Судебная программно-компьютерная экспертиза представляет собой формальный процесс применения математических методов и алгоритмического анализа к цифровым артефактам в целях установления фактов, имеющих доказательственное значение. Данная экспертиза оперирует дискретными структурами (графами, автоматами, формальными языками) и вероятностными моделями для исследования программного кода, данных и систем. Её ядро составляет задача верификации соответствия наблюдаемого поведения системы её спецификации 𝒮, где 𝒮 может быть выражена в виде технического задания, формальной спецификации или эталонного алгоритма. 🔢⚖️

🧬 Математические основы судебной программно-компьютерной экспертизы

Объектом исследования является кортеж 𝒪 = ⟨𝐶, 𝐷, 𝐸, 𝑇⟩, где:
• 𝐶 — конечное или бесконечное множество состояний системы (включая память, регистры, переменные).
• 𝐷 — множество входных данных (пользовательский ввод, сетевые пакеты, файлы).
• 𝐸 — множество событий (системные вызовы, исключения, транзакции).
• 𝑇 : 𝐶 × 𝐷 → 𝐶 × 𝐸 — функция перехода (детерминированная или стохастическая), определяющая поведение системы.

Судебно-программно-компьютерная экспертиза ставит целью проверить гипотезу 𝐻₀: «Реализованная система 𝑇ᵣ соответствует спецификации 𝒮» против альтернативы 𝐻₁: «Существует такое входное значение 𝑑 ∈ 𝐷, что выход 𝑇ᵣ(𝑑) ∉ 𝒪ₑ(𝑑)», где 𝒪ₑ — ожидаемое множество выходных состояний согласно 𝒮. Для этого применяются следующие методы:

• Теоретико-модельная проверка (Model Checking): Система моделируется как конечный автомат или сеть Петри. Проверяется выполнение временных логических формул (например, LTL — Linear Temporal Logic) вида ◻(𝑝 → ◇𝑞), что означает «всегда, когда истинно 𝑝, в конечном итоге станет истинным 𝑞». Это позволяет формально доказать наличие или отсутствие дефектов, таких как deadlock или нарушение инвариантов. 🔍
  • Символьное выполнение (Symbolic Execution): Вместо конкретных значений переменных используются символьные выражения. Пути выполнения программы представляются в виде систем ограничений, решаемых SAT/SMT-решателями (Z3, CVC5). Это позволяет покрыть множество путей за один запуск и выявить условия срабатывания уязвимостей. ∫
  • Анализ графов зависимостей (Dependency Graph Analysis): Исходный код преобразуется в граф потока управления (CFG — Control Flow Graph) 𝐺 = (𝑉, 𝐸), где 𝑉 — базовые блоки, 𝐸 — переходы. Анализ достигающих определений (Reaching Definitions) и живых переменных (Live Variable Analysis) на этом графе позволяет установить причинно-следственные связи между событиями. 📈
  • Вероятностный анализ и теория информации: При исследовании уникальности кода используется мера схожести на основе расстояния Левенштейна или хеширования (например, MinHash). Для случайных процессов в системе (например, планировщика) применяются цепи Маркова. Энтропия Шеннона 𝐻(𝑋) = -∑𝑝(𝑥)log₂𝑝(𝑥) может оценивать предсказуемость алгоритмов или степень обфускации кода. 🎲

Программно-компьютерная экспертиза для суда в Москве и Московской области часто требует работы с распределёнными системами, что усложняет моделирование до задачи анализа графов с временными метками (Temporal Graphs), где рёбра активируются в определённые моменты времени 𝑡 ∈ 𝕋.

❓ Формальная постановка вопросов для судебной программно-компьютерной экспертизы

Вопросы к эксперту должны допускать формализацию. Пусть 𝑃 — исследуемая программа, 𝒯 — техническое задание, ℐ — инцидент. Примеры корректных постановок:

• Вопросы верификации (Verification Questions):
  • Верно ли, что для всех входных данных 𝑑, удовлетворяющих предусловию 𝜑(𝑑) из 𝒯, программа 𝑃 завершает работу и её выходное состояние 𝑠ᵢᵤₜ удовлетворяет постусловию 𝜓(𝑠ᵢᵤₜ)? ∃?𝑑: 𝜑(𝑑) ∧ ¬𝜓(𝑃(𝑑)).
  • Существует ли такое выполнение программы 𝑃, при котором достигается состояние 𝑠, где переменная total_costпринимает значение, превышающее лимит MAX_COST, определённый в 𝒯? Это задача поиска пути в CFG к вершине с определённым условием.
• Вопросы причинности (Causality Questions):
  • Пусть ℐ описывается событием «система возвращает ошибку 500». Является ли выполнение функции calculate()необходимой и достаточной причиной (в смысле контрфактической зависимости) для ℐ при условии входных данных 𝑑₀? Требуется построить контрафактуальную модель.
  • Какова вероятность 𝑝 того, что инцидент ℐ произошёл вследствие дефекта в модуле 𝑀, а не вследствие внешнего воздействия 𝐹? 𝑝 = 𝑃(ℐ | 𝑀) / [𝑃(ℐ | 𝑀) + 𝑃(ℐ | 𝐹)].
• Вопросы сходства и уникальности (Similarity Questions):
  • Пусть 𝐴 и 𝐵 — два программных модуля, представленные множествами их CFG 𝐺ₐ и 𝐺₆. Оценить меру сходства 𝛿(𝐺ₐ, 𝐺₆) на основе изоморфизма подграфов или сравнения векторов признаков (например, через graph embeddings). Является ли значение 𝛿 статистически значимым для вывода о заимствовании?
  • Пусть 𝐻(𝐾) — энтропия алгоритма 𝐾, оценённая по распределению его выходных данных. Насколько 𝐻(𝐾₁) отличается от 𝐻(𝐾₂), где 𝐾₂ — эталонный алгоритм? Δ𝐻 = |𝐻(𝐾₁) − 𝐻(𝐾₂)|.
• Вопросы производительности (Performance Questions):
  • Пусть время выполнения 𝑇(𝑛) алгоритма в 𝑃 должно быть 𝑂(𝑛 log 𝑛) согласно 𝒯. Подтвердите или опровергните, что эмпирически оцененная функция 𝑇ᵢ(𝑛) принадлежит этому классу сложности. Требуется регрессионный анализ и проверка гипотезы с использованием теста Манна-Уитни. ⏱️

