- •«Организационно-техническое обеспечение специальных мероприятий» методические рекомендации по подготовке к практическим занятиям
- •Тема 1.2. Основы противодействия преступлениям в сфере информационных технологий.
- •План практического занятия
- •Литература
- •Краткие теоретические сведения
- •Изъятие средств вычислительной носителей информации
- •Опечатывание компьютеров и электронных носителей информации
- •Транспортировка и хранение компьютерной техники и носителей информации
- •Практические задания:
- •Вопросы для самоконтроля:
- •План практического занятия
- •Литература
- •Краткие теоретические сведения
- •Практические задания:
- •Вопросы для самоконтроля:
- •Тема 1.3. Специальные знания при расследовании преступлений в сфере информационных технологий.
- •План практического занятия
- •Литература
- •Краткие теоретические сведения
- •Практические задания:
- •Вопросы для самоконтроля:
- •Тема 3.1. Противодействие нарушению авторских и смежных прав.
- •План практического занятия
- •Литература
- •Краткие теоретические сведения
- •Практические задания:
- •Вопросы для самоконтроля:
- •Тема 3.2. Противодействие незаконному обороту специальных технических средств, предназначенных для негласного получения информации.
- •План практического занятия
- •Тема 3.3. Противодействие сетевым преступлениям.
- •План практического занятия
- •Сведения о платежных системах Обозначение в номере отраслевых идентификаторов
- •План практического занятия
- •Литература
- •Краткие теоретические сведения
- •Практические задания:
- •Вопросы для самоконтроля:
Практические задания:
1. Произвести определение данных об операционной системе и программном обеспечении.
2. Произвести изъятия значимой информации и программного обеспечения.
Вопросы для самоконтроля:
- Правила работы с электронными носителями информации.
- Программы, используемые для проведения осмотра средств вычислительной техники и электронных носителей информации.
Тема 1.3. Специальные знания при расследовании преступлений в сфере информационных технологий.
Тематика практическогоо занятия: Методика проведения судебной компьютерной экспертизы.
Цель занятия: - выработка комплексного представления о вопросах научно-практического обеспечения деятельности по борьбе с компьютерными преступлениями;
- выработка комплексного представления о вопросах экспертного обеспечения деятельности по борьбе с компьютерными преступлениями;
- выработка представления о структуре экспертного заключения.
План практического занятия
Вступительная часть.
1. Экспертного обеспечения деятельности по борьбе с компьютерными преступлениями
2. Научно-практического обеспечения деятельности по борьбе с компьютерными преступлениями.
Заключительная часть.
Литература
1. Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 г. N 174-ФЗ.
2. ФЕДЕРАЛЬНЫЙ ЗАКОН «О ГОСУДАРСТВЕННОЙ СУДЕБНО-ЭКСПЕРТНОЙ ДЕЯТЕЛЬНОСТИ В РОССИЙСКОЙ ФЕДЕРАЦИИ» от 31 мая 2001 года N 73-ФЗ Принят Государственной Думой 5 апреля 2001 года Одобрен Советом Федерации 16 мая 2001 года (в ред. Федеральных законов от 30.12.2001 "N 196-ФЗ", от 05.02.2007 "N 10-ФЗ", от 24.07.2007 "N 214-ФЗ", от 28.06.2009 "N 124-ФЗ")
3. Типовые экспертные методики исследования вещественных доказа-тельств: Ч.I /Под ред. канд. техн. наук Ю.М. Дильдина. Общая редакция канд. техн. наук В.В. Мартынова - Мю: ИНТЕРКРИМ-ПРЕСС, 2010 - 568 с.
4. Практическое руководство по производству судебных экспертиз для экспертов и специалистов: науч.-практич. пособие / под ред. Т.В. Аверьяновой, В.Ф. Стат-куса. - М.: Издательство Юрайт, 2011. - 720 с. - (Настольная книга специалиста).
5. Нехорошев А.Б., «Практические основы компьютерно -технической экспер-тизы». Под ред. В.Н. Черкасова Саратов «Научная книга», 2007 - 372 с.
6. О.В. Тушканова "Терминологический справочник судебной компьютерной экспертизы: Справочное пособие." - М.: ЭКЦ МВД России, 2005. - 56с., 34 ил., 11 табл., прил., библиогр.
7. Нехорошев А.Б. «Компьютерные преступления: квалификация, расследова-ние, экспертиза». Часть 2/ Под ред. В.Н. Черкасова. – Саратов: СЮИ МВД России, 2004. -372 с..
Краткие теоретические сведения
ПРОВЕДЕНИЕ КОМПЬЮТЕРНОЙ ЭКСПЕРТИЗЫ
подключение носителей
Основным при производстве компьютерных экспертиз и исследований является обеспечение неизменности информации на исследуемых носителях информации.
Для чего применяют аппаратные или программные средства блокирования записи.
