По SD-карте можно определить, какой номер у последнего файла и какой сектор этот файл занимает на карте.
Карта была извлечена из фотокамеры, и была сделана фотография. Затем карта была снова вставлена в фотокамеру, и была сделана еще одна фотография, а затем было определено, какой номер файла был присвоен этому фото и в какой сектор была записана его первая часть. После этого была выполнена та же последовательность действий, но фотография, которая была сделана в промежутке, была записана на другую SD-карту.
Результаты показаны в обзоре ниже, в таблице № 5.
Тест F показывает, что номер фотографии пропускается, и следующие друг за другом места в памяти идут без промежутков между фотографиями только в том случае, если «пропавшее» фото было сделано на другую SD-карту.
Если делать фотографию без SD-карты, фотокамера предупреждает, что карта памяти не установлена. Тем не менее можно сделать фотографию. Затем фотокамера сообщает, что фотография не может быть сохранена. Если анализировать SD-карту на левой части рисунка 5, можно увидеть, что нумерация файлов продолжается, а сектора соединяются не полностью. То есть если сделать фотографию без SD-карты, это не приведет к искомому результату.
Обзор в правой части отражает результат, полученный Отделом цифровых расследований во время исследования копии SD-карты фотокамеры Лисанн Фрон: есть файл пропавшей фотографии и занятые секторы файла перед ним, соединяющиеся без промежутка с сектором следующей фотографии.
Выводы
1. Очень маловероятно, что фотокамера пропустила номер фотографии или что после удаления фотографии номер файла и секторы этого снимка были заняты следующей фотографией, созданной позже.
2. Если для удаления и/или восстановления использовался компьютер, то возможно получить искомый результат, как показывает исследование Отдела цифровых расследований: файлы занимают последовательные кластеры, а имена файлов легко заменяются на компьютере. Тем не менее это не объясняет того, что невозможно было обнаружить следы исчезнувшей фотографии, притом что можно было найти все другие удаленные файлы. Мы можем представить, что есть возможность удалить эти следы, но это требует высокой степени профессионализма и значительных временных затрат, особенно если это было сделано позже, после того, как после удаления одной фотографии было снято еще множество.
3. Мы начали с вопроса: при каком варианте возможно удалить фотографию на SD-карте так, чтобы номер файла был пропущен, секторы файлов, предшествующего удаленному и идущего сразу за ним, шли последовательно без промежутков, и невозможно было найти никаких следов удаленной фотографии. Мы пришли к выводу, что удаление фото не ведет к результату, который мы искали. Тем не менее можно хранить «исчезнувший» файл на другом носителе, как было сделано в тесте F. Это единственный способ получить точно такой же результат, который был обнаружен Отделом цифровых расследований.
Итак, есть два варианта: либо фотография была на самом деле удалена специалистом при помощи компьютера, либо карта памяти А была вынута из фотокамеры после того, как был сделан снимок 0508, и была вставлена карта памяти В. Затем была сделана фотография 0509. После того как она была снята, карта памяти В была вынута из фотокамеры, и снова была вставлена карта памяти А, а затем были сделаны фотографии с 0510 по 0609. Ну и, конечно, есть небольшая вероятность, что камера спонтанно пропустила номер. Консультации со специалистами по Canon дали нам понять, что пропуск номеров фотографий «в принципе невозможен», хотя это может произойти «в очень исключительных случаях». Но ни в одном из посвященных Canon форуме мы не могли найти подобный случай. Кроме того, ни один из профессиональных фотографов не мог вспомнить, чтобы с ним произошло что-то подобное, хотя они сняли множество фотографий.
Ответить на вопрос, могла ли Лисанн взять с собой две карты памяти, сложно, так как прошло семь лет, но это подходит к тому образу девушки, который мы составили: молодая женщина, которая готова ко всему. Более того, полицейский, участвовавший в расследовании, говорил нам о «двух катушках фотопленки».
Предположение, что фотография, о которой идет речь, была удалена специалистом таким образом, чтобы даже Институт судебной экспертизы не мог найти ее следов, кажется нам нереальным. Также сложно согласиться с тем, что исчезновение именно той фотографии, которая находилась между последним фото 1 апреля и первой ночной фотографией, — просто случайность. С неявным подтверждением того, что на самом деле были две карты памяти, прийти к выводу, что Лисанн поменяла карту прямо перед тем, как сделать снимок 0509, — самое очевидное решение.
Остается вопрос: почему Лисанн поменяла карту памяти? Карта, которая была вставлена в фотокамеру, когда две девушки начали путешествие, еще не была заполнена, судя по тому, что на ней все еще оставались следы удаленных фотографий. Ответом на этот вопрос могут быть в лучшем случае догадки. Тем не менее есть довольно убедительная причина, почему она вынула вторую карту памяти, сделав снимок 0509: таким способом можно сохранить заряд аккумулятора, если используется вспышка. Если предположить это, то надо отметить, что карта памяти была намеренно вставлена обратно в камеру ночью 8 апреля.
