Видеорегистратор как объект исследования судебных экспертиз

Крутов С.А. Видеорегистратор как объект исследования судебных экспертиз // Теория и практика судебной экспертизы. 2021. Т. 16. № 1. С. 114–123. https://doi.org/10.30764/1819-2785-2021-1-114-123

Введение

Видеорегистратор представляет устройство, предназначенное для записи, хранения и воспроизведения видеоинформации (видеофайлов). Видеорегистраторы достаточно популярны, они используются не только в промышленных целях, но и в быту. Благодаря большому выбору, доступности и относительно умеренной цене, видеорегистраторы становятся выбором многих людей, которые хотят организовать видеонаблюдение в офисе, магазине, загородном доме, квартире или на предприятии.

Использование видеоматериалов в качестве доказательств

Приобщение записей с камер видеонаблюдения сторонами по делу в качестве доказательств при рассмотрении в судах дел об административных правонарушениях стало возможным после вступления в силу Федерального закона № 114-ФЗ1. До принятия поправок решение о необходимости приобщения данных материалов к делу оставалось за судом.

В Уголовно-процессуальный кодекс Российской Федерации (УПК РФ), Арбитражно-процессуальный кодекс Российской Федерации (АПК РФ) и Гражданско-процессуальный кодекс Российской Федерации (ГПК РФ) указанные поправки пока не вносились, и это означает, что в данных кодексах действуют ранее введенные правила приобщения видеоматериала в качестве доказательств (ст. 64 и 89 АПК РФ, п. 1 ст. 55 ГПК РФ, п. 2 ст. 84 УПК РФ) – эти решения принимают правоохранительные органы или суд [1, 2].

Типы видеорегистраторов

Сегодня на рынке представлено большое количество видеорегистраторов разных производителей и с разным набором функций. В целом их можно разделить на следующие группы.

1. Сетевой стационарный видеорегистратор. В устройстве данного типа используются IP-видеокамеры – цифровые видеокамеры, которые передают видеопоток в цифровом формате по локальной сети или сети Ethernet с использованием протокола передачи данных IP (каждой камере присваивается свой IP-адрес).

2. Гибридный стационарный видеорегистратор. Видеорегистраторы данного типа могут работать как с аналоговыми, так и с IP-видеокамерами. Аналоговая видеокамера – устройство, предназначенное для преобразования оптического изображения в аналоговый видеосигнал, для чего используются специальные интегральные микросхемы, так называемые ПЗС-матрицы, – микросхемы из светочувствительных фотодиодов, выполненных на основе кремния, и использующие технологию управляемого переноса заряда в объеме полупроводника.

3. Система видеонаблюдения на основе персонального компьютера с платой захвата и обработки видеосигнала и подключенными к данной плате камерами.

4. Стационарный видеорегистратор, работающий только с аналоговыми видеокамерами.

В отдельную группу можно выделить так называемые автомобильные видеорегистраторы, а также IP-видеокамеры (например, для наблюдения за ребенком из соседней комнаты). Их исследование, как правило, сводится к анализу установленной в них карты памяти формата SD (microSD), отформатированной в файловую систему FAT32 или extFAT.

Остановимся более подробно на стационарных видеорегистраторах.

Конструктивные особенности стационарных видеорегистраторов

Стационарный видеорегистратор – это электронное устройство, сходное по строению с компьютером. В его состав входят: аналого-цифровой преобразователь, процессор, постоянная и оперативная память, устанавливаемый отдельно накопитель на жестких магнитных дисках (НЖМД) и другие компоненты. Для управления функциями видеорегистратора в его постоянной памяти записана микропрограмма. Многие видеорегистраторы могут подключаться к компьютерной сети для передачи видеоизображений на удаленные компьютеры.

Основной принцип работы видеорегистратора заключается в следующем. Видеосигнал поступает от камеры видеонаблюдения, обрабатывается процессором и сохраняется в виде видеопотока на установленном НЖМД. В случае использования аналоговых камер необходимо преобразование сигнала, за что отвечает аналогоцифровой преобразователь. Сохраненный видеопоток можно затем преобразовать в видеофайл и отправить его на удаленный компьютер или резервный носитель информации. Средствами программного обеспечения самого видеорегистратора возможен просмотр видеопотоков, в том числе удаленно с использованием компьютера или даже мобильного телефона.

