?

Суть проблемы — в бесшовной интеграции таких сервисов, как Microsoft OneDrive и Dropbox. Благодаря функциям синхронизации по запросу (в этом режиме облака работают по умолчанию) файловая система превращается в своеобразный индекс, где имя файла в папке совершенно не гарантирует физического наличия данных на диске. В «облачной» папке могут отображаться гигабайты документов со всеми метаданными, но физически на локальном диске этих данных может не быть. Таким образом экономится место на диске, особенно в корпоративной среде, где объёмы данных в облачном хранилище могут в разы превышать объёмы локальных пользовательских накопителей. В такой гибридной среде специалист сталкивается с дилеммой: снять образ диска и получить набор бесполезных ссылок — или попытаться провести анализ «по живому», неизбежно и безвозвратно изменяя содержимое анализируемого накопителя.

Традиционный подход и анализ на месте

Классический подход — отключение питания, извлечение накопителей, снятие образа и работа с копией данных, — ставит во главу угла неизменность данных. Эксперт извлекает накопитель и подключает его через аппаратный блокиратор записи, создавая точную копию — криминалистический образ. Этот метод обеспечивает достоверность: контрольные суммы оригинала и копии совпадают, минимизируя риски признания доказательства недопустимым. Это медленный, методичный процесс, призванный «заморозить» состояние системы на момент изъятия.

В противовес этому, оперативный сбор и первичный анализ ключевых данных (цифровой триаж) ориентирован на скорость, что особенно важно на начальном этапе расследования. Работа с авторизованной сессией на загруженном компьютере позволяет обойти шифрование BitLocker или VeraCrypt, которые намертво заблокируют доступ к данным при потере питания. Этот метод позволяет получить результат здесь и сейчас, но за скоростью следует расплата: нарушается базовый принцип соблюдения достоверности данных. Любое действие — подключение USB-накопителя с инструментами, запуск утилит, просмотр файлов — оставляет след: меняются данные в оперативной памяти, реестре и системных журналах, обновляются временные метки. Такой подход требует от эксперта детального документирования каждого шага, чтобы обосновать неизбежные изменения в цифровых доказательствах перед следствием и судом. Проблема усугубляется, если в процессе перчичного эксперт попытается получить доступ к файлам, которых физически нет на компьютере подозреваемого: в этом случае они будут скачаны из облака, что приведёт к серьёзным изменениям на диске.

Иллюзия данных: как работает синхронизация по запросу

Иллюзия наличия файлов на диске создаётся за счёт механизмов файловой системы, которые отделяют метаданные от контента. OneDrive и Dropbox используют механизм reparse points файловой системы NTFS. В проводнике Windows такие файлы выглядят абсолютно обычными: у них есть имя, размер, дата создания и даже иконки предпросмотра. Однако это — лишь фасад. Реальное содержимое хранится на серверах облачного провайдера и скачивается только в тот момент, когда пользователь (или эксперт) пытается открыть файл. Пока запроса нет — на диске хранятся лишь «заглушки», но при попытке открыть файл его содержимое начнёт скачиваться из облака.

Почему традиционный образ диска больше не панацея

Когда эксперт действует по старинке — выключает компьютер и снимает образ диска, содержимое часто оказывается неполным — если вообще доступным. Даже если диск не зашифрован (а в ряде случаев он будет зашифрован), криминалистический образ сохранит лишь структуру папок и метаданные «облачных» файлов. Попытка их открыть ничего не даст: внутри файлов пусто, их нельзя просмотреть или рассчитать хеш-сумму, так как данных на диске нет физически. Ситуация усугубляется повсеместным использованием BitLocker: отключая питание, эксперт рискует навсегда потерять доступ к данным, если ключи шифрования, находившиеся в оперативной памяти, будут уничтожены.