Данные, которые нужно было установить: во сколько и в какой день были сделаны фотографии. NFI отметил, что на фотокамере установлен 2013 год, хотя на самом деле был 2014-й; последнее — очевидный факт, так как Крис и Лисанн отправились в Панаму в 2014 году, и на карте памяти были фотографии, сделанные в Панаме. В период зимнего времени между Нидерландами и Панамой разница в шесть часов, в период летнего — семь. Фотографии с номера 0167 и далее можно отнести к путешествию по Панаме. Эта фотография, 0167, была сделана у выхода на посадку в амстердамском аэропорту Схипхол, на ней запечатлен самолет United Airlines, на котором Крис и Лисанн летели через Хьюстон в Сан-Хосе. EXIF-данные этой фотографии указывают, что она была сделана 15 марта 2013 года в 07.17.44 по нидерландскому зимнему времени. Время соответствует времени отправления рейса.
Фотография 0248 демонстрирует запястье одной из двух девушек с часами Fossil, тип FS4435. Время на часах — 13.32, в то время как EXIF-данные фотографии 0248 указывают дату 21 марта 2013 года и время 19.37.57. На основании этих двух фактов NFI сделал обоснованный вывод, что на камере было установлено время, на 6 часов 5 минут более раннее, чем панамское. Другими словами, если фотография указывает, что она была сделана в 19.37, на самом деле она была снята в 13.32.
Фотокамера не могла подключаться к вай-фаю, так что время и дату надо было устанавливать вручную. Исходя из времени, когда фотографии на Мирадоре были сделаны мобильным телефоном Лисанн (13.15), NFI заключил, что на фотокамере не было установлено летнее время. Так что разница между временем, указанным в EXIF-данных, и реальным временем, когда была сделана фотография, составляет шесть часов пять минут. Для удобства мы считаем, что разница во времени составляла шесть часов.
Из этого NFI определил, что девушки добрались до Мирадора 1 апреля 2014 года в 13.00 по панамскому времени и ушли в джунгли в 13.15. Последняя фотография за 1 апреля, номер 0508, была сделана в 13.56.
Предположение, с которым мы сталкивались регулярно, что Canon по умолчанию настраивает в своих камерах дату 1 апреля, было опровергнуто техническим сотрудником Canon.
По мнению многих, EXIF-данные фотографий Лисанн, попавших в интернет, показывают, что фотографии были обработаны. Мы хотели выяснить, есть ли в этом доля истины.
При помощи EXIF-данных можно восстановить всю информацию о фотографии. От типа фотокамеры до цветового распределения или настроек. Если фотографии обрабатывались, данные это покажут.
Так как человек, продвигавший «теорию обработки», утверждал, что специалист по EXIF-данным Фил Харви с ним согласен, мы использовали инструмент Харви, чтобы упорядочить данные фотографий Лисанн так, чтобы мы смогли изучить их.
Первый признак, что что-то не так, исходил из количества характеристик, которое при нормальных условиях нельзя было бы ожидать от таких данных. В данном случае были следующие показатели:
Порядок байтов EXIF: Big-endian (Motorola, MM)
Версия JFIF: 1.01
Программное обеспечение: Microsoft Windows Photo Viewer 6.1.7600.16385
Дата преобразования: 17.06.2014 16.56.12
Предупреждение: [minor] Adjusted MakerNotes base by 4214
Дата преобразования: 17.06.2014 16.56.12
Подвыборка Y Cb Cr: YCbCr4:4:0 (12)
Автоматический поворот: Поворот 270 по часовой стрелке (или 90 по часовой стрелке)
Big-Endian представляет собой порядок, в котором записаны данные на карте памяти. Он всегда должен быть одинаков, так как есть два различных способа записать данные на карту памяти (Big-Endian и Little-Endian) и они взаимоисключающие. Так что способ всегда либо один, либо другой. Canon Лисанн записывал фотографии на карту памяти как Little-Endian. Тот факт, что у ряда фотографий был порядок Big-Endian, означает, что с этими фотографиями что-то произошло, то есть они были обработаны.
Мы посмотрели на EXIF-данные и увидели, что 17 июня 2014 года что-то случилось с несколькими фотографиями. Данные девятнадцати фотографий, тринадцати, снятых 1 апреля, и шести, снятых 8 апреля, показывали, что 17 июня 2014 года, через четыре дня после того, как рюкзак передали властям, их обрабатывали при помощи Windows Photo Viewer.
Сначала мы объяснили это тем, что кто-то с телеканала TVN-2 получил доступ к карте памяти. Тот факт, что дата 17 июня 2014 года в EXIF-данных соответствует показу шоу на