Кайло и лопата

Каменный топор в руках питекантропа эффективнее микроскопа, кто бы спорил. К сожалению, обратное не всегда верно. Инструмент во многом определяет возможности исследования и даже его методологию. Так что невинный детский вопрос "чем делать?" не напрасно озвучивается первым.

В общем, есть смысл поговорить за инструмент инвестигатора. Что, для чего и на сколько хорошо.

Родина слонов?

Практика ставит вопросы, от нынешнего решения которых зависит, на мой взгляд, развитие направления в долгосрочной перспективе.

В СК исследование цифровых видео- и фонограмм, исследование компьютерных данных, по крайней мере, организационно, объединено в «исследование цифровой информации», или похожее. Не только в СК, много где в полный рост встаёт вопрос включения цифровых записей в перечень объектов КЭ/КТЭ.

Гносеологически – знание неразрывно. И разделение его на отрасли – оно искусственно. Нет четких критериев, позволяющих утверждать, что вот это – психология, а вот уже это – психиатрия. Разделение нужно только в целях внутрисистемной логистики.

Матрёшки

Продолжая тему про мореходные качества яхт, замечу, что проблемы с именованием и описанием свойственны не только экспертам и касаются не только дисков. Если копнуть глубже и распахнуть ширше, то есть чему радоваться.

Из всяческих типологических и порожденных ими терминологических казусов мне ближе некотороые такие:

Следователь эксперту:
«Каково дословное содержание фонограммы?»

Эксперт считает себя умнее, переформулирует вопрос:
«Каково дословное содержание разговора, зафиксированного на рабочем слое … диска в файле ХХХ?»

Как видно, не один не смог правильно разобрать/собрать ту матрёшку, которую представляет собой множество объектов исследования.

Попробуем мы. Вдруг получится?

Про компактные диски etc

"Как вы яхту назовёте, так она и поплывёт"

Капитан Врунгель

То, что чуть ниже, я уже публиковал вот здесь. Поскольку прочитать могут не все, перекинул  в здесь. Дело в том, что тема требует продолжения, о котором позже.

Подавляющее большинство описаний дисков, что встречались мне в заключениях экспертов и не совсем, чуть более чем полностью состояло из нагромождения фактологических и терминологических ошибок.
Как обзывают диски в заключениях? Как это делают любезные читатели?
"CD-диск", "компакт-диск DVD", больше всего умиляет "компакт-диск CD"
Как специалист в области языкознания, могу утверждать, что

Про цели и задачи.

В таких сложных экспертизах, как связанные с исследованием компьютерных систем, цифровых данных, видео- фоно- и фотодокументов, в рамках одной экспертизы может быть несколько разных исследований. У каждого из которых свои цели и задачи. Результаты одного или нескольких исследований могут быть использованы как исходные данные для другого исследования в рамках этой же экспертизы. Отдельное исследование не обязательно предпринимается для ответа на конкретный поставленный перед экспертом вопрос, исследование может быть только шагом на пути к этому ответу. Иногда ход и результаты такого отдельного исследования целесообразно выделять отдельной главкой в тексте заключения, а всю последовательность исследований давать в виде иерархии глав и параграфов. 

Это всё к тому, что если в начале каждого такого параграфа, освещающего ход и результаты отдельного исследования, прямо указать цель и задачи этого исследования, то многое укладывается сначала в голове, а потом и в тексте заключения. В результате отдалённые теоретизирования про цели и задачи не бороздят космическое пространство большого театра, а оказывают благотворное влияние на стройность мыслей в голове эксперта и через это - на самую что ни на есть практику.

Если делаете экспертизы - потренируйтесь: обозначьте  внятным языком цель и задачи одного конкретного исследования, которое вот сейчас проводите. Увлекательное, скажу вам, занятие.

Текст заключения. Предварительное исследование

Если абстрагироваться от процессуальных формальностей, экспертиза – это маленькая научно-исследовательская работа, для описания хода и результатов которой давно выработаны некоторые универсальные правила.

Уже даже не смешно,

но коллеги продолжают радовать. Читаю заключение. Объект исследования - цифровая видеозапись. Вопрос - наличие/отсутствие монтажа. В тексте заключения: "Исследование видеосигнала проводилось с помощью осциллографа С1-81, предназначенного для визуального исследования формы и измерения параметров периодических сигналов".

Прочитав такое, очень интересно было бы поинтересоваться, куда совали того осциллографа щуп, и какие именно параметры сигнала измеряли. Ну чисто так, для своего личного образования. 

Немного смущает, что чуть выше по тексту заключения упоминается "Икаровская" плата, имеющая действующий метрологический сертификат. Про сертификат осциллографа ничего не сказано. 

