:: LEX :: ПОИСК И ОТОБРАЖЕНИЕ ЦИФРОВЫХ СЛЕДОВ УДАЛЕННЫХ ИЗОБРАЖЕНИЙ
   
 
  Головна
  Як взяти участь в науковій конференції?
  Календар конференцій
  Акція! 100 грн на мобільний
  Наші збірники

Актуальні дослідження правової та історичної науки (випуск 32)

Термін подання матеріалів

13 травня 2021

До початку конференції залишилось днів 1


  Наукові конференції
 

  Корисні правові інтернет ресурси
 

 Корисні лінки
 
Нові вимоги до публікацій результатів кандидатських та докторських дисертацій
Юридичний форум
Законодавство України
Єдиний державний реєстр судових рішень


 Лічильники


 Лінки


 Наша кнопка
www.lex-line.com.ua - Міжнародні науково-практичні інтернет-конференції за різними юридичними напрямками

ПОИСК И ОТОБРАЖЕНИЕ ЦИФРОВЫХ СЛЕДОВ УДАЛЕННЫХ ИЗОБРАЖЕНИЙ
 
05.02.2020 12:42
Автор: Иванов Владимир Георгиевич, доктор технических наук, кафедра криминалистики, Национальный юридический университет им. Я. Мудрого
[Секція 4. Кримінальне право. Кримінальне процесуальне право. Криміналістика. Кримінологія. Кримінально-виконавче право. Медичне право. Судові та правоохоронні органи. Адвокатура]

Очень важной задачей правоохранительных органов на современном этапе является задача по выявлению и раскрытию преступлений, связанных с изготовленим и распространением детской порнографии в сети Internet. При этом основным следственным деяствием является процесс поиска и отображения удаленных фотографий интимного содержания на компьютере потерпевшего и подозреваемого [1].

При записи данных на компьютер файловая система осуществляет размещение информации на магнитном диске не большими порциями, кластерами. Номера кластеров, которые заняты тем или иным файлом, а так же номера свободных кластеров хранит таблица размещения файлов. При удалении файла в его имени и в таблице устанавливается соответствующая метка, которая указывает, что кластеры этого файла являются свободными для записи новых файлов, но сами данные в этих кластерах остаются без изменения и могут быть легко восстановлены, пока эта область фактически не будет перезаписана. Когда файл удаляется при помощи специальной программы-шредера, которая многократно перезаписывает содержимое кластеров файла случайными данными, то восстановить удаленный файл нельзя.

Обратим внимание на некоторые особенности операционной системы Windows при работе с изображениями. Речь идет о файле Thumbs.db [2]. Thumbs.db является системным элементом, в котором хранятся кэшированные эскизы картинок для предварительного просмотра следующих форматов: PNG, JPEG, HTML, PDF, TIFF, BMP и GIF. Эскиз генерируется при первом просмотре пользователем изображения в файл, который по своей структуре соответствует формату JPEG независимо от формата исходника. В дальнейшем этот файл (Thumbs.db) операционная система использует для реализации функции просмотра миниатюр изображений при помощи Проводника. Благодаря данной технологии ОС не нужно каждый раз сжимать изображения для формирования миниатюр, тем самым расходуя вычислителные ресурсы системы. Теперь для этих нужд компьютер будет обращаться к элементу, в котором уже расположены миниатюры картинок.

Объекты Thumbs.db нельзя увидеть в обычном режиме работы Windows, так как данные файлы по умолчанию являются скрытыми. В ранних версиях Windows они располагаются практически в любом каталоге, где имеются картинки. В современных версиях для хранения файлов данного типа существует отдельная директория в каждом профиле. 

Если безвозратно удалить какое либо изображение с диска (из корзины), то эскиз удаленной картинки по прежнему останется на месте в файле базы данных Thumbs.db. Таким образом с помощью специального программного обеспечения (ПО) сохраняется возможность узнать, какие же фотографии ранее хранились на компьютере.

Чтобы увидеть файл Thumbs.db (рис.1) надо включить отображение скрытых файлов:ПапкаСервисСвойства папокВидОбласть «Дополнительные параметры»Переключатель «Показывать скрытые файлы и папки»Убрать флажок «Скрывать защищенные системные файлы». Как видим, в Windows XP объекты Thumbs.db располагаются в той же папке, где находились соответствующие картинки. 




Вернемся к нашему рис.1 и безвозратно удалим из папки изображение 3.jpg.JPG. Теперь попробуем просмотреть файл Thumbs.db. Сразу нужно сказать, что встроенными инструментами операционной системы сделать это невозможно. Придется применять стороннее ПО. Такой программой, которая позволит просмотреть нам данные из Thumbs.db, является Thumbnail Database Viewer, которая находится в свободном доступе в Internet и не требует инсталляции. Программа просмотра запускается из архива Thumbnail Database Viewer.zip (рис.2).




