Исследование временных маркеров цифровых сигналограмм

Петров С.М. Исследование временных маркеров цифровых сигналограмм // Теория и практика судебной экспертизы. 2021. Т. 16. № 1. С. 69–77. https://doi.org/10.30764/1819-2785-2021-1-69-77

Введение

Цифровые сигналограммы уже около 15 лет являются типовыми объектами криминалистической экспертизы видео- и звукозаписей. За это время в рамках данной экспертизы оформился не выделяемый формально, но решающий специфические задачи и требующий специфических методов исследования «подвид» экспертизы, который можно условно назвать техническим исследованием сигналограмм (ТИС). Предмет ТИС составляет определение способа, места, времени и технических средств изготовления цифровых фотографий, видеои звукозаписей (цифровых сигналограмм).

До недавнего времени в большинстве случаев все решаемые на практике задачи ТИС сводились к определению способа изготовления сигналограммы, а точнее к решению вопроса, не изготовлена ли сигналограмма способом монтажа [1–3]. Однако накопление и осмысление экспертного опыта, необходимость обеспечить соответствие возможностей экспертизы запросам инициаторов ее назначения постепенно приводят к тому, что круг задач, решаемых ТИС, расширяется. На практике это означает, что экспертам все чаще приходится устанавливать, когда изготовлена сигналограмма, является ли она сигналограммойоригиналом, копией файла сигналограммы-оригинала или копией, изготовленной иным способом. Для того чтобы ответить на эти вопросы, эксперт должен выявить некие признаки, позволяющие определить в том числе дату и время изготовления сигналограммы. Такие признаки можно назвать маркерами времени.

Накопленный опыт производства экспертиз позволяет выделить достаточно полный перечень маркеров времени, что дает возможность с определенной точностью датировать события, зафиксированные записью, или технологические операции, производившиеся в процессе изготовления исследуемой сигналограммы.

Аппаратно-зависимые маркеры времени

Анализ большого количества цифровых сигналограмм показывает, что в качестве временных маркеров могут выступать:

• порядковый номер записи, явно указанный в имени файла сигналограммы;

• порядковый номер первого кластера носителя записи, занятый файлом сигналограммы;

• время записи, указанное в имени файла сигналограммы;

• временные атрибуты файла сигналограммы;

• временные атрибуты в метаданных файла сигналограммы;

• показания часов реального времени в текстовом потоке файла сигналограммы;

• показания часов реального времени в поле кадра видеограммы.

Очевидно, что перечисленные маркеры формируются комплексом аппаратно-программных средств, используемых для изготовления сигналограммы, и таким образом являются аппаратно-зависимыми маркерами времени. Перечисленные маркеры можно разделить на порядковые и собственно временные.

Порядковые маркеры позволяют определить место исследуемой сигналограммы в последовательности сигналограмм, записанных одним и тем же устройством документирования. Из этого явно следует, что порядковые маркеры являются информативными, только когда возможно исследовать несколько сигналограмм, созданных одним устройством. Такое исследование позволяет определить последовательность изготовления сигналограмм. Так, можно предполагать, что из двух сигналограмм, имеющихся на запоминающем устройстве, сигналограмма FILE9517 записана раньше сигналограммы FILE9518 (рис. 1). Об этом же свидетельствуют и порядковые номера первых кластеров, принадлежащих указанным файлам [4].

Однако следует учитывать, что соотношение между номерами кластеров и порядком записи сохраняется, только когда с носителя записи в процессе его использования не удаляются ранее записанные файлы. В противном случае для определения последовательности записи файлов обязательно следует учитывать правила, в соответствии с которыми устройство документирования осуществляет запись на носитель. При этом сравнение только порядковых маркеров нескольких сигналограмм позволяет определить лишь их относительную датировку, т. е. установить, создана ли одна сигналограмма раньше или позже другой.

Собственно маркеры времени содержат сведения о времени совершения тех или иных технологических операций изготовления сигналограммы. Они могут быть представлены как в явном, так и неявном (кодированном) виде. Источником сведений о времени являются часы реального времени (ЧРВ) устройства (устройств), средствами которого изготовлена сигналограмма. В процессе изготовления сигналограммы каждому такому маркеру времени присваивается значение, соответствующее пока заниям ЧРВ на момент начала или завершения технологической операции.

Различные маркеры времени, такие как временные атрибуты файла, временные атрибуты в метаданных файла и др., в большинстве случаев не воспринимаются непосредственно в том виде, в котором они были записаны на носитель, но опосредованно, через интерфейс программ, используемых для их исследования. В результате складывается впечатление, что временные маркеры содержат значение времени в явном виде (рис. 2). Однако это не соответствует действительности.

