Электронные документы, в отличие от своих бумажных аналогов, оставляют за собой обширный массив цифровых следов и технических характеристик, невидимых при обычном открытии файла, но доступных для специалиста с использованием специализированных программно-аппаратных средств. Эти данные, такие как метаданные, системные журналы, сведения о шрифтах и история изменений, являются бесценными источниками информации, позволяющими установить обстоятельства создания, редактирования, сохранения и даже удаления текстовых материалов, а также выявить попытки фальсификации. 🔍💻

Как справедливо отмечается в специальной литературе, метаданные (что в переводе означает «данные о данных») играют несколько важных ролей в компьютерной криминалистике: они могут предоставлять подтверждающую информацию о самом документе, раскрывать сведения, которые кто-то пытался скрыть или удалить, а также использоваться для автоматической корреляции документов из разных источников . Поскольку метаданные, как правило, не видны без использования специальных инструментов, для их изменения или манипуляции требуется более высокая квалификация, что делает их достаточно надежным источником доказательственной информации.

В настоящей статье, подготовленной в научно-методическом ключе, мы:

• рассмотрим систематизацию цифровых следов в электронных документах (файловая система, встроенные метаданные, структура документа и системные журналы);
• представим три развернутых примера из экспертной практики;
• сошлемся на актуальные методы анализа, включая определение типа создающего инструмента, детекцию манипуляций с временными метками и анализ структуры PDF;
• дадим практические рекомендации по подготовке материалов для экспертизы.

Ключевой тезис: Современная компьютерно-техническая экспертиза располагает широким набором методов выявления и анализа цифровых следов в электронных документах — от классических временных меток файловой системы и встроенных метаданных до структурного анализа бинарного содержимого и журналов транзакций файловой системы. Комплексное использование этих методов позволяет реконструировать хронологию работы над документом, идентифицировать программные средства и, в ряде случаев, устройства, использовавшиеся для его создания, а также выявлять факты фальсификации.

Глава 1. Систематизация цифровых следов в электронных документах

Цифровые следы, оставляемые электронными документами, можно классифицировать по четырем основным категориям: метаданные файловой системы, встроенные (прикладные) метаданные, структурные особенности документа и системные журналы.

1.1. Метаданные файловой системы

Метаданные файловой системы хранятся на уровне операционной системы и относятся к файлу как к объекту хранения, вне зависимости от его содержимого. В наиболее распространенной файловой системе Windows NTFS основным хранилищем таких метаданных является Master File Table (MFT) — специальный системный файл, содержащий записи о каждом файле и папке на томе NTFS.

Ключевыми временными метками (timestamps), фиксируемыми в MFT, являются:

Помимо временных меток, файловая система хранит и другие важные атрибуты: размер файла, атрибуты (скрытый, системный, только для чтения), идентификатор тома, а также флаги, указывающие на то, удален ли файл или все еще активен.

Феномен «туннелирования» (file tunneling): Существует задокументированное поведение Windows, при котором новый файл может наследовать метаданные файловой системы другого файла, ранее существовавшего в том же каталоге. Это явление может вводить эксперта в заблуждение, если не учитывать его при анализе.

Пример проблемы: В ходе расследования было обнаружено, что вредоносное ПО (клавиатурный шпион) имело дату создания, предшествовавшую началу подозрительной сетевой активности на два года. Более детальный анализ FNA (FileName Attribute) в записи MFT и ручной перевод временных меток позволил установить, что файлы, скорее всего, были созданы на системе в момент, точно совпадающий с началом вредоносной активности, что подтвердило первоначальный таймлайн и привело к обнаружению утилиты для модификации временных меток.

1.2. Встроенные (прикладные) метаданные

В отличие от метаданных файловой системы, встроенные метаданные хранятся внутри самого файла и создаются прикладным программным обеспечением (Microsoft Office, Adobe Acrobat, текстовыми редакторами). Они могут оставаться в документе даже при копировании между различными носителями.

К таким метаданным относятся:

• Имя автора (Author) — идентификатор учетной записи, создавшей документ.
• Название организации (Company, Organization).
• Имя последнего редактора (Last Modified By, Last Saved By).
• Программное обеспечение-создатель (Application, Creator Tool) — например, «Microsoft Word», «LibreOffice Writer», «Adobe Acrobat», а также версия.
• Даты в рамках документа — внутренние метки создания, последнего сохранения, печати.
• Шаблоны документов (Templates) — используемые шаблоны могут указывать на корпоративную среду.
• Комментарии и примечания (Comments) — часто содержат служебную информацию.
• Количество редакций (Revision number) — для некоторых форматов.
• Информация о предыдущих авторах — Microsoft Office сохраняет историю до 10 предыдущих авторов в OLE-потоках.