С помощью навигационной области слева (рис.2). перейдите к тому каталогу, в котором находятся интересующие вас эскизы. Произведите его выделение и щелкните «Search». После завершения поиска в специальном поле слева внизу отображаются адреса всех найденных в указанной директории объектов Thumbs.db. Для того, чтобы посмотреть, какие картинки в себе содержит конкретный объект, просто выделяем его. В правой части окна программы отобразятся все картинки, эскизы которых он хранит, в том числе и эскиз удаленного файла 3.jpg.JPG.  

Начиная с Windows Виста, под хранение кэшированных изображений была выделена отдельная директория для каждой учетной записи. 

Она располагается по следующему адресу: C:Usersнаименование_профиляAppDataLocalMicrosoftWindowsExplorer. Как и в предыдущем примере в отдельной папке создадим два изображения (рис.3), а затем одно из них удалим безвозвратно (с красной меткой). 







Для просмотра дириктори кэшированных изображений нашей учетной записи используем программу Thumbcache Viewer с открытым доступом в сети Internet. Из скаченного архива запускаем файл Thumbcache_ viewer.exe и в появившемся окне последовательно нажимаем пункты «File» и «Open» (рис.4). После этого выделяем объект thumbcache_ 256 (рис.5) и жмем кнопку «Открыть». Открывается список изображений (рис.6), которые содержит конкретный объект эскизов. Изображения, которые редактировались последними, расположены в самом низу списка. Для просмотра изображения достаточно просто выделить его наименование в перечне и оно отобразится в дополнительном окошке. Следует особо отметить, что даже при удалении нашей папки Эскизы2 целиком, эскизы изображений все равно сохраняются в списке изображений. Эта технология принципиально отличается от технологии в Windows XP, в которой при удалении папки увидеть эскизы изображений нельзя.

Литература:

1. Федотов Н.Н. Форензика – компьютерная криминалистика – М.: Юридический Мир, 2007. – 432 с.

2. Тютюшев М. Файл эскизов thumbs.db. [Електронний ресурс]. — Режим доступа: https://lumpics.ru/what-is-the-file-thumbs-db/. 



допомогаЗнайшли помилку? Виділіть помилковий текст і натисніть Ctrl + Enter




 Інші наукові праці даної секції
ПСИХОЛОГІЧНІ МАНІПУЛЯЦІЇ ПРАВООХОРОННИХ ОРГАНІВ
22.01.2020 15:56
НОРМАТИВНЕ ЗАБЕЗПЕЧЕННЯ ЗАПОБІГАННЯ ТА ПРОТИДІЇ ДОМАШНЬОМУ НАСИЛЬСТВУ У ТУРЕЧЧИНІ
15.01.2020 10:55
ДО ПИТАННЯ ПРО ЕФЕКТИВНІСТЬ СУДУ ПРИСЯЖНИХ НА СУЧАСНОМУ ЕТАПІ РОЗВИТКУ ПРАВОВОЇ ДЕРЖАВИ ТА ГРОМАДЯНСЬКОГО СУСПІЛЬСТВА В УКРАЇНІ
06.02.2020 21:28
УДОСКОНАЛЕННЯ ЗАКОНОДАВЧОГО РЕГУЛЮВАННЯ ІНСТИТУТУ РЕЧОВИХ ДОКАЗІВ У КРИМІНАЛЬНОМУ ПРОВАДЖЕННІ
06.02.2020 20:58
АКТУАЛЬНІ ПИТАННЯ ВДОСКОНАЛЕННЯ ІНСТИТУТУ ПІДСЛІДНОСТІ КРИМІНАЛЬНИХ ПРОВАДЖЕНЬ
06.02.2020 13:31
ВПЛИВ РІШЕНЬ ЄВРОПЕЙСЬКОГО СУДУ З ПРАВ ЛЮДИНИ НА ЗАБЕЗПЕЧЕННЯ ПРАВ ЗАСУДЖЕНИХ
02.01.2020 16:47
ПРОЦЕСУАЛЬНИЙ СТАТУС ДІЗНАВАЧА У КРИМІНАЛЬНОМУ ПРОВАДЖЕННІ
01.02.2020 18:36




© 2006-2021 Всі права застережені При використанні матеріалів сайту посилання на www.lex-line.com.ua обов’язкове!


 Голосування 
З яких джерел Ви дізнались про нашу конференцію:

соціальні мережі;
інформування електронною поштою;
пошукові інтернет-системи (Google, Yahoo, Meta, Yandex);
інтернет-каталоги конференцій (science-community.org, konferencii.ru, vsenauki.ru, інші);
наукові підрозділи ВУЗів;
порекомендували знайомі.
з СМС повідомлення на мобільний телефон.


Результати голосувань Докладніше