В ряде случаев, например исследование НЖМД с RAID массивами либо отсутствия соответствующих HDD - USB адаптеров, производится создание образа разделов исследуемого НЖМД или полное клонирование. Данный способ требует обязательного наличия соответствующего объема НЖМД на который производится клонирование и значительных затрат времени.
Полученный образ диска можно "монтировать" подключать как физический или логический диск. В том числе с помощью современное программное обеспечение, например такого как «Acronis Backup & Recovery», позволяющего создавать образы для подключения в виртуальных машинах, например " VMware Workstation".
Клонированный диск можно использовать для загрузки с исследуемого системного блока (необходимо в ряде случаев).
С клона или образа выполненного в «посекторном» режиме возможно восстанавливать удаленную информацию.
Поиск информации.
К задачам поиска информации относят:
- поиск текстовой информации по ключевым словоформам;
- поиск графической информации по заданным критериям;
- поиск текстовой и графической информации по соответствию предоставленным образцам;
- поиск информации о сетевых подключениях (выход в сеть "internet");
- поиск программных продуктов и др.
Для решения задачи поиска компьютерной информации вопросы, выносимые на компьютерную экспертизу, могут быть сформулированы следующим образом:
- Имеется ли на представленных на исследование машинных носителях (дать перечень) информация, содержащая следующие ключевые слова: (дать перечень ключевых слов)?
- Имеется ли на предоставленных, на исследование машинных носителях (дать перечень) информация о (изложить о чем)?
Определение обстоятельств установки и использования программных продуктов и оборудования.
К данному пункту можно отнести:
- исследование установленного контрафактного обеспечения;
- параметры и регистрационные данные программного обеспечения;
- следы использования программного обеспечения и оборудования.
Требования к вопросам, выносимым на судебную
компьютерную экспертизу
Общие требования
1. При постановке вопроса необходимо использовать устоявшийся понятийный аппарат, исключающий жаргонные и полупрофессиональные термины («винчестер», «логи», «взлом» и т.п.). В случае отсутствия терминов, определенных законодательными или нормативными актами, необходимо использовать те термины, которые употребляют разработчики технических средств, программных продуктов в
документации, описаниях, справках и т.п.
2. Вопрос должен быть четким и однозначным.
3. Формулировка вопроса не должна касаться этапов исследования информации (описание характеристик носителей информации и особенностей размещения информации на них, восстановление и исследование информации среди удаленных файлов являются обязательным этапом исследования информации).
4. Вопросы не должны носить справочный характер.
5. Вопросы не должны носить правовой характер и выходить за
пределы компетенции эксперта.
6. Вопросы должны соответствовать существующей методической и технической базе.
Частные требования
1. Вопросы должны быть направлены на установление конкретных обстоятельств расследуемого события.
2. Вопросы должны быть поставлены так, чтобы при решении конкретных задач расследования затраты (финансовые, технические, временные и пр.) на проведение исследований были минимальными.
3. Вопросы должны соответствовать уровню подготовки и инструментальному оснащению экспертов того экспертного учреждения, которому назначается экспертиза.
4. Вопросы должны соответствовать представляемым на исследование вещественным доказательствам.
Последовательность действий эксперта
1. Осмотреть и описать упаковку объектов, представленных на
экспертизу. Опционально – сфотографировать упаковку.
2. Извлечь объекты из упаковки, сфотографировать (с линейкой) и описать. Термины, используемые при описании объектов, приведены в .
3. При описании системного блока привести:
- габаритные размеры (ширина x высота x глубина в мм);
- цвет корпуса;
- расположение и описание устройств, кнопок, индикаторов, разъемов, наклеек на передней панели (лицевой стороне) системного блока;
- описание разъемов, наклеек и т.п. на задней панели (тыльной стороне) системного блока;
- описание боковых панелей системного блока (при наличии на них кнопок, разъемов и т.п.);
- описание индивидуализирующих особенностей (надписей, наклеек, повреждений и т.п.);
- описание основных компонентов системного блока
(маркировочных обозначений на системной плате, платах расширения и пр.); сфотографировать системный блок со снятой боковой крышкой.
После чего извлечь из системного блока машинные носители и
описать их.
При описании НЖМД указать:
- размерные характеристики (форм-фактор);
- основные маркировочные обозначения на НЖМД (марка, модель, емкость, серийный номер).
Извлечь из системного блока, ноутбука и т.п. машинные носители, просмотреть настройки даты и времени на системной плате с помощью базовой системы ввода-вывода (BIOS) и сопоставить их с текущими с указанием установленного и екущего часовых поясов
При ответах на поставленные вопросы необходимо:
- выявить программное обеспечение, работа которого требует регистрации в операционной системе;
- выявить программное обеспечение, работа которого не требует установки в операционной системе;
- выявить удаленное программное обеспечение либо сведения, оставшиеся в операционной системе от ранее установленного и впоследствии удаленного программного обеспечения;
- описать и просмотреть наличие и содержимое возможных мест расположения следовой информации на машинных носителях.
При необходимости сопоставить найденную информацию между собой на предмет ее непротиворечивости и последовательности по времени.