Поиск информации по ключевым словам является одним из наиболее распространенных видов исследований, выполняемых в рамках компьютерно-технической экспертизы.
Задачей данного вида исследований является обнаружение среди массива информации, например, в пределах электронного накопителя информации файлов, в том числе текстовых файлов, электронных документов, изображений, аудиофайлов, подходящих под определенные ключевые критерии.
Ключевые критерии – любые слова и словосочетания с учетом склонений и падежных окончаний, типы файлов, метаданные, даты создания.
Исследование проводится с использованием специализированных криминалистических средств поиска информации, таких как: «Autopsy», «Forensic Analyzer», «X-Ways», «Архивариус 3000».
Алгоритм действий эксперта при поиске информации заключается в следующем:
- Идентификация объекта исследования – описание физического накопителя или иного носителя информации (образ, файл, облачное хранилище).
- Создание полной побитовой копии или образа носителя информации.
- Сканирование образа специализированным программным обеспечением.
- Создание запроса на поиск информации с использованием ключевых критериев и применением GREP – синтаксиса (синтаксис масок и подстановок).
- Обнаружение искомой информации.
- Выгрузка информации на отдельные носители.
Данный вид исследования позволяет с достаточно высокой точностью и скоростью анализировать большие объемы информации и обнаруживать искомую информацию. Это исследование часто сопровождает иные виды исследований, например, применяется для анализа исходного кода программ для ЭВМ в тех случаях, когда необходимо обнаружить метаданные авторства или место использования и вызова определенного параметра или функции.
Основной вопрос, который может быть поставлен на исследование:
- Имеются ли в информационном пространстве накопителя файлы, содержащие ключевые слова «Вега», «Переработка», «Наган»?
