Вопросы, поставленные на исследование
Имеются ли на представленном на исследовании сервере с базами данных признаки шифрования данных? Если да, то какие это признаки?
Результаты исследования
Специалисты Лаборатории судебных экспертиз и исследований провели компьютерно-техническое исследование сервера, на котором размещались базы данных учетных систем на платформе 1С. Целью исследования являлось установление факта шифрования данных и выявление объективных технических признаков такого воздействия.
В ходе анализа файловых структур и содержимого баз данных были выявлены характерные признаки криптографической обработки информации. В частности, при исследовании данных в шестнадцатеричном редакторе установлено отсутствие корректных метаданных в начальных секторах файлов, что не соответствует штатной структуре файловых форматов 1С. Дополнительно зафиксирован аномально высокий уровень энтропии, свидетельствующий о случайном распределении байтов, нехарактерном для незашифрованных информационных баз.
Построчный анализ содержимого файлов показал отсутствие читаемых фрагментов данных и служебной информации, что было подтверждено как визуальным осмотром, так и результатами энтропийного анализа. Отдельным значимым признаком стало обнаружение файла с инструкцией по восстановлению данных, содержащего указания на процедуру дешифрования.
Совокупность установленных признаков позволила экспертам ЛСЭИ сделать обоснованный вывод о наличии шифрования данных на исследуемом сервере и исключить версии их повреждения либо утраты по иным техническим причинам.