Рай для адвоката. 

Эхо войны?

Попалось на глаза заключение коллег по цеху. Исследуемый объект – цифровая видеофонограмма, вопрос о монтаже. В тексте пробежал глазами без остановки, и только потом осознал фразу: «Инструментальный анализ заключался в тщательном исследовании низкочастотной области исследуемой фонограммы. Для этого цифровая копия фонограммы была прорежена до частоты 344 Гц (полоса пропускания 155 Гц)».

Два десятка слов, и столько всякого…

Структура файла как идентификационный признак

Продолжая тему, начатую ранее, отмечу, что весь понт программы JPEGsnoop стоит на том, что она умеет сопоставлять данные из EXIF и таблицы квантования ДКП. Остальное эксперт должен анализировать сам, лично. При этом в лог программы не попадают те детали структуры файла, которые... не попадают. А между тем, анализ структуры файла JFIF может поведать очень много интересного. Просто потому, что спецификация очень гибкая, и лепит каждый кто во что горазд.

Как пример можно сравнить структуру маркеров в двух файлах JPG, один из которых создан камерой CANON EOS350D, другой - получен из первого через "Сохранить как" в IrfanView:

 Canon EOS350D        !  IrfanView 4.30

----------------------!---------------------- 

 Marker: SOI  (xFFD8) ! Marker: SOI  (xFFD8)

 -------------------  ! Marker: APP0 (xFFE0)

 Marker: APP1 (xFFE1) ! Marker: APP1 (xFFE1)

 Marker: DHT  (xFFC4) ! -------------------

 Marker: DQT  (xFFDB) ! Marker: DQT  (xFFDB)

 Marker: DQT  (xFFDB) ! -------------------

 Marker: SOF0 (xFFC0) ! Marker: SOF0 (xFFC0) 

 -------------------  ! Marker: DHT  (xFFC4)

 -------------------  ! Marker: DHT  (xFFC4)

 -------------------  ! Marker: DHT  (xFFC4)

 -------------------  ! Marker: DHT  (xFFC4)

 Marker: SOS  (xFFDA) ! Marker: SOS  (xFFDA)

 Marker: EOI  (xFFD9) ! Marker: EOI  (xFFD9)

ПиН 2

Вторым пунктом в нашей попытке систематизации дóлжно рассмотреть диагностику свойств личности по признакам, запечатлённым фото-, звуко- и видеодокументами. Глупо считать диагностикой определение высоты голоса, которая сама по себе мало значит. Не следует относить к этой категории и определение роста человека по фотографии или видеозаписи, потому как эта задача сводится к задаче определения размеров любых попавших в кадр объектов.

Видимо, из имеющих реальное значение для криминалистической практики можно было бы назвать:

2.1. диагностику лжи;

2.2. диагностику состояний сознания;

2.3. диагностику состояния алкогольного/ наркотического/ токсического опьянения;

2.4. диагностику состояния здоровья.

Первая задача – привет от доктора Лайтмана. Является общеизвестным тот факт, что человек, вынужденный лгать, против воли меняет частоту ОТ и темп речи. Но думается всё же, что для по-настоящему экспертной диагностики не достаточно ограничиться этими измерениями. Они могут выступать только в роли одного из множества индикаторов, оценить весь комплекс которых может лишь эксперт-психолог.  

Вторая задача – тоже для психолога.

Две другие задачи так же выпадают из сферы «традиционной» экспертизы фото- звуко- и видеодокументов и являются предметом судебно-медицинского исследования. Опять же, не исключающего, например, объективного анализа некоторых параметров голоса и речи теми же методами и инструментами, которыми пользуются криминалисты для идентификации.

UPD Да, совершенно забыл 
2.5. Диагностика билингвизма, региона формирования речевых навыков, уровня образования и прочий, назовём его лингвистический портрет личности. Такая розыскная карта, сузить круг подозреваемых. Естественно, методы лингвистики. Можно сказать незавершенная идентификация личности по голосу и речи, лингвистическая часть. Имеет право быть. Методических работ в этом направлении просто не знаю. 
UPD END  

Пробитые пиксели

При обсуждении возможностей идентификации устройства документирования по фотоснимку на форуме COMPUTER FORENSICS AND INVESTIGATIONS один из участников напомнил присутствующим, что можно использовать индивидуальную картинку, которую дают битые пиксели, имеющиеся, в принципе, на каждой матрице.

В общем, конечно же да. Безусловно. Только вот одно НО.

Вот кадр, на котором хорошо видны битые пиксели:

А вот кадры, где они не видны : 

Проблема только одна: научиться обнаруживать битые пиксели на произвольном, а не экспериментальном кадре.