Математическая строгость в постановке вопросов — основа объективности судебной программно-компьютерной экспертизы.

🧫 Практические кейсы судебной программно-компьютерной экспертизы (с математическим анализом)

Кейс 1: Верификация алгоритма распределения средств в финтех-приложении (Москва).
Спор о некорректных списаниях. 𝒯 требовало, чтобы комиссия fee вычислялась как fee = amount * 0.02. Экспертиза применила символьное выполнение к функции calculateFee(). SMT-решатель обнаружил путь, где при amount > 100000 и наличии флага premium = true выполнялся ветвление на формулу fee = amount * 0.025. Было формально доказано нарушение инварианта ∀ amount: fee / amount = 0.02. Нарушение 𝒯 подтверждено. 💸➗

Кейс 2: Анализ причин deadlock в системе управления складом (Московская область).
Система периодически «зависала». Модель системы была построена как сеть Петри. Анализ инвариантов и построение графа достижимости выявили наличие маркировки 𝑀, где два процесса 𝑃₁ и 𝑃₂ находились во взаимной блокировке, ожидая ресурсы 𝑅₁ и 𝑅₂. Формально: в состоянии 𝑀 выполнялось 𝑃₁.holds(𝑅₁) ∧ 𝑃₁.requests(𝑅₂) ∧ 𝑃₂.holds(𝑅₂) ∧ 𝑃₂.requests(𝑅₁), что является классическим deadlock-условием. Экспертное заключение содержало формальную модель и путь к deadlock. 🔒

Кейс 3: Установление плагиата алгоритма обработки геоданных (Москва).
Два продукта для недвижимости имели схожий модуль кластеризации объектов. Экспертиза построила CFG для ключевой функции в обоих случаях. Применила алгоритм сравнения графов на основе вычисления ядра (graph kernel), используя функцию 𝑘(𝐺, 𝐺′) = ∑ᵢ ∑ⱼ 𝜆ᵢⱼ, где 𝜆 — собственные значения матрицы смежности. Сходство составило 0.94 при пороге уникальности 0.3 (оцененном на базе независимых алгоритмов). Вывод о заимствовании был статистически значимым (p-value < 0.01). 🗺️📊

Кейс 4: Определение вероятности случайности сбоя в биллинговой системе.
Заказчик утверждал, что сбои носят системный характер. Эксперты проанализировали временные ряды инцидентов. Применили тест Дики-Фуллера для проверки стационарности и модель Пуассоновского процесса. Интенсивность отказов λ оказалась постоянной, что указывало на случайный характер. Однако кластерный анализ (метод k-means) по времени суток и нагрузке выявил аномальную концентрацию сбоев при высокой нагрузке (> 95-й перцентиль). Была рассчитана условная вероятность 𝑃(сбой | нагрузка > 𝑞₀.₉₅) = 0.34, что существенно выше безусловной 𝑃(сбой) = 0.02. Вывод: дефект проявляется при экстремальной нагрузке. 📉📈

Кейс 5: Анализ утечки данных через формальную верификацию политик доступа.
В системе госучреждения Подмосковья произошла утечка. Спецификация безопасности 𝒮 требовала: ◻(access(file, user) → has_role(user, ‘admin’)). Экспертиза преобразовала систему управления доступом (RBAC) в модель Крипке и применила model checker (NuSMV). Проверка выявила контрпример: существовал путь выполнения, где пользователь с ролью ‘auditor’ мог получить доступ через каскадное удаление временного файла с правами 777. Формула безопасности была опровергнута, уязвимость документально подтверждена. 🗂️🔓

✅ Заключение

Судебная программно-компьютерная экспертиза, основанная на математическом аппарате, трансформирует субъективные претензии в область проверяемых гипотез и формальных доказательств. Она обеспечивает высшую степень достоверности, требуемую в судопроизводстве, особенно в таком технологически сложном регионе, как Москва и МО. Использование методов теоретической информатики, теории вероятностей и дискретной математики делает выводы экспертизы воспроизводимыми, верифицируемыми и независимыми от интерпретации.

Для проведения строгой судебно-программно-компьютерной экспертизы с применением математических моделей обращайтесь к нашим специалистам.

Полная информация на сайте: https://kompexp.ru/