компонентов (комплектующих устройств) представленного ноутбука; — из ноутбука извлекалась информация, процедура изъятия информации была обусловлена требованием полной сохранности исследуемой информации путём обеспечения условий, исключающих какую-либо запись на него новых данных; — к ноутбуку в соответствии с эксплуатационными правилами подключалось электропитание и устройство ввода «мыши» от компьютера эксперта; — ноутбук включался, производилась загрузка операционной системы с компьютера эксперта, определялись установленная дата и время и диагностировалось входящие в ноутбук устройства. 1.2. Исследование состояния, файловой системы и информации на накопителе ноутбука проводилось по следующей методике: — визуальным осмотром устанавливался интерфейс, состояние перемычек и переключателей исследуемого ноутбука; — исследуемый накопитель подключался к компьютеру эксперта в качестве вспомогательного диска (путём обеспечения условий, исключающих какую-либо запись на него новых данных); — определялись технические параметры накопителя (количество секторов, размеров секторов и ёмкости), проводилось выявление таблицы разделов накопителя с определением его основных параметров (начало и конец раздела, тип файловой системы, наличие и состояние флагов раздела, размер кластеров), определение логической адресации системных областей разделов накопителя (загрузочной записи, файловой таблицы, корневых каталогов); — производился поиск признаков повреждения целостности структуры данных (несоответствия заявленных параметров раздела фактическим, наличие сбойных, потерянных кластеров) и устанавливалась возможность доступа к данным на исследуемом накопителе; — производилось создание файл-образа, содержащего точную копию исследуемого накопителя, на вспомогательном накопителе на жёстких магнитных дисках (далее — НЖМД) эксперта путём посекторного копирования с фиксацией технических параметров формата носителя с использованием специального программного обеспечения для экспертного исследования компьютерных носителей информации; — производился поиск файлов, соответствующих программам-архиваторам. Выявленные архивные файлы разархивировались в отдельную папку (каталог) НЖМД компьютера эксперта; — производился поиск удалённых файлов. Файлы, подлежащие восстановлению, восстанавливались в отдельную папку (каталог) НЖМД компьютера эксперта; — производился поиск скрытых (зашифрованных) каталогов, образов виртуальных дисков, папок (каталогов) и файлов ноутбука; доступ к ним обеспечивался доступ к выявленным скрытым (зашифрованным) данным; — определялись ключевые слова для поиска, производился поиск Эксперт