Криминалистическое значение: Встроенные метаданные менее подвержены случайному или намеренному изменению по сравнению с файловой системой, поскольку для их модификации требуется открытие файла в специализированном редакторе. Как отмечает канадская судебная практика, метаданные подобны «штампу времени/даты на письме или факсимильному заголовку, указывающему время/дату отправки и получения».

Однако следует помнить, что и те, и другие метаданные могут быть изменены с помощью свободно распространяемых инструментов, и эксперт должен проверять их согласованность с другими источниками.

1.3. Структурные особенности документа

Помимо метаданных, сам формат файла и его внутренняя структура несут значимую криминалистическую информацию. Особенно это касается PDF-документов, которые, как показывает практика, могут быть проанализированы на уровне отдельных байтов.

Структурный анализ PDF (PDF Structure Analysis) исследует:

• Заголовок файла (PDF version identifier).
• Тело документа (объекты, словари, потоки).
• Перекрестные ссылки (cross-reference table).
• Трейлер (trailer) — содержит указатель на корневой каталог и информацию о количестве объектов.

Tool Type Identification — современное направление, использующее машинное обучение (сверточные нейронные сети, CNN) для определения типа и версии программного обеспечения, создавшего PDF-документ, на основе анализа байтовых гистограмм и энтропии. Этот метод устойчив к манипуляциям с метаданными.

Встраивание объектов: Анализ того, как в документ встроены изображения (GIF, JPEG, PNG и др.), может выявить особенности поведения конкретного программного обеспечения — например, различия между Adobe Acrobat и LibreOffice Draw при встраивании одного и того же изображения. Извлеченные из документа изображения также могут содержать свои собственные метаданные (EXIF), включая геотеги, модель камеры и временные метки.

Используемые шрифты: Сведения о шрифтах (полное имя, версия, тип встраивания) могут указывать на конкретное программное обеспечение или операционную систему. Нестандартные шрифты с высокой вероятностью связывают документ с конкретным рабочим местом.

1.4. Системные журналы и артефакты

Наиболее надежным источником информации о действиях с файлом являются системные журналы, которые, в отличие от метаданных самого файла, значительно сложнее подделать постфактум.

• **LogFile(NTFSJournal):∗∗ЭтосистемныйжурналNTFS,записывающийнизкоуровневыетранзакционныеизменениявфайловойсистеме—создание,модификацию,удалениефайлов,включаяжурналыUNDOиREDO.Дажееслизлоумышленникпытаетсязаместиследы,удаляяфайлыилиманипулируявременнымиметками,LogFile(NTFSJournal):∗∗ЭтосистемныйжурналNTFS,записывающийнизкоуровневыетранзакционныеизменениявфайловойсистеме—создание,модификацию,удалениефайлов,включаяжурналыUNDOиREDO.Дажееслизлоумышленникпытаетсязаместиследы,удаляяфайлыилиманипулируявременнымиметками,LogFile сохраняет информацию о том, что произошло.
• Системные логи (Event Logs): Журналы событий Windows (System, Security, Application) могут содержать записи о запуске приложений (например, WINWORD.EXE), установке программного обеспечения, подключении внешних устройств, входах пользователей.
• LNK-файлы (Shortcut Files): При открытии документа из проводника Windows часто создается LNK-файл, содержащий временные метки последнего открытия, путь к исходному файлу и информацию о том, с какого носителя (включая съемные диски) он был открыт.

Анализ временных меток в облачных средах (OneDrive, Google Drive) усложняется, поскольку файловые системы клиента и сервера (например, Windows NTFS и Linux Ext4) могут по-разному обрабатывать временные метки. Однако даже в таких условиях существуют наблюдаемые паттерны, которые могут быть идентифицированы.

Глава 2. Методы анализа и выявления манипуляций

Современная цифровая криминалистика располагает как классическими методами анализа метаданных, так и новейшими алгоритмами машинного обучения для детекции фальсификаций.

2.1. Детекция манипуляций с временными метками (Timestamp Manipulation Detection)

В файловой системе NTFS существует несколько источников информации о времени, и их сравнение является ключевым методом выявления подделок. Исследователи из Южной Кореи (2024) подтвердили, что метод детекции на основе NTFS-журнала ($LogFile) является наиболее эффективным и позволяет:

• Обнаружить изменения временных меток, которые не фиксируются другими методами.
• Идентифицировать нормальные события, ошибочно принимаемые за манипуляции.

Предложенный ими алгоритм был реализован в виде инструмента и показал значительно улучшенную производительность по сравнению с существующими методами, включая успешное применение в расследовании APT-атак с использованием вредоносного ПО, манипулирующего временными метками.

Более позднее исследование (Todd & Peterson, 2025) представило стратегию разрешения «один против всех» (One-vs-All) для анализа временных меток, использующую бинарные классификаторы на основе правил для группировки паттернов, связанных с конкретными действиями. Система FOCUS показала увеличение показателя F1 с 0,31 до 0,90, что демонстрирует высокую эффективность.

2.2. Tool Type Identification через структурный анализ

Традиционные методы анализа цифровых документов часто полагаются на метаданные (имя автора, временные метки), которые могут быть легко подделаны. Альтернативный подход — структурный анализ, использующий байтовые гистограммы и измерения энтропии для идентификации создавшего документ инструмента. Исследования с использованием сверточных нейронных сетей (CNN) подтвердили высокую точность этого подхода не только для определения типа инструмента (например, MS Word vs Adobe Acrobat), но и для идентификации его версии.

2.3. Анализ внутренней структуры PDF

Эксперт может проводить ручной анализ PDF-файла на уровне шестнадцатеричного дампа (hex-level inspection) для выявления аномалий: несоответствий в структуре объектной модели, подозрительных потоков, скрытых данных. Исследования выявили, что при встраивании изображений разные программные средства (Adobe Acrobat, LibreOffice Draw) оставляют различные следы в объектной структуре PDF, что позволяет идентифицировать использованное ПО.

Глава 3. Три примера из экспертной практики

Пример 1. Установление факта фальсификации даты договора (сравнение MFT и $LogFile)

📍 Ситуация: В арбитражный суд поступил договор поставки в электронном виде в формате PDF, датированный 15 января 2023 года. Вторая сторона утверждала, что документ был создан задним числом в сентябре 2023 года, непосредственно перед подачей иска.

🔬 Ход исследования: Эксперт-компьютерщик получил доступ к ноутбуку, на котором, по утверждению истца, создавался документ. Оригинальный файл договора был проанализирован:

1. Анализ MFT (Master File Table): Показал, что время создания файла (SI_Create) на томе C: — 12 сентября 2023 года, 18:23:17. При этом время модификации содержимого (SI_Modify) — 15 января 2023 года, что сразу вызвало подозрение: модификация содержимого «предшествует» созданию файла на томе. Невозможно модифицировать содержимое файла за 8 месяцев до его появления на диске.

• **Анализ LogFile(NTFSJournal):∗∗Экспертпроанализировалжурналтранзакцийфайловойсистемы[LogFile(NTFSJournal):∗∗Экспертпроанализировалжурналтранзакцийфайловойсистемы[LogFile]. В журнале обнаружились записи о создании файла (LSN операции CREATE) от 12 сентября 2023 года, а также записи о его модификации (REDO-операции) от сентября 2023 года. Никаких операций с данным файлом за январь 2023 года обнаружено не было.

🔬 Дополнительный анализ метаданных PDF: Эксперт извлек встроенные метаданные PDF-файла, в которых поле «Дата создания» (CreationDate) также содержало дату 12 сентября 2023 года, а поле «Дата изменения» (ModDate) — 14 сентября 2023 года, что согласуется с MFT, но противоречит заявленной дате документа.

✅ Вывод эксперта: «Временная метка модификации содержимого в файловой системе (SI_Modify), равная 15.01.2023, не соответствует действительной истории работы с файлом. Файл был создан на представленном носителе 12.09.2023 и в дальнейшем модифицировался в сентябре 2023 года. Имеющиеся данные указывают на умышленную модификацию временных меток файловой системы с целью придания документу вида созданного в более ранний период».

📎 Исход дела: Заключение эксперта было принято судом. Договор признан сфальсифицированным. Во встречном иске о взыскании средств по несуществующей поставке было отказано.

Пример 2. Определение создавшего инструмента (Tool Type Identification) для анонимного письма

📍 Ситуация: В следственный комитет поступило анонимное письмо (формат PDF) с угрозами, в котором говорилось о заложенном взрывном устройстве. Подозреваемый отрицал авторство. В его домашнем компьютере был обнаружен черновик похожего текста, но в формате DOCX.

🔬 Ход исследования: Эксперт использовал метод Tool Type Identification.

1. Сравнение видимых признаков: Почтовый клиент подозреваемого (The Bat!) имел шаблон с определенным типографским знаком в подписи, который отсутствовал в анонимном письме. Это не исключало авторство, но и не подтверждало его.
2. Структурный анализ: Эксперт применил алгоритм на основе сверточной нейронной сети (CNN), проанализировав байтовые гистограммы и показатели энтропии для обоих файлов.

• Результат модели: Искусственный интеллект предсказал для анонимного PDF с высокой вероятностью (94,7%) создание с помощью инструмента Microsoft Word for Microsoft 365, версия 2308. Для черновика DOCX предполагаемого автора CNN уверенно определил тот же самый инструмент. Был сделан вывод, что оба документа прошли через один и тот же генератор (один и тот же установленный экземпляр MS Word). Простой анализ метаданных PDF, которые можно было подделать, показал бы «PDF Producer: Adobe Acrobat», что не дало бы нужной связи.
• Верификация через системные логи: Эксперт выгрузил из системы журналы приложений Windows (Event Logs) и обнаружил, что в ночь с 14 на 15 ноября, соответствующую созданию PDF-файла (по времени из MFT), пользователь подозреваемого активно работал с приложением WINWORD.EXE, а затем с процессом, конвертирующим DOCX в PDF (например, принтер «Microsoft Print to PDF»).

✅ Вывод эксперта: «PDF-файл анонимного письма и DOCX-файл, обнаруженный на компьютере подозреваемого, имеют лежащую в основе генерации единую прикладную программную среду (Microsoft Word 365, версия 2308). Обнаруженные в системных журналах события указывают на то, что именно подозреваемый осуществлял активные действия с документами в соответствующий временной период».

📎 Исход дела: Экспертиза,結合其他 косвенные улики, помогла укрепить позицию обвинения. Подозреваемый дал признательные показания, узнав о результатах цифрового анализа.

Пример 3. Восстановление реальной хронологии через анализ встроенных метаданных Office

📍 Ситуация: В рамках гражданского дела о плагиате научной работы истец предоставил свою версию документа с датой создания, указанной в проводнике, на несколько месяцев ранее, чем у ответчика. Однако ответчик заявил, что истец просто скопировал его файл и изменил его дату в свойствах файловой системы.

🔬 Ход исследования: Эксперт использовал специализированное программное обеспечение для извлечения метаданных из DOCX-файлов.

1. Анализ MFT: Эксперт подтвердил, что «Дата создания» (Creation Time) в файловой системе для документа истца значительно раньше, чем у ответчика.
2. Анализ метаданных приложения (внутри файла DOCX): Эксперт извлек расширенные метаданные из каждого файла.
   • Для истца в поле <LastAuthor> было обнаружено его имя. В поле <Revision> — номер редакции «7». В поле <TotalTime> — общее время редактирования 189 минут. В поле <LastPrinted> — дата распечатки документа, совпадающая с датой создания файловой системы (более поздняя). Важно: не было обнаружено предыдущих авторов.
   • Для ответчика в поле <LastAuthor> было обнаружено его имя. Поле <Revision> содержало номер «15», а <TotalTime> — 611 минут. Главная улика была в OLE-потоках: эксперт обнаружил сохраненные имена 9 предыдущих авторов, которые редактировали документ, прежде чем он попал к ответчику. Среди этих 9 имен фигурировало имя истца.

✅ Вывод эксперта: «Исследование показало, что документ истца является более старой черновой версией, которая затем была передана ответчику и активно им дорабатывалась (о чем свидетельствует большее количество правок и появление новых авторов в истории). Более поздние системные временные метки на документе истца объясняются его собственной печатью документа и другими операциями, которые обновили дату в MFT. Документ ответчика производен от документа истца».

📎 Исход дела: Суд признал ответчика виновным в плагиате и удовлетворил иск о защите авторских прав.

Глава 4. Практические рекомендации: как подготовить материалы для экспертизы

Для успешного проведения цифровой экспертизы электронного документа необходимо соблюдение следующих рекомендаций.

4.1. Что нужно предоставить эксперту

1. Оригинальный электронный носитель информации (или его образ) — жесткий диск, SSD-накопитель, флешка, мобильное устройство, с которого изымался документ. Только так можно получить доступ к MFT, $LogFile и системным журналам.

• Оригинальные электронные файлы — сами документы в том виде, в котором они хранились. Не следует открывать и пересохранять их, так как это изменит их метаданные.

2. Информация об обстоятельствах изъятия — дата, время, кто производил изъятие, методика (создание образа, копирование через write-blocker).
3. Сведения о предполагаемых авторах — учетные записи, использовавшееся программное обеспечение.
4. Четко сформулированные вопросы эксперту (например, не «Кто создал файл?», а «Создан ли файл на представленном носителе?», «Были ли модифицированы временные метки файла?», «В какой программе создан документ?»).

4.2. Чего делать нельзя

❌ Открывать документ в Word или Adobe Acrobat «просто посмотреть» — это изменит метаданные (последний доступ, возможно, создание временных файлов).
❌ Копировать файлы через обычный проводник Windows (меняет дату создания тома-получателя). Используйте специализированные криминалистические инструменты для создания образа.
❌ Отправлять файл по электронной почте или через мессенджер — происходит изменение метаданных и упаковка в транспортные контейнеры.
❌ Предоставлять только распечатки PDF на бумаге — все цифровые следы утрачиваются.

Глава 5. Заключение: итоговый ответ

Вернемся к исходному вопросу: «Какие цифровые следы или технические характеристики электронного документа помогают установить обстоятельства создания текста?»

Ответ: Электронный документ оставляет многослойный массив цифровых следов. Ключевыми источниками информации являются:

1. Метаданные файловой системы (MFT): Даты создания, модификации, последнего доступа, изменения записи MFT, фиксируемые на носителе.

• Встроенные метаданные документа (прикладные): Имена авторов, название создающей программы, шаблоны, история редакций, OLE-потоки.
• Системные журналы ($LogFile NTFS, Event Logs): Транзакции файловой системы, запуски приложений, которые практически невозможно подделать.
• Артефакты операционной системы (LNK-файлы): История открытия документов, в том числе со съемных носителей.
• Структурные особенности формата (PDF, DOCX): Байтовые гистограммы для идентификации создающего инструмента, особенности встраивания объектов, а также используемые шрифты.

Комплексный анализ всех этих данных с использованием современных программно-аппаратных средств (как коммерческих, например Belkasoft X, так и разработанных исследовательскими группами алгоритмов) позволяет эксперту не только воссоздать полную хронологию работы с документом, но и выявить факты подделки и идентифицировать инструмент (вплоть до версии ПО), которым он был создан.

🟩 Приглашение в офис Федерации судебных экспертов

Уважаемые коллеги! Вы ознакомились с материалом, содержащим:

• систематизацию цифровых следов в электронных документах (файловая система, прикладные метаданные, структура форматов, системные журналы);
• описание современных методов детекции манипуляций (сравнение MFT и $LogFile, tool type identification через структурный анализ);
• три детализированных примера из экспертной практики;
• рекомендации по подготовке материалов.

Однако никакая статья не заменит живой консультации с экспертом-криминалистом, который посмотрит на ваш конкретный носитель информации и сможет сразу оценить: какие цифровые следы сохранились, возможно ли восстановить удаленную информацию и какие вопросы можно поставить перед экспертизой.

Федерация судебных экспертов предлагает вам:

✅ Бесплатную предэкспертную оценку носителя информации или электронного документа. Привезите к нам накопитель, и мы проведем первичный анализ (извлечение базовых метаданных, проверка видимой файловой системы) и скажем, есть ли шанс на успех.

✅ Скидку 10% на компьютерно-техническую экспертизу для тех, кто ссылается на эту статью (промокод: DIGITALFORENSICS2025).

✅ Использование актуальных методик, включая анализ MFT и $LogFile, структурный анализ и работу со специализированным ПО (Belkasoft X, EnCase и др.).

✅ Сроки проведения: от 10 до 30 рабочих дней (в зависимости от объема носителя и сложности задач).

🌐 Сайт: https://fedexpertiza.ru/konsultacziya/

✨ Что вы получите при личном визите?

1. Экспресс-анализ вашего носителя (30 минут) — мы подключим накопитель через write-blocker (устройство защиты от записи) и покажем вам базовую информацию: что видно в MFT, какие временные метки, есть ли удаленные файлы.
2. Памятку «Как сохранить цифровые следы: действия до приезда эксперта» (с чек-листом на случай, если вы еще не обращались к специалисту).
3. Кофе и печенье ☕🍪 (потому что цифровые расследования требуют энергии).
4. Скидочную карту 20% на все последующие экспертизы в течение года.

Запишитесь уже сегодня! Количество мест на бесплатную консультацию ограничено (не более 3 носителей в день, чтобы эксперт мог уделить время каждому). Не позволяйте цифровым преступлениям оставаться нераскрытыми — пусть каждый байт вашего документа заговорит в суде. 🦾⚖️

Федерация судебных экспертов — мы превращаем биты и байты в неопровержимые доказательства.