← Обзор инструментов криминал…CTF-форензика и легальная п… →

Написание криминалистического отчёта

Этот урок о финальном продукте расследования — отчёте, по которому принимают решения.

Криминалистический отчёт — документ, который понятно, точно и воспроизводимо излагает, что, как и с какими доказательствами было установлено в ходе расследования.

Можно блестяще провести анализ, но если выводы изложены сумбурно, расследование не достигнет цели. Отчёт читают руководители, юристы, иногда суд — людям с разным уровнем подготовки. Поэтому ясность и структура так же важны, как техническая глубина.

Стоит сразу принять важную мысль: отчёт — это не приложение к работе, а её результат. Заказчик расследования платит не за то, что вы «покопались в образе», а за обоснованный ответ на вопросы «что произошло, как, кто/что задействовано, насколько серьёзно и что делать». Всё, что вы нашли, существует для внешнего мира только в той мере, в какой это попало в отчёт и изложено убедительно. Поэтому хорошие специалисты пишут отчёт не в последний день, а ведут его непрерывно: фиксируют шаги, хеши, наблюдения по ходу анализа. Это и страховка от забывчивости, и основа воспроизводимости.

Структура отчёта

  1. Резюме (executive summary) — короткий вывод для нетехнических читателей: что произошло, насколько серьёзно, что сделано.
  2. Контекст и объём — что расследовали, на каком основании (право доступа!), границы работы.
  3. Доказательства — перечень улик с идентификаторами, хешами, цепочкой хранения.
  4. Методология — инструменты, версии, шаги (для воспроизводимости).
  5. Находки — факты с привязкой к доказательствам и таймлайну.
  6. Выводы — интерпретация фактов, отделённая от самих фактов.
  7. Рекомендации — что исправить, чтобы не повторилось.
  8. Приложения — логи, скриншоты, хеши, таймлайн.

Эта структура не случайна: она ведёт читателя от «что в двух словах» через «на каких данных» и «как именно» к «что мы из этого заключаем» и «что теперь делать». Каждый раздел отвечает на конкретный вопрос конкретной аудитории. Руководитель прочитает резюме и рекомендации; юрист — объём, доказательства и цепочку хранения; технический рецензент — методологию и находки. Грамотно построенный отчёт обслуживает всех этих читателей одновременно, не заставляя ни одного из них продираться через чужой раздел.

Отдельно стоит сказать про раздел объёма и основания, который новички часто опускают как «и так понятно». Именно он фиксирует легальную рамку: что именно вы имели право исследовать, на каком основании (согласие владельца, корпоративная политика, поручение), и где проходили границы — какие системы и данные в работу не входили. Это защищает и расследование, и самого аналитика: явно очерченный объём показывает, что вы не выходили за рамки полученного доступа и не касались чужой приватной информации без оснований. В контексте 152-ФЗ и статей 137/138 УК такая фиксация — не бюрократия, а доказательство законности вашей же работы. Отчёт, в котором не ясно, что и почему было можно смотреть, уязвим независимо от того, насколько сильны технические находки.

Факты против выводов

Ключевое правило — разделять наблюдаемое и интерпретацию. Факт: «файл /tmp/x создан в 02:12 UTC, его SHA-256 совпадает с известным вредоносом». Вывод: «вероятно, доступ получен через скомпрометированную SSH-учётку admin». Вывод обоснован фактами, но подаётся как интерпретация, с оценкой уверенности.

Каждая находка:
  ФАКТ        -> что наблюдается (с доказательством)
  ИСТОЧНИК    -> улика E-01, лог, хеш
  ВЫВОД       -> что это вероятно значит
  УВЕРЕННОСТЬ -> высокая/средняя/низкая

Почему это так строго? Потому что факт и вывод имеют разный «вес» и по-разному оспариваются. Факт либо подтверждается данными, либо нет — он проверяем. Вывод — это ваша профессиональная интерпретация, и она может быть оспорена альтернативной версией. Смешав их, вы делаете весь отчёт уязвимым: оппоненту достаточно опровергнуть одно предположение, поданное как факт, чтобы поставить под сомнение и подлинные находки. Разделяя их и честно проставляя уровень уверенности (а где уместно — и альтернативные гипотезы), вы делаете отчёт устойчивым: даже если один вывод не подтвердится, факты и остальная логика останутся в силе.

Язык и тон

Пишут нейтрально, без эмоций и обвинительного уклона, в прошедшем времени, с точными значениями (время в UTC, полные хеши, версии). Технические детали — в приложениях; основной текст должен быть понятен и руководителю.

Нейтральность здесь — профессиональная позиция, а не стилистическая прихоть. Криминалист устанавливает факты, а не назначает виновных; формулировки вроде «злоумышленник цинично уничтожил данные» не добавляют доказательности, зато выдают предвзятость и легко оборачиваются против автора. Сравните: «обвиняемый удалил журналы, чтобы скрыть взлом» (оценочно, предполагает и личность, и мотив) против «в 02:30 UTC зафиксировано событие очистки журнала безопасности (Event ID 1102); записи за период 02:00–02:30 отсутствуют» (проверяемый факт). Второй вариант сильнее именно своей сухостью. То же касается точности: «примерно ночью» проигрывает «02:12 UTC», а «вирус» — конкретному имени семейства и хешу.

Как работает под капотом (зачем такая дисциплина)

Отчёт — это «упаковка» воспроизводимости. По разделу методологии другой эксперт должен повторить анализ; по разделу доказательств — проверить целостность по хешам и цепочке хранения; по разделению факт/вывод — отличить установленное от предположенного. Так отчёт выдерживает критику и служит основой для решений и, при необходимости, для суда.

За этой дисциплиной стоит представление о том, что цифровое доказательство легко изменить, а значит, доверие к нему держится исключительно на процедуре. Хеш, посчитанный при изъятии и совпадающий при анализе, доказывает, что данные не менялись. Задокументированная цепочка хранения (кто, когда, что делал с уликой) закрывает вопрос «а не подменили ли». Зафиксированные версии инструментов позволяют объяснить расхождения, если повторный анализ другой версией даст чуть иной результат. По сути отчёт превращает вашу работу из «поверьте мне на слово» в проверяемое утверждение — и именно это делает его юридически и организационно значимым.

Частые ошибки

  • Смешать факты и домыслы. Подрывает доверие и оспоримо.
  • Забыть резюме для нетехнических читателей. Решение принимают не только инженеры.
  • Не указать объём и основание. Без них непонятны легальность и границы.
  • Опустить методологию и версии. Теряется воспроизводимость.
  • Перегрузить основной текст техникой. Детали выносят в приложения, оставляя в теле читаемую линию.

Итоги

  • Отчёт структурирован: резюме, объём, доказательства, методология, находки, выводы, рекомендации, приложения.
  • Факты отделяют от выводов; выводы обосновывают и оценивают по уверенности.
  • Нейтральный тон, точные значения, воспроизводимость — основа доказательной силы.
Проверьте себя
1. Зачем в отчёте разделяют факты и выводы?
AЧтобы он был длиннее
BЧтобы отличить наблюдаемое от интерпретации и сохранить доказательную силу
CЧтобы запутать читателя
DТак требует Volatility
2. Для кого предназначено резюме (executive summary) в отчёте?
AТолько для других криминалистов
BДля нетехнических читателей: руководителей, юристов
CДля злоумышленника
DДля антивируса
3. Зачем в отчёте раздел методологии с инструментами и версиями?
AДля объёма
BДля воспроизводимости — чтобы другой эксперт мог повторить анализ
CДля рекламы инструментов
DЭто необязательный раздел