Меню сайта |
Полезная информация |
Контакты |
Волгоградская область
г. Волжский,
ул. имени Генерала
Карбышева, 59Б
☎ (8443) 21-00-37
8-961-085-37-37
г. Волгоград,
ул. 13-я Гвардейская
д. 1А, офис 51
☎ (8442) 56-37-37
8-902-098-37-37
E-mail: 123vlz@mail.ru |
Компьютерно-техническая экспертиза
Исследование информационных компьютерных средств
Судебная компьютерно-техническая экспертиза (СКТЭ) – самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимый в целях: определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним ее исследованием.
Специальные познания СКТЭ составляют следующие научные направления: автоматизация, информационные системы и процессы, электроника, электротехника, радиотехника и связь, вычислительная техника (в том числе программирование) и др.
Видовая классификация организуется на основе обеспечивающих компонент любого компьютерного средства [аппаратного (технического), программного и информационного обеспечения] и используется в виде, соответствующем процессам разработки и эксплуатации компьютерных систем. Поэтому выделяются следующие виды экспертизы: аппаратно-компьютерная; программно-компьютерная; информационно-компьютерная (экспертиза данных). Кроме того, достаточно оправданным представляется выделение еще одного вида – компьютерно-сетевой экспертизы. Такое деление на виды наиболее полно охватывает технологические особенности, эксплуатационные свойства объектов экспертизы, предъявляемых для исследования.
Родовой (видовой) объект – определенная категория предметов, обладающих общими признаками и относящихся к компьютерным средствам. Одной из важных особенностей объекта СКТЭ является его составной характер. Конкретный объект экспертизы – определенное компьютерное средство, исследуемое в процессе данной экспертизы, обладающее признаками индивидуальности и неповторимости, что и определяет специфику конкретного исследования.
Система объектов СКТЭ по классификационному основанию видового деления выглядит следующим образом:
а) класс аппаратные объекты, включающий в себя виды: персональные компьютеры (настольные, портативные), периферийные устройства, сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.), интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.), встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.), любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и т.п.). Указанные виды могут охватывать различные сочетания подвидов.
б) класс программные объекты, включающий в себя виды: системное программное обеспечение (подвиды: операционная система, вспомогательные программы-утилиты, средства разработки и отладки программ, служебная системная информация); прикладное программное обеспечение [подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.) и подвид приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т.д.)];
в) класс информационные объекты (данные), включающий в себя виды: текстовых и графических документов, изготовленных с использованием компьютерных средств; данных в форматах мультимедиа; информации в форматах баз данных и других приложений, имеющей прикладной характер.
К типичным объектам рассматриваемого рода экспертизы возможности судебно-экспертного исследования компьютерных средств и систем отражены в следующем методическом подходе, отражающем сущность современной СКТЭ.
Исследование системного блока персонального компьютера проводится путем:
- визуального осмотра внутренних аппаратных компонентов системного блока;
- извлечения из системного блока жесткого диска;
- подключения к системному блоку монитора, клавиатуры и манипулятора «мышь» и прерывания его загрузки для определения установок программы SETUP BIOS;
- определения системной даты, времени компьютера, других конфигурационных установок в программе SETUP BIOS;
- загрузки операционной системы с системной дискеты эксперта и диагностирования соответствующими программными средствами аппаратных компонентов системного блока (все выполняется без жесткого диска).
Исследование носителей компьютерной информации проводится путем:
- определения класса носителя (например, для компакт-дисков: CD-ROM, CD-R, CD-RW и др.);
- определения интерфейса, состояния перемычек и переключателей (для НЖМД);
- определения назначения носителя;
- подключения к стендовому компьютеру исследуемого жесткого диска в качестве дополнительного диска;
- определения основных технических параметров (номеров цилиндров, сторон (головок), секторов, количества секторов, размеров секторов и емкости);
- выявления таблицы разделов диска с определением их основных характеристик (начало и конец раздела, тип файловой системы, идентификаторы и метки разделов, размер и количество кластеров);
- определения логической адресации системных областей разделов (загрузочной записи, таблиц FAT и корневого каталога);
- поиска признаков повреждения целостности структуры данных (несоответствие заявленных параметров раздела фактическим, наличие сбойных, потерянных и др. кластеров, отличия фактического размера файлов от размеров, записанных в каталоге, некорректно сохраненные имена каталогов и файлов и т.п.).
