Изучение лог-файлов подключений к серверу позволяет выявить сетевые адреса пользователей ресурса, установить их личности в том случае, если пользователем не были применены техники, позволяющие анонимизировать его в Сети. В ходе исследований копий содержимого серверов и облачных хранилищ могут быть найдены экземпляры использовавшихся злоумышленником вредоносных программ, сетевые реквизиты пользователей (например, данные учетных записей, IP-адреса подключений, адреса других серверов сетевой структуры). Именно эта информация поможет установить, например, сетевые адреса серверов, с которых распространялись или управлялись вредоносные программы, форумов для общения компьютерных преступников, виртуальных обменных и платежных систем.
При исследовании цифровых следов в сети В. Б. Вехов предлагает введение термина «дорожка электронных следов», аналогично трасологическим, которая обозначает систему образования следов в информационно-телекоммуникационных сетях, состоящую из нескольких последовательно расположенных по времени и логически взаимосвязанных записей о прохождении компьютерной информации по линиям связи через коммутационное оборудование оператора(–ов) связи от компьютера преступника до компьютера потерпевшего127. На наш взгляд, такая интерпретация вполне логична и оправданна.
Несмотря на большое разнообразие способов совершения преступлений в сфере компьютерной информации, источники криминалистически значимой информации будут примерно одни и те же при любом из них. В частности, это будут разного рода идентификаторы, позволяющие установить конкретное устройство или точку соединения (например, IP или MAC128 адреса, IMEI129, ICCID130 и др.), лог-файлы, данные, предоставляемые провайдерами (например, сетевой трафик и его статистика, сведения о соединениях, лог-файлы подключений и пр.), и данные, содержащиеся на носителях и непосредственно воспринимаемые следователем (фото, видео, текстовые файлы, переписки, установленные программы и приложения и пр.).
К стандартным местам их нахождения относятся:
а) постоянное и оперативное запоминающее устройства компьютера;
б) оперативные запоминающие устройства периферийных устройств;
в) внешние носители цифровой информации (например, флеш-карты, съемные жесткие диски и пр.);
г) сервера (локальных или глобальной сети);
д) облачные хранилища.
Не умаляя значения цифровых следов, при расследовании преступлений в сфере компьютерной информации не стоит забывать и о традиционных – трасологических, биологических и пр., месторасположение которых обусловлено механизмом их следообразования.
Способ совершения преступления и личностные характеристики субъекта находятся в неразрывной