Видеорегистратор как объект исследования комплексных экспертиз

Появление новых объектов или техническое усовершенствование уже существующих приводит к необходимости доработки имеющихся или разработке новых подходов к их исследованию. На сегодняшний день потребность следственных органов и судов в проведении исследования компьютерных средств достаточно высока, что в первую очередь связано с популярностью этих средств – сейчас они стали не только значимой частью нашей повседневной жизни (смартфоны, ноутбуки, видеорегистраторы), но и используются при совершении различных преступлений.

Аппаратные и программные возможности современных компьютерных систем позволяют видоизменять информацию внутри видеофайлов или файлов графических форматов, что может поставить под сомнение подлинность источников происхождения данных файлов. В этой связи возрастает актуальность исследований видеофайлов на предмет монтажа. И эта задача относится к компетенции экспертов в области криминалистической экспертизы видеои звукозаписей (КЭВиЗ).

При решении вопроса о монтаже на экспертизу может быть предоставлен носитель информации (флэш-накопитель, оптический диск или НЖМД), содержащий только необходимые для исследования файлы. Но может быть предоставлен и носитель, ранее установленный в какой-либо компьютерной системе, например, в видеорегистраторе или персональным компьютере. В этом случае, помимо искомых файлов или видеозаписей, носитель информации будет содержать и иные данные, в том числе других форматов. Тогда до решения основного вопроса (поиска признаков монтажа в видеофайлах) сначала необходимо найти интересующие файлы или видеозаписи. Решение этой задачи уже выходит за рамки КЭВиЗ: поиск файлов определенных категорий или видеозаписей, например за конкретный промежуток времени, решается в рамках судебной компьютерно-технической экспертизы (СКТЭ). Таким образом, при решении вопроса о монтаже проведение только КЭВиз может быть недостаточным – потребуется привлечение эксперта-компьютерщика.

Существует ряд иных вопросов, в частности о метаданных файлов, дате записи на носитель информации, изменении системного времени компьютерного средства, которые относятся к СКТЭ. Эти вопросы следственные органы также могут ставить перед экспертами наряду с вопросом о внесении изменения в содержимое файла (монтаже) [3–7].

Потребность в привлечении эксперта для проведения компьютерно-технического исследования нередко возникает при производстве лингвистических или психологических экспертиз. В этом случае задачи будут аналогичны тем, что могут возникнуть в ходе КЭВиЗ, – это определение метаданных файлов, поиск определенных категорий файлов и т. д. [8].

Таким образом, научно-технический прогресс в области компьютерной техники, популярность и частота использования электронных устройств в повседневной жизни определенным образом повлияли и на судопроизводство, а также на судебную экспертизу. Все чаще для решения тех или иных задач при различных исследованиях требуется привлекать экспертов в области компьютерной техники, появилась необходимость в проведении комплексных экспертиз с обязательным участием экспертов СКТЭ.

Видеорегистратор как объект исследования СКТЭ

Как было показано ранее, а также в связи с конструктивными особенностями и принципом работы рассматриваемых устройств, любой из представленных сегодня на рынке стационарных видеорегистраторов прежде всего является объектом компьютерно-технической экспертизы.

Изучение вопросов, связанных с исследованием стационарных видеорегистраторов, входит в программу дополнительной профессиональной подготовки государственных судебных экспертов системы Минюста России по специальности 21.1 «Исследование информационных компьютерных средств». Эти вопросы рассматриваются также при проведении стажировок, семинаров, курсов повышения квалификации государственных судебных экспертов.

Исходя из статистки ФБУ РФЦСЭ при Минюсте России, экспертизы по исследованию видеорегистраторов по сравнению с иными экспертизами, объектами исследования которых являются, например мобильные телефоны или персональные компьютеры, назначаются достаточно редко. Основной причиной этого является простота эксплуатации и получения видеоинформации с данных устройств: чтобы просмотреть записи с камер видеонаблюдения в большинстве случаев не нужны специальные знания в области компьютерной техники. Многие стационарные видеорегистраторы конструктивно и программно рассчитаны на обычных пользователей. Таким образом, следователь в ходе выемки или проведения осмотра видеорегистратора может получить необходимые ему записи с камер видеонаблюдения с участием технического специалиста. И тогда необходимость в привлечении эксперта к решению задачи получения видеозаписи отпадает.