Просто пример

На форуме COMPUTER FORENSICS AND INVESTIGATIONS промелькнула однажды вот такая фотография из практики СЗРЦСЭ:

Мне нравится с её помощью иллюстрировать техническое исследование фотоснимков. 

Во первых, методом пристального изучения деталей картинки видно, что около ручки задней двери, несколько ниже неё, отразился, судя по всему, фотограф с другом. Возникает вопрос, почему больше ничего внятного не отразилось? Ответ прост: потому, что двери заретушировали так, что ниже передней дверной ручки закрасили зазор между ними. Какое уж там отражение?

При внимательном рассмотрении видно, что на капоте авто что-то нарисовано. Этого почти не заметно, но оно есть. Там в комплекте было еще несколько снимков, в том числе - вид спереди. Досадно, но на том снимке капот чистый. Это к тому вопросу, что чем больше подделываешь, тем легче накосячить - во-первых, и никакой объём исследуемого материала лишним не бывает - это во-вторых.

Если воспользоваться JPEGsnoop'ом, вот что мы увидим:

1.  В файле имеется маркер APP1(xFFE1), в котором есть информация, позволяющая идентифицировать камеру и определить время съёмки:

EXIF MakerIFD @ Absolute 0x000002BB

[Canon.ImageType ] = "Canon EOS 400D DIGITAL"
[Canon.FirmwareVersion ] = "Firmware 1.0.5"
[Canon.SerialNumber ] = 1180613288

EXIF SubIFD @ Absolute 0x00000101

[DateTimeOriginal ]  = "2008:09:12 15:49:06"
[DateTimeDigitized ] = "2008:09:12 15:49:06"
  

2. В файле имеется маркер APP0 (xFFE0) OFFSET: 0x00000002. Если вы внимательно читали предыдущие посты, то уже знаете, что этот маркер  firmware аппаратов Canon не пишет. Пишет какое-то другое ПО.

3. Видимо, это то ПО, которое вписало в файл маркер APP13 (xFFED):

OFFSET: 0x00003E78

...

Identifier = [Photoshop 3.0]

4. Вот и результаты сравнения матриц ДКП нам такое вот говорят:

EXIF.Make / Software      EXIF.Model   Quality  

SW :[Adobe DNG Converter]              [ ]  

SW :[Adobe Photoshop ]                 [Save As 05 ]

5. В EXIF есть еще такая вот ссылочка: 

EXIF IFD0 @ Absolute 0x00000026 

[Software ] = "ACD Systems Digital Imaging"

[DateTime ] = "2008:09:12 19:18:10" 

которая нам как-бы намекает. 

Как связаны ACDSee и Photoshop 3.0 в этом конкретном случае, мы не будем разбираться. Может,  ACD Systems лицензировали древний код от Adobe, может, рачительный фотохудожник реально работает антиквариатом, не знаю. 

6. А вот зато нам JPEGsnoop подсказывает, что есть в файле миниатюра, да еще пожатая жипегом:

*** Embedded JPEG Thumbnail ***
Offset: 0x00001727
Length: 0x00002751 (10065)

Осталось сделать Image Search FWD и Export JPEG, и вот, voila: 

Оказывается, иконка, созданная фирмварью Канона, осталась в неприкосновенности. ACD Systems и возможно, даже  Photoshop не трогают маркеры, не относящиеся напрямую к данным основного изображения.

Что не может не радовать.

Видите, как всё легко? Не радуйтесь, это не даром показательный пример. 

Camera Serial Number

На сайте, где можно попытаться отыскать свой про...павший фотоаппарат, есть перечень моделей, пишущих в EXIF свой серийник.

JPEGSnoop part III

Ранее были часть I и часть II

После первого месяца экспериментов с программой рекомендуется всё же ознакомиться с функциями её меню:

File\Open – абсолютно ненужный пункт меню, дублирующий кнопку с открытой папочкой

File\Save Log – сохраняет результаты работы в текстовый файл.

File\Reprocess – повторно декодирует файл, что полезно после изменения параметров обработки

Опции меню View позволяют задавать масштаб изображения, управлять выводом отдельных каналов, накладывать сетку границ MCU на изображение.

 

Options\DHT Expand – включает дополнительное отображение таблиц Хаффмана в виде бинарных строк переменной длины:

 ----------------------------------------------------------

  Expanded Form of Codes:

    Codes of length 02 bits:

      00 = 00 (EOB)                      (Total Len =  2)

    Codes of length 03 bits:

      010 = 01                           (Total Len =  4)

  ...