В большинстве случаев сведения о времени хранятся на носителе записи (в его файловой системе или метаданных файла) в виде некоторого числа (рис. 3–5), определяющего обычно количество единичных отсчетов времени, прошедших с даты, принятой в качестве начала отсчета.

Так, например, современные операционные системы семейства Windows представляют дату и время как количество 100-наносекундных интервалов, прошедших с полуночи 1 января 1601 года [5]. В других операционных системах используются свои системы кодирования времени [6, 7].

На таких носителях записи, как твердотельные запоминающие устройства типа Compact Flash или Secure Digital, чаще всего используется файловая система FAT32. В этой системе атрибуты даты и времени кодируются 16-разрядным числом. Особенности формирования значения временных атрибутов файлов, записанных на такие носители различными устройствами, позволяют установить некоторые из обстоятельств записи [8]. На практике для дешифрации сведений о времени, представленных в различных системах кодирования, может быть использована программа Dcode.

В отличие от атрибутов или метаданных файла, сведения о времени в имени файла или в текстовых потоках файла могут иметь как явный (например, «Камера1_20170722 044010_20170722 052921.avi»), так и неявный вид (рис. 5, 6).

Сведения о времени записи, хранящиеся в текстовом потоке сигналограммы, часто оказываются недоступны при воспроизведении сигналограммы «бытовыми» программными проигрывателями. Специализированные проигрыватели, включаемые в комплект программного обеспечения систем видеорегистрации, способны извлекать сведения из текстового потока и отображать их непосредственно в поле кадра (в виде субтитров) или в отдельном поле окна проигрывателя (рис. 7).

При анализе временных маркеров обязательно следует учитывать то обстоятельство, что большинство распространенных систем кодирования времени оперирует всемирным координированным временем (Coordinated Universal Time, UTC). При декодировании временных маркеров устройство воспроизведения автоматически корректирует полученный результат с учетом часового пояса. В результате такая программа, как, например, проводник Windows, будет отображать разное значение временных атрибутов одного и того же файла в разных часовых поясах. Самым простым способом избежать подобных искажений информации о времени является изменение настроек даты и времени на компьютерах, на которых проводится исследование, на часовой пояс UTC.

Криминалистический анализ аппаратно-зависимых маркеров времени

Сравнительный анализ различных аппаратно-зависимых маркеров времени позволяет выдвинуть версии о способе изготовления сигналограммы. Для этого необходимо иметь сведения, на каком этапе создания сигналограммы присваиваются значения тем или иным маркерам времени. Эмпирические сведения, полученные в результате анализа различных устройств документирования и сигналограмм различных форматов, позволяют говорить, что для сигналограммы-оригинала единственным источником сведений о времени являются часы реального времени устройства документирования. Из этого следует, что значения всех маркеров, отображающих одну и ту же стадию технологического процесса изготовления сигналограммы, совпадают. Так, например, атрибуту времени создания файла сигналограммы-оригинала обычно присваивается значение, соответствующее времени начала записи по показаниям ЧРВ устройства документирования, атрибуту времени последнего изменения – значение, соответствующее времени окончания записи.

Показания ЧРВ в первом и последнем кадре видеозаписи должны совпадать со значениями соответствующих временных атрибутов файла (с точностью, которая обусловлена алгоритмами работы встроенного программного обеспечения устройства документирования). Если файл содержит блоки метаданных, в которых предусмотрены временные маркеры, содержащие сведения о времени начала и/или окончания кодирования, то значения этих маркеров будут совпадать с атрибутами времени создания и времени последнего изменения файла. Разница между временными маркерами, связанными с началом и окончанием съемки, будет соответствовать длительности записи.

В случае, когда файл сигналограммы копируется на другой носитель, атрибут времени создания файла изменяется и принимает значение, соответствующее времени копирования. При передаче файла по сети или его записи на оптический диск всем временным атрибутам файла обычно присваиваются новые значения. В случае повторного кодирования фактически создается новый файл, и, соответственно, все маркеры времени, за исключением показаний ЧРВ в поле кадра, создаются заново и им присваиваются значения, соответствующие показаниям ЧРВ устройства, на котором осуществлялось повторное кодирование.

Большинство устройств документирования формируют запись о файле в таблице FAT в момент начала записи. Поскольку в этот момент время окончания записи еще неизвестно, имя файла, содержащее сведения о времени начала и окончания съемки, не может быть сформировано. Имена такого формата характерны для файлов видеограмм, записанных системами видеорегистрации, однако создаются они не в момент начала съемки, а при экспорте фрагмента записи на внешний носитель.