Однако может получиться, что при осмотре необходимой видеозаписи среди прочих не окажется, или она будет повреждена, или будет поврежден сам видеорегистратор или носитель информации. В этом случае следователю потребуется не только специалист, обладающий специальными знаниями в компьютерной технике, но и специализированное программное обеспечение для анализа структур файловых систем и видеозаписей видеорегистратора. У технического специалиста, принимающего участие в выемке или осмотре, имеется достаточно знаний в области компьютерной техники, но зачастую не хватает специализированных средств, поэтому следователю для выявления всех обстоятельств дела необходимо изымать видеорегистратор и обращаться в экспертную организацию. Кроме того, лишь судебной экспертизе присуща процессуальная форма, гарантирующая соблюдение интересов всех участников судопроизводства, а также достоверность выводов эксперта [9–12].

Особенности исследования видеорегистраторов в рамках СКТЭ

Основной задачей при исследовании видеорегистраторов в рамках судебной компьютерно-технической экспертизы является поиск записей с камер видеонаблюдения, в том числе за указанный промежуток времени. Затем эти видеозаписи нужно сохранить в виде файлов, скопировать их и предоставить лицу или органу, назначившему исследование. При этом важно, что видеозаписи необходимо предоставить в «читаемом» виде, т. е. видеофайлы нужно сохранить в известном формате (например, в расширении .avi), чтобы следователь или суд смогли просмотреть их на любом устройстве.

Вопросы, которые могут ставиться следователем или судом при проведении исследования стационарного видеорегистратора, могут звучать так:

• Имеются ли на представленном на исследование видеорегистраторе записи с камер видеонаблюдения?

• Имеются ли на представленном видеорегистраторе записи с камер видеонаблюдения за следующий промежуток времени <указывается необходимый временной промежуток>?

Может быть поставлен и ряд других вопросов относительно информации из системного журнала видеорегистратора или удаленных видеозаписей. Что касается удаленных файлов, то в алгоритме работы любого видеорегистратора заложена цикличность. Это означает, что по мере заполнения памяти носителя информации, установленного в видеорегистратор, более ранние записи с камер видеонаблюдения удаляются, и на их место записываются новые. Восстановление удаленных таким образом видеозаписей не представляется возможным.

Основной спецификой видеорегистраторов, которая может вызвать определенные трудности, является файловая система носителей информации – НЖМД, на котором размещаются видеозаписи. Данная файловая система создается средствами самого видеорегистратора при инициализации НЖМД в видеорегистраторе, а точнее средствами его операционной системы. Большинство специализированного программного обеспечения, используемого при производстве СКТЭ, не способно идентифицировать и прочесть файловые системы стационарных видеорегистраторов. Более того, в алгоритме работы данных программ вообще не предусмотрена работа с файловыми системами почти всех ныне существующих стационарных видеорегистраторов, что объясняется самобытностью этих файловых систем и их редкостью. Тем не менее некоторые разработчики программного обеспечения создали программы для исследования НЖМД видеорегистраторов, например, программу DVD Examiner. В некоторых случаях можно идентифицировать файловую систему НЖМД видеорегистратора в операционной системе Linux на стендовом компьютере эксперта.

Таким образом, основной подход к исследованию видеорегистраторов на сегодняшний день сводится к следующему. Из видеорегистратора извлекают НЖМД и при помощи соответствующего оборудования или программного обеспечения (например, аппаратно-программных комплексов Tableau TX1 или PC-3000 Portable III) создают его клон. Клон НЖМД устанавливают в видеорегистратор. После этого видеорегистратор с установленным клоном НЖМД включают и средствами его операционной системы проводят поиск, конвертацию и выгрузку искомых видеозаписей.