Цена анализа «по горячим следам»: доступ в обмен на целостность

Попытка доступа к облачным файлам в ходе анализа авторизованной сессии запускает каскад процессов, которые прямо противоположны принципам достоверности. Как только эксперт пытается скопировать или просмотреть файл, существующий только в облаке, система инициирует его немедленную загрузку. И если в классическом «облачном извлечении» можно говорить о чтении данных, то здесь будет не просто скачивание из облака, но скачивание с последующей записью данных прямо на исследуемый диск — со всеми вытекающими последствиями. Помимо обновления временных меток и записей в журнале $UsnJrnl, процесс начинает активно поглощать свободное место, в процессе уничтожая потенциально доступные для восстановления артефакты в свободных секторах диска. Впрочем, последнее касается в основном традиционных жёстких дисках; восстановить что-либо из свободных областей SSD может быть крайне затруднительно и маловероятно штатными средствами.

Несмотря на очевидные недостатки, анализ загруженной системы часто остаётся единственно возможным. Если компьютер подозреваемого — единственная точка входа, где сохранены токены авторизации в облаке, у эксперта может просто не быть выбора. В отсутствие паролей к облачным сервисам скачанные «по живому» данные могут оказаться единственно доступными. В таких сценариях абстрактная чистота метода уступает место практической необходимости: эксперт осознанно жертвует целостностью ради получения самих файлов.

А если совместить?

Всегда ли нужно выбирать между анализом загруженной системы (с описанными выше рисками) и снятием образа диска, что гарантирует неизменность данных? Нельзя ли как-то совместить оба процесса? Оказывается — можно. Принятый ещё в 2002 году стандарт RFC 3227 (используется в качестве методической рекомендации) предписывает начинать сбор данных с самых эфемерных.

На практике это означает следующий пошаговый алгоритм гибридного извлечения:

1. Снятие дампа оперативной памяти (RAM). Первый и критически важный этап. Дамп необходим для последующего поиска ключей шифрования (BitLocker, VeraCrypt, PGP) и других эфемерных данных, которые исчезнут при перезагрузке.
2. Сохранение ключей шифрования. Извлечение ключей восстановления для зашифрованных томов (например, командой manage-bde -protectors -get drive-letter:). Важно: использование штатных средств Windows требует тщательного протоколирования, чтобы избежать обвинений в модификации среды «непроверенным» способом.
3. Создание образа диска. Снятие физического образа накопителя для последующего офлайн-анализа. Для этого идеально подходит наша утилита Elcomsoft Disk Imager, оптимизированная для работы в портативном режиме. Это действие «замораживает» состояние файловой системы до начала активных манипуляций.
4. Первичный сбор и оперативный анализ. Только после выполнения пунктов 1-3 можно приступать к взаимодействию с «облачными» файлами. Теперь эксперт может открывать документы и инициировать их скачивание из облака.

Даже если в ходе последнего этапа данные на диске будут модифицированы (изменятся хэши, перезапишется свободное место), у специалиста останется оригинальный образ, полученный на предыдущем этапе, который можно будет расшифровать при помощи ранее извлечённых ключей.

Заключение

В современных условиях эксперту необходимо отказаться от устаревших догм в пользу гибридного подхода, опирающегося на порядок волатильности данных. Первым шагом при работе с включённым устройством становится не хаотичный просмотр папок, а хирургически точное извлечение дампов памяти и ключей шифрования. Лишь после фиксации этих волатильных данных и создания физического образа диска (что гарантирует наличие неизменной копии оригинала) можно переходить к активному анализу загруженной системы.

Однако, выбирая этот путь, нельзя забывать о процессуальной безопасности. Поскольку «горячий» анализ и скачивание файлов из облака неизбежно изменяют хэш-суммы накопителя, критически важно обеспечить легитимность этих действий. Применение технических средств фиксации (непрерывная видеозапись экрана) и участие понятых — это не просто формальность, а необходимая страховка специалиста от обвинений в фальсификации доказательств или нарушении ст. 272 УК РФ. Важно понимать: изменения цифровой среды допустимы, если они обоснованы выбранной методикой и необходимы для сбора доказательств, но каждое такое действие должно быть скрупулёзно задокументировано в протоколе.

О правовых нюансах доступа к цифровым доказательствам — в нашем блоге:

• Получение доступа к конфиденциальным данным в условиях правовой неопределённости
• Цифровая криминалистика и криминалистическая чистота: в правовом поле и в реальном мире
• Искусственный интеллект в судебной практике: пока больше помеха, чем помощник