Таким образом, руководствуясь сведениями, полученными при сопоставлении маркеров времени с учетом механизма их образования, можно диагностировать факт внесения изменения в атрибуты файла, факты копирования файла сигналограммы на другой носитель или факт ее повторного кодирования (перезаписи), т. е. решить некоторые задачи диагностики способа изготовления сигналограммы. Например, только на основании сведений о файлах видеозаписи, приведенных в таблице, можно сделать вывод, что на один из файлов необходимо обратить особое внимание.

Аппаратно-независимые маркеры времени

Несмотря на то что аппаратно-зависимые маркеры содержат в том числе информацию о времени записи, их применение для датирования ограничено, т. к. ЧРВ устройства документирования (или иного устройства, использовавшегося для создания сигналограммы), являются автономным устройством, и экспертным путем только в отдельных случаях возможно установить, насколько их показания соответствовали действительному времени на момент записи. В связи с этим большое значение приобретают маркеры времени, которые сформированы внешними по отношению к устройствам съемки и записи явлениями, поэтому их можно назвать аппаратно-независимыми.

Эти явления могут непосредственно фиксироваться устройством документирования или оказывать на него такое влияние, которое приводит к тем или иным изменениям записываемого сигнала. Как следствие, аппаратно-независимые маркеры всегда являются частью записанного сигнала той сигналограммы, датировку которой необходимо произвести.

В качестве аппаратно-независимых маркеров могут выступать единичные или периодические события и непрерывные процессы, зафиксированные устройством документирования в случае, если они могут быть датированы с требуемой точностью, и источником сведений о времени их возникновения и развития не является само устройство документирования.

Маркером времени может выступать, в принципе, любое зафиксированное на видеозаписи событие, однако на практике приходится сталкиваться с тем, что не всякое из них может быть датировано. Так, например, если на записи зафиксировано, что некий неустановленный фигурант пользуется услугами банкомата, датировать время этого события крайне сложно, несмотря на то что все операции банкомата документируются. Вместе с тем, если два фигуранта пользуются услугами двух разных банкоматов одновременно, сопоставление списка операций каждого из них позволяет решить поставленную задачу (рис. 8).

Таким образом, при исследовании датируемой видеозаписи одной из задач эксперта становится не просто поиск каких-либо событий, но и оценка возможностей их датирования теми или иными способами.

Очевидно, что лучшими маркерами времени будут выступать такие, датировка которых не вызывает затруднений. Чаще всего это астрономические события. Вычисление времени на основе положения небесных тел, в том числе по длине и направлению теней, является одной из популярных задач прикладной астрономии [9, 10]. Современные информационные системы предоставляют дополнительные возможности.

Однако следует отметить, что, с одной стороны, для определения длины и направления тени по фотоили видеоизображению нередко необходимо применять достаточно трудоемкие методы трехмерного моделирования, с другой – достигаемая точность вычислений не позволит отличить полдень понедельника от полдня вторника. В силу периодичности астрономических явлений неотличимыми будут и любые два события, отстоящие одно от другого на время, кратное солнечному году. По этой причине метод датирования событий по астрономическим явлениям может иметь некоторые ограничения в использовании.

Одним из самых эффективных методов датирования записей с использованием аппаратно-независимых временных маркеров является метод, основанный на выделении в записанном сигнале гармоник частоты электрической сети и сопоставление ее колебаний с данными мониторинга, который ведется генерирующими предприятиями. Данный метод может быть применен для точной датировки как фонограмм [11, 12], так и видеограмм [13].

Абсолютная и относительная датировка событий

Как известно, в различных научных дисциплинах, рассматривающих датировку событий, может использоваться как относительная хронология – установление возраста фактов и явлений в терминах относительного времени при их соотнесении с другими фактами (до того как / после того как), так и абсолютная хронология – датировка факта или явления в терминах реального времени [14].

В практике криминалистической экспертизы видеои звукозаписей задачи датировки пока должным образом не освещены в методических публикациях, в связи с чем их решение не лишено некоторых ошибок. Наиболее распространены ошибки, обусловленные неверным пониманием относительной хронологии. Так, исходя из значений временных атрибутов файла или показаний ЧРВ в кадре видеозаписи, эксперт приходит к выводу о том, что видеозапись снята в такое-то время, и далее указывает, что указанная датировка является относительной, поскольку соответствие показаний ЧРВ и действительного времени на момент съемки установить невозможно. Как следует из определения относительной датировки, она может быть сделана в отношении фактов и явлений только при их соотнесении с другими фактами и явлениями. Соответственно, осуществляя относительную датировку, эксперт должен был сделать вывод, что, например, одна видеозапись снята позже другой. В рассматриваемом же случае необходимо было найти маркеры времени, позволяющие выполнить абсолютную датировку по одной видеозаписи или относительную – по нескольким, а при отсутствии таких маркеров – сделать вывод о невозможности датировки.