Другим способом является использование «плееров», соответствующих каждому типу, а точнее производителю видеорегистраторов. Данные «плееры» представляют собой программное обеспечение, разработанное производителем видеорегистратора и предназначенное для работы с видеозаписями, создаваемыми средствами именно этого видеорегистратора. У каждого производителя свой «плеер». Использование «плеера» другого производителя в большинстве случаев не приведет к желаемому результату, т. е. доступу к видеозаписям.

Трудности могут доставлять видеорегистраторы, в которых нельзя воспроизвести видеозапись с помощью «плееров». Данную функцию может не включить производитель, или может отсутствовать сам «плеер». К примеру, если в видеорегистраторе реализованы лишь функции сохранения видеопотока на установленный НЖМД и отправки видеозаписей на удаленный компьютер по локальной сети или через сеть Интернет, то эксперту при исследовании необходимо воспроизвести эти настройки, что не всегда возможно (нет необходимого дополнительного оборудования от видеокомплекса, существует риск внесения изменения в системные настройки видеорегистратора, отсутствуют знания о тонкостях настройки конкретной видеосистемы). Кроме того, установленный в стационарный видеорегистратор НЖМД может иметь логические повреждения структуры данных. В этом случае операционная система видеорегистратора может не распознать НЖМД, частично или полностью не отобразить имеющиеся видеозаписи.

Пример из экспертной практики

Рассмотрим более подробно ход производства СКТЭ, объектом которой стал стационарный видеорегистратор, поступивший на исследование в лабораторию судебной компьютерно-технической экспертизы ФБУ РФЦСЭ при Минюсте России. Экспертиза проводилась по уголовному делу, являлась повторной и была назначена судом. На разрешении эксперта стоял вопрос: «Имеются ли на представленном на исследование видеорегистраторе видеозаписи?».

При исследовании использовали рабочее место в следующей комплектации:

• аппаратная конфигурация – процессор IntelR CoreTM i7-7700;

• системная плата ASUS H170 Pro; ОЗУ 32 Гб;

• SSD-накопитель объемом 250 Гб;

• НЖМД: Western Digital объемом 2000 Гб, Seagate объемом 750 Гб, Seagate объемом 1500 Гб;

• блокирующее запись информации на НЖМД устройство Tableau;

• аппаратно-программный комплекс Tableau TX1 – устройство, предназначенное для снятия образа или клонирования носителей информации с интерфейсами подключения SATA и USB (разъемы для подключения источников, т. е. объектов исследования, имеют блокировку от записи).

Использовали следующую программную конфигурацию:

• операционная система Windows 10 Pro;

• аппаратно-программный комплекс PC3000 Express, предназначенный для работы с накопителями на жестких магнитных дисках, имеющих физические и логические повреждения;

• программа Any Video Converter, предназначенная для работы с видеофайлами;

• программа DVR Examiner, предназначенная для работы с носителями информации, устанавливаемыми в стационарные видеорегистроторы.

Ход исследования

На первоначальном этапе проводили осмотр упаковки видеорегистратора и ее фотосъемку. Затем осматривали сам видеорегистратора, при этом из корпуса видеорегистратора был извлечен НЖМД. При помощи аппаратно-программного комплекса Tableau TX1 создали побитовую копию (клон) НЖМД видеорегистратора. Клон НЖМД установили обратно в видеорегистратор.

При включении видеорегистратора и загрузки его системы управления установили, что НЖМД-клон распознается системой, но видеозаписей при этом не имеется. В результате изучения с использованием шестнадцатеричного редактора (HEXредактора), входящего в состав аппаратнопрограммного комплекса PC-3000 Express, структуры НЖМД-клона установили, что на нем имеются данные, относящиеся, вероятно, к видеозаписям. При этом схожая структура имелась практически по всему объему секторов НЖМД (рис. 1), за исключением некоторых начальных секторов, отведенных под нужды файловой системы.

Изучение инструкции по эксплуатации видеорегистратора на официальном сайте разработчика показало, что представленная на исследование модель конвертирует видеозаписи в формат .avi непосредственно средствами самого видеорегистратора, соответствующего «плеера» не имеет. В результате исследования НЖМД средствами программы DVR Examiner установили, что программа идентифицирует носитель информации, определяет тип его файловой системы, но не может получить доступ к имеющимся на НЖМД видеозаписям. Таким образом, провести информационное исследование НЖМД видеорегистратора средствами самого видеорегистратора, а также имеющимися в распоряжении у эксперта программными средствами, предназначенными для работы с носителями информации видеорегистратора, не представляется возможным.