Исследование файлов проводится путем:
- создания «зеркальной» копии всего содержимого носителя информации на вспомогательном носителе (посекторное копирование с фиксацией технических параметров формата носителя, например, используются программы типа Disk Edit (Symantec Norton Utilities);
- при невозможности создания вспомогательного носителя, перед подключением исследуемого жесткого диска к стендовому компьютеру, необходимо отключить все резидентные программы, загружаемые в ОС Windows и производящие операции записи на диск. Исследуемый диск должен быть установлен в системе как дополнительный съемный диск. Все файлы с исследуемого диска копируются на диск стендового компьютер. После отключается исследуемый диск, и проводиться исследование скопированных файлов на рабочем жестком диске стендового компьютера;
- определения основных количественных параметров каталогов и файлов, содержащихся на носителе (с разбиением по логическим дискам);
- определения основных статистических параметров и временных атрибутов каталогов и файлов;
- определения соответствия дат создания и редактирования файлов системному времени компьютера и общей ситуации проведения экспертизы;
- определения перечня программного обеспечения, содержащегося на магнитном носителе (уставленное программное обеспечение и дистрибутивы) с указанием назначения программ, названия программ, типовых расширений файлов, с классификацией по разделам (операционные системы, архиваторы, антивирусы, работа в Интернет, работа с графикой, работа со звуком, языки программирования, работа со сканером и распознавание текста, программы переводчики, игры и т.д.);
- выделения общедоступных и предположительно подготовленных пользователем файлов данных (с указанием каталогов и программ подготовки файлов);
- определения общего объема файлов данных;
- выделения защищенной от несанкционированного доступа информации (зашифрованные диски и файлы, электронные сжатые диски, защищенные паролями архивы и др.);
- поиска удаленных файлов и остаточной информации (например, с помощью программ Unerase, DiskEdit (Symantec Norton Utilities ) и т.п.);
- выделения файлов, представляющих интерес для экспертизы;
- определения содержимого и атрибутов файлов операционной системы, характеризующих работу пользователя в операционной системе, в локальных и глобальных сетях;
- поиска программ (файлов), содержащих признаки заражения компьютерными вирусами (например, с использованием программ AVP, Dr.Web и пр.).
Поиск признаков выполнения несанкционированных действий или использования специальных программ удаленного администрирования производится путем:
- поиска программ, предназначенных для подбора паролей, и результатов их работы (файлов результатов и файлов настроек программ);
- поиска фактов работы с использованием чужих учетных записей или других системных ресурсов;
- установления содержимого рукописных и печатных материалов, текстовых файлов и файлов электронной почты;
- поиска программ с деструктивными (вредоносными) функциями и их экспериментального исследования на стендах, моделирующих предполагаемые условия их функционирования;
- выявления текстовых файлов, содержащих ключевые слова;
- выявления пользовательских файлов (звуковых, графических, текстовых, исполняемых модулей), имеющих отношение к заданной тематике (обстоятельствам дела);
- уяснения диагностических параметров настройки программ (регистрационные имя пользователя и название организации в программах подготовки документов Microsoft Office или системах программирования);
- исследования защищенных паролями файлов;
- определения особенностей подготовки текстового файла с учетом среды подготовки, регистрационных параметров использовавшегося текстового редактора, времени создания документа, времени редактирования и количества редакций (в режиме автосохранения и по команде пользователя), внесенных изменений, наличия макрокоманд и макровируса в тексте и пр.;
- выявления и определения назначения программ с минимальным пользовательским интерфейсом и не содержащих пояснительных указаний и комментариев (с установлением относящихся к этим программам файлов данных);
- сравнительного исследования нескольких версий программ, конфигурационных файлов (настроек) и файлов данных;
- изучения протоколов работы пользователя (или программ) и интерпретации их действий;
- определения работоспособности и уточнения фактически выполняемых функций программ с рекламируемыми и заявленными свойствами;
- выявления и уточнения назначения программ управления другими аппаратными средствами, подключаемыми и используемыми с представленным компьютером;
- уяснения настройки кодовых таблиц (или переустановки всей операционной системы на стендовом компьютере) для исследования файлов на национальных языках.
В настоящее время, в связи с глобальной компьютеризацией коммерческой деятельности, возникает большое количество гражданских споров (в т.ч. в арбитражных судах). Кроме того, в административном порядке защиты потребителей проводятся экспертизы в соответствии с нормами КоАП России. К ним относятся экспертизы по фактам нарушения прав потребителей на приобретение компьютеров и компьютерных систем надлежащего качества и безопасности для жизни и здоровья, на получение информации о товарах (компьютерных средствах) и об изготовителях этих средств т.д.
В ходе самозащиты в досудебном споре по заявленному требованию потребителя используются следующие формы специальных знаний в области компьютерных технологий: проверка качества компьютеров и компьютерных систем (работ по их обслуживанию, ремонту и пр.); экспертиза качества компьютеров и компьютерных систем (в т.ч. проектных работ по созданию компьютерных систем и пр.).
Основной задачей СКТЭ в указанных делах является диагностика производственных и эксплуатационных дефектов компьютерных средств с целью установления их стоимости. Решается данная задача с использованием комплексного методического подхода (в т.ч. с использованием товароведческих специальных знаний), посредством которого устанавливаются факты и обстоятельства наличия тех или иных дефектов компьютерных средств (в целом и по комплектующим), изменения их качеств (сущности изменения качества), наименование и количество компьютерных средств, пригодности для использования по назначению и пр. Полученные результаты экспертизы широко используются для установления истины по делу и в совокупности с другими выводами, могут способствовать установлению размеров ущерба и пр.