Показания ЧРВ на видеозаписи в любом их виде могут служить основанием для относительной датировки, только когда они сравниваются с показаниями ЧРВ другой видеозаписи. При этом должно быть достоверно известно, что обе видеозаписи сняты одним устройством, в работу ЧРВ которого не вносились изменения, или разными устройствами, имеющими общий источник сведений о времени (например, различными камерами одной системы видеонаблюдения).

При возможности выполнить абсолютную или относительную датировку все маркеры времени можно разделить на абсолютные и относительные. Однако следует учитывать, что для относительной датировки необходимо сопоставить несколько одноименных маркеров.

Заключение

Описание и классификация основных маркеров времени позволяют целенаправленно использовать их в экспертной практике для того, чтобы получить дополнительные сведения для диагностики способа изготовления сигналограммы, выполнить относительную или абсолютную датировку зафиксированных событий или технологических процессов изготовления сигналограммы.

Для развития и совершенствования данного направления исследования звукои видеозаписей требуется накопление и обобщение практического опыта, что позволит расширить перечень используемых временных маркеров и разработать детальные методические рекомендации по их исследованию.

Список литературы:

1. Хуртилов В.О., Назарова Т.В., Манянин П.А., Серебряков И.А., Лебедев К.А. Типовая методика технического исследования фонограмм. М.: ЭКЦ МВД России, 2009. 96 с.

2. Кочетков А.Т., Матеркин В.А., Охотников А.А. Криминалистическое исследование видеограмм. Информационное письмо. М.: ГУ ЭКЦ МВД России, 2003. 24 с.

3. Каганов А.Ш. Средства фонои видеотехники как источник доказательственной информации / Вещественные доказательства. Информационные технологии процессуального доказывания / Под общ. ред. В.Я. Колдина. М.: Норма, 2002. С. 674–709.

4. Carrier B. File System Forensic Analysis. AddisonWesley Professional, 2005. 600 p.

5. Cho G-S. A Computer Forensic Method for Detecting Timestamp Forgery in NTFS // Computers & Security. 2013. Vol. 34. P. 36–46. https://doi.org/10.1016/j.cose.2012.11.003

6. Kaart M., Laraghy S. Android Forensics: Interpretation of Timestamps // Digital Investigation. 2014. Vol. 11. No, 3. P. 234–248. https://doi.org/10.1016/j.diin.2014.05.001

7. Bradley J. File System. In: Bradley J. OS X Incident Response. Scripting and Analysis. Syngress, 2016. P. 49–89. https://doi.org/10.1016/ B978-0-12-804456-8.00004-2

8. Бояров А.Г. Способы выявления признаков изменений видеои звукозаписей, произведенных после процесса записи, на цифровых накопителях с файловыми системами FAT16 и FAT32. (Методические рекомендации для экспертов) // Теория и практика судебной экспертизы. 2014. № 3 (35). С. 76–92.

9. Wang Ch. A New Method of Measuring the Shadow Length / Proceedings of the 2016 6th International Conference on Machinery, Materials, Environment, Biotechnology and Computer (Tianjin, China, June 11–12, 2016). 2016. https://doi.org/10.2991/mmebc-16.2016.211

10. Sandnes F.E. Determining the Geographical Location of Image Scenes Based on Object Shadow Lengths // Signal Processing Systems. 2011. Vol. 65. P. 35–47. https://doi.org/10.1007/s11265-010-0538-x

11. Grigoras C., Smith J.M. Audio Enhancement and Authentication. In: Siegel J.A., Saukko P.J., Houck M.M. (eds). Encyclopedia of Forensic Sciences. Elsevier, 2013. P. 315–326. https:// doi.org/10.1016/b978-0-12-382165-2.00128-8

12. Бессонов А.А., Бояров А.Г., Степанов М.В. Метод производства судебной экспертизы фонограмм с использованием данных о частоте электрического тока сети // Теория и практика судебной экспертизы. 2019. Т. 14. № 2. С. 43–50. https://doi.org/10.30764/1819-2785-2019-14-2-43-50

13. Garg R., Varna A.L., Hajj-Ahmad A., Min Wu. “Seeing” ENF: Power-Signature-Based Timestamp for Digital Multimedia via Optical Sensing and Signal Processing // IEEE Transactions on Information Forensics and Security. 2013. Vol. 8. No. 9. P. 1417–1432. https://doi.org/10.1109/tifs.2013.2272217

14. Пронштейн А.П., Кияшко В.Я. Хронология / Под ред. В.Л. Янина. М.: Высшая школа, 1981. 191 c.