Одним из способов решения поставленного вопроса может быть попытка понять логику размещения видеозаписей в сектора НЖМД – каким образом и по какому алгоритму система видеорегистратора записывала данные на НЖМД.

Для этого вновь использовали HEXредактор из состава аппаратно-программного комплекса PC-3000 Express, средствами которого проводили анализ данных в секторах с целью поиска подобия структуры, т. е. определенной логики в построении данных.

Стоит отметить, что данный процесс может быть достаточно трудоемким и затратным по времени. В рассматриваемом примере размер одного сектора составлял 512 байт. Таким образом, для исследуемого НЖМД объемом в 250 Гб, количество секторов составляло 25 000 0000 000/512 – около 500 000 000. (рис. 2), каждый из которых необходимо было просмотреть, чтобы понять, где начинаются и где заканчиваются видеопотоки.

Такая задача кажется непосильной, и ее решение отнимет много времени. Поэтому предположили, что сам видеорегистратор, хоть и является неким подобием компьютера, но не относится к устройству, способному на сложные операции, ввиду слабого по производительности процессора, небольшого объема постоянной и оперативной памяти. В совокупности с изложенным выше, а также принципом цикличности записи, можно допустить, что запись всегда начинается с начальных секторов диска (исключая сектора, занимаемые файловой системой и прочими служебными данными) и идет последовательно к конечным секторам. При заполнении всех секторов, запись начинается снова с начальных секторов, и далее – по кругу (рис. 3).

Таким образом, в процессе анализа секторов в начале НЖМД была найдена структура, похожая на начало контейнера (рис. 4). Посекторный анализ позволил определить окончание этого контейнера (рис. 5) и следующий за ним ряд пустых секторов, а затем опять похожую на начало контейнера структуру.

Поскольку стали известны сектора размещения начала и окончания контейнера с предполагаемой видеозаписью, средства аппаратно-программного комплекса PC-3000 Express позволили выделить этот фрагмент и сохранить его на компьютере эксперта в виде файла.

В результате подбора соответствующего кодека (для большинства стационарных видеорегистраторов используется способ сжатия видеопотока в формат H.264) удалось запустить сохраненный файл на стендовом компьютере эксперта. Данный файл содержал запись с камеры видеонаблюдения. Для удобства просмотра файл с видеозаписью средствами программы Any Video Converter был переконвертирован в формат .avi.

Дальнейший поиск и извлечение остальных видеозаписей проводили аналогичным образом.

Таким образом, в результате исследования видеорегистратора были найдены необходимые видеофайлы. Сложность и необычность данного подхода заключалась прежде всего в специфике файловой системы НЖМД видеорегистратора и отсутствии универсального программного обеспечения для его исследования. Однако, предложенный метод хоть и сложнее, но позволяет более детально разобраться в ситуации и, как следствие, провести более полное исследование. Еще один аргумент в пользу данного метода заключается в том, что программа при анализе видеопотока может пропустить файл с отсутствующим окончанием. Такая ситуация может возникнуть при внезапном отключении питания видеорегистратора. «Ручной» метод позволит увидеть и в некоторых случаях восстановить целостность «недописанного» файла путем добавления в его структуру окончания. Данная процедура не будет являться изменением файла, поскольку не затрагивает его пользовательские данные, а лишь восстанавливает его целостность путем добавления системных данных.

Заключение

Приведенное исследование показало, что существующие подходы к исследованию стационарных видеорегистраторов сводятся лишь к извлечению информации средствами самих видеорегистраторов или их программного обеспечения. С одной стороны, для решения большинства задач, связанных с данными объектами исследования, этого достаточно, но с другой – существующий подход не учитывает сторонних факторов, связанных с физическим разрушением объекта исследования, будь то сам видеорегистратор или установленный в него носитель информации. Как следствие, задача получения видеозаписи при наличии физических повреждений становится практически нерешаемой [13–15].

На сегодняшний день в ФБУ РФЦСЭ при Минюсте России был применен новый способ исследования стационарного видеорегистратора, что позволило решить поставленную перед экспертом задачу – поиск и сохранение видеофайла. Дальнейшее изучение структуры размещения видеозаписей на НЖМД видеорегистраторов различных марок, моделей и производителей позволит установить, является ли данный подход универсальным, и возможно ли его применение в дальнейшем уже в статусе рекомендованного к широкой экспертной практике.

Список литературы:

1. Талынева З.З., Давыдова С.Р. К вопросу о доказательственном значении материалов аудиои видеозаписи в уголовном процессе // Вестник Уфимского юридического института МВД России. 2018. № 4 (82). С. 54–57.

2. Россинский С.Б. Приложение к протоколу следственного действия: признавать или не признавать как вещественное доказательство? // Вестник Восточно-Сибирского института МВД России. 2017. № 2 (81). C. 94– 104.

3. Воронкова Д.К., Воронков А.С., Пилипчак А.М. Комплексная судебная компьютерно-техническая и видеотехническая экспертиза // Modern Science. 2019. № 12-1. С. 300–306.

4. Эджубов Л.Г., Усов А.И., Микляева О.В. Новая концепция и существующее представление о комплексной судебной экспертизе // Теория и практика судебной экспертизы. 2014. № 2 (34). С. 142–149.

5. Эджубов Л.Г., Усов А.И., Микляева О.В., Карпухина Е.С. О месте новой концепции в теории комплексной экспертизы // Теория и практика судебной экспертизы. 2014. № 2 (34). С. 10–17.

6. Вознюк М.А., Денисов Ю.А. Экспертная диагностика обстоятельств изготовления цифровых видеои звукозаписей: аналитический обзор // Теория и практика судебной экспертизы. 2017. Т. 12. № 1. С. 48–71. https://doi. org/10.30764/64/1819-2785-2017-12-1-48-71

7. Хатунцев Н.А., Лизоркин А.М. Метод доказывания неизменности фотоизображений в рамках компьютерно-технической экспертизы (на примере из экспертной практики) // Теория и практика судебной экспертизы. 2014. № 3 (35). С. 69–73.

8. Бондарев А.А., Кривенок А.М., Кузнецов В.О. Применение методов СКТЭ и КЭЗ при решении вопроса о датировке видеофонограммы и наличии/отсутствии признаков ее монтажа и изменения // Теория и практика судебной экспертизы. 2011. № 2 (22). С. 124–126.

9. Усов А.И. Судебно-экспертное исследование компьютерных средств и систем. Основы методического обеспечения. Учебное пособие / Под ред. E.Р. Россинской. М.: Право и Закон, Экзамен, 2003. 368 c.

10. Производство судебной компьютерно-технической экспертизы. I. Общая часть. II. Диагностические и идентификационные исследования аппаратных средств. Методическое пособие / Под редакцией А.И. Усова М.: ФБУ РФЦСЭ при Минюсте России, 2009. 80 с.

11. Momunkulov A.R., Nazarov M.A. The Theoretical Aspects of the Conducting Investigative Activity in the Cases of Cybercrimes // Modern Science. 2018. No. 8. P. 74–78.

12. Хатунцев Н.А. О специальных знаниях, необходимых при исследовании компьютерных средств и систем // Актуальные проблемы российского права. 2010. № 1 (14). С. 332–339.

13. Хатунцев Н.А., Карпухина Е.С. Конференция ENFSI FIT WG «Информационные технологии в судебной экспертизе, 2014» // Теория и практика судебной экспертизы. 2015. № 1 (37). С. 112–113.

14. Van Dongen W.S. Case Study: Forensic Analysis of a Samsung Digital Video Recorder // Digital Investigation. 2008. Vol. 5. No. 1–2. P. 19–28. https://doi.org/10.1016/j.diin.2008.04.001

15. Poole N.R., Abatis Q.Z.P. Analysis of CCTV Digital Video Recorder Hard Disk Storage System // Digital Investigation. 2009. Vol. 5. No. 3–4. P. 85–92. https://doi.org/10.1016/j.diin.2008.11.001