- •Уголовно-процессуальные способы изъятия компьютерной информации по делам об экономических преступлениях
- •1. Сведения о персональных компьютерах (стр. 5)
- •Состав компьютера (стр. 5)
- •Программа и программное обеспечение компьютера
- •Виды накопителей информации и ее носителей (стр. 12)
- •2. Понятие и виды информации (стр. 17)
- •3. Обыск (стр. 26)
- •Подготовка к обыску (стр. 27)
- •Проведение обыска (стр. 30)
- •Обзорная стадия обыска (стр. 33)
- •Детальная стадия обыска (стр. 35)
- •4. Выемка (стр. 40)
- •5. Осмотр (стр. 41)
- •Осмотр компьютера (стр. 42)
- •Осмотр дискет (стр. 43)
- •Фиксация результатов изъятия информации (стр. 44)
- •Опечатывание компьютеров и магнитных носителей (стр. 45)
- •6. Транспортировка и хранение компьютерной техники и магнитных носителей (стр. 47)
- •7. Судебная экспертиза (стр. 53)
- •Назначение экспертизы (стр. 57)
- •Предмет, объекты и задачи экспертизы компьютерных систем и компьютерной информации
- •Использованная литература
- •Оглавление
- •Состав компьютера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
- •Подготовка к обыску . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
- •6. Транспортировка и хранение компьютерной техники и
Осмотр компьютера (стр. 42)
Приступая к осмотру компьютера, следователь