    Codes of length 09 bits:

      111111110 = 0B                     (Total Len = 20)

 ----------------------------------------------------------

Options\Hide unknown EXIF tags и – абсолютно неэкспертная опция, скрывающая те теги EXIF,которое не известны JPEGsoop’у

Options\Maker Notes – еще одна неэкспертная опция: вкл/выкл декодирование раздела Maker Notes, который содержит дополнительную информацию производителя. Автор программы рекомендует отключать эту опцию, потому как производитель хранит в этом разделе всякое непонятное, которое только занимает место в логе и отвлекает внимание. Очень nonforensic approach.

Options\Scan Segment\Decode Image  - включить декодирование сегмента данных изображения. Одновременно проверяются коды переменной длины и выявляются ошибки данных (если есть). Одновременно выполняется преобразование YCbCr > RGB.

Options\Scan Segment\Histogram RGB – если включен режим Decode Image, включается отображение гистограммы трёх цветовых каналов RGB.

Options\Scan Segment\Histogram Y – если включены режимы Decode Image и Histogram RGB, включается отображение гистограммы яркостного канала Y.

Учитывая размер гистограмм, само их отображение имеет скорее декоративный, чем прикладной характер. Значение данной опции придаёт только то обстоятельство, что при включении режима Histogram Y в лог скидывается дамп данных, на основе которых строится гистограмма. Дамп содержит значения постоянной составляющей яркости всех MCU (блоков 8x8 пикс), на которые разбита картинка, в диапазоне величин  [-1024;+1023].

Options\Scan Segment\Full IDCT – включает режим полного обратного ДКП, в результате чего вычисляются и постоянная и высокочастотная составляющие компонентов сигнала для каждого MCU. Режим обеспечивает максимальное разрешение картинки, но притормаживает процесс обработки.

Options\Scan Segment\No IDCT – восстанавливается только постоянная составляющая компонентов. Картинка рисуется быстро, но не очень качественно.

Options\Scan Segment\Dump – после включения опции в лог после заголовка маркера SOS записывается 640 байт дампа данных.

Options\Scan Segment\Detailed Decode – включает режим детальной расшифровки кодов переменной длины для MCU с заданными координатами.

Options\Configuration – открывает меню некоторых дополнительных настроек программы.

Tools\Image Search Fwd, Image Search Rev  - поиск от текущей позиции очередного маркера SOI(Start Of Image) по сигнатуре 0xFFD8.

Tools\Lookup MCU Offset – поиск смещения от начала файла, по которому расположен MCU, содержащий пиксели с заданными координатами. Используется в основном для работы с повреждёнными данными.

Tools\File Overlay – замена фрагмента файла

Tools\Search Executable for DQT – поиск исполняемого кода, выполняющего ДКП. Функция может быть использована для модернизации кода сканеров, фотоаппаратов и т.д. с целью изменения качества сохраняемого JPEG изображения.

Tools\Add Camera / SW to DB... – добавление сигнатуры таблиц ДКП в локальную базу данных.

Tools\Export JPEG – экспорт данных изображения в отдельный файл. Может быть использован для извлечения миниатюр, кадров из видеофильма формата AVI Motion JPEG

Например, для поиска миниатюр необходимо запустить поиск   Image Search Fwd/Rew, затем, если найденный блок действительно представляет собой миниатюру (в нижнем окне программы она отобразится в виде малюсенькой иконки), следует выполнить экспорт в файл.   

Свои соображения про некоторые недостатки JPEGSnoop именно как экспертного инструмента, я изложу по возможности...   когда нибудь.

Пример технического исследования цифрового фотоснимка с использованием JPEGsnoop

JPEGSnoop, part II

Чуть раньше была часть I

JPEGsnoop понимает, что такое тег EXIF. Данные тега размещаются в маркере АРР1 и в данном случае позволяют идентифицировать конкретную фотокамеру (см. Cannon.SerialNumber):

Следует отметить, что в файле отсутствует маркер АРР0.

В этом случае данные EXIF не противоречат значениям таблиц квантования, на основании чего сделан вывод, что файл создан заявленным устройством документирования:

Если в базе данных программы не содержатся сведения о таблицах квантования, программа оказывается в растерянности:

А вот в случае, когда данные EXIF противоречат результатам сравнения таблиц квантования, сомнений никаких нет:

Следует отметить, что файл отредактированного изображения не потерял маркера АРР1 с данными EXIF, а наоборот, приобрел дополнительный маркер АРР0, который, вообще-то, программным обеспечением камеры не создаётся (что видно по предыдущей картинке). В этом заключается отличие графических редакторов от редакторов звука и видео. Последние не церемонятся с метаданными и заново переписывают всю структуру файла.

Таким образом, для вывода об обработке данных важны не только сами по себе сведения тега EXIF и значения таблиц квантования, но и само наличие и расположение маркеров в файле.

Продолжение следует...