1. Файл. Файл – ограниченный объем информации, хранящийся физически в памяти ЭВМ, чаще всего на различных устройствах долговременной памяти. Для криминалистики огромное значение имеют свойства файлов, которые позволяют решить вопрос об их тождестве. В. В. Крылов предлагал использовать для решения вопроса о тождестве следующую систему свойств файлов:
1) тип информации
2) местонахождение информации (описание мест расположения на временном или постоянном носителе и указание типа носителя)
3) наименование файла
4) размер (объем) хранимой информации
5) время создания, время изменения
6) атрибуты информации
Иногда в файлах, особенно в файлах данных, можно определить и некоторые дополнительные (факультативные) свойства. В. В. Крылов, помимо основных свойств файлов, приводит и ряд таких факультативных свойств (тема; автор или авторы, создавшие или изменившие информацию; организация, где на была создана или изменена; группа, в которую включен данный файл; ключевые слова; заметки автора или редактора).
2. Каталог. Говоря о логической структуре файловой системы, нельзя не сказать о каталогах (иногда их называют директориями, поддиректориями). Каталоги – это форма организации файловой структуры на машинном носителе информации. В каталогах хранятся имена файлов, сведения о размере файлов, времени их последнего обновления, атрибуты (свойства) файлов и пр. В каждом каталоге м.б. много файлов, но каждый файл всегда регистрируется только в одном каталоге.
Система свойств, присущих файлам, отчасти соответствует и системе свойств каталогов, т.к. они являются файлами специального вида и поэтому к ним применимы практически все основные характеристики файлов. При этом система свойств каталогов имеет и свои особенности. Так, характеристика «объем файла» неприменима к каталогам, однако каталог характеризует число и суммарный объем входящих в него файлов и каталогов более низкого уровня. Такие характеристики, как время и дата модификации (обновления), неприменимы к каталогам, для них фиксируется лишь время и дата создания. Физическое размещение каталога на машинном носителе информации определяется размещением входящих в него файлов и поэтому практически не используется для его характеристик, т.к. на машинных носителях информации можно выделить лишь место, где физически занесена информация о самом каталоге и хранящихся в нем файлах и вложенных каталогах.
Выявление и фиксация признаков изменений файла, каталога (директории)
1. Выявление признаков изменений файла, каталога. Многие текстовые и финансовые программы сохраняют список документов последних сеансов работы и могут их мгновенно вызвать, если они не удалены или не перемещены в другое место. Все компьютерные файлы хранят дату последнего изменения, а после некоторых программ – и дату первоначальной записи файла под этим именем. Отдельные программы при сохранении изменений файла приписывают к полезной информации дополнительную (служебные данные, которые удается выявить при необходимости специальными программами просмотра): сведения о зарегистрированном владельце или организации (если владелец ввел такие данные при установке программы), об установленном принтере. Иногда внутрь файла попадает информация из другого файла, который обрабатывался в памяти параллельно.
Средний пользователь обычно не знает, что фрагменты или целые файлы, которые программы создают как временную подсобную базу для работы, нередко остаются на диске и после окончания работы. Во всяком случае такие хранилища обрывков временных файлов целесообразно проверять при обыске. Популярный программный пакет MS Office после установки на компьютере ведет негласный файл-протокол, куда заносит дату и время всех включений компьютера. Программы связи и работы с сетью запоминают адреса многих Интернет-контактов пользователя, документы электронной почты с адресами отправителя.
Если пользователем не установлено иное, современные операционные системы удаляют файлы, в т.ч. измененные, не начисто, а сначала в определенное место, просмотрев которое, можно восстановить информацию. Но даже в случае удаления файла, минуя данное место (корзину), остается вероятность восстановления, поскольку место его на диске не очищается, а только помечается как неиспользованное.
2. Фиксация признаков изменений файла, каталога. Признаки изменений файла, каталога следует зафиксировать и предотвратить возможность повторного несанкционированного изменения файла, каталога. Остающиеся на месте обыска средства компьютерной техники можно опечатать путем наклеивания листа бумаги с подписями следователя и понятых на разъемы электропитания, на крепеж и корпус. Не допускается пробивать отверстия в магнитных носителях, ставить на них печати. Пояснительные надписи на магнитные носители рекомендуется наносить фломастером, а не авторучкой или жестким карандашом (чтобы избежать случайного повреждения поверхности носителя). В пояснительных надписях следует указывать, какие файлы или каталоги были изменены, когда было произведено изменение, какая специальная программа использовалась для выявления признаков изменений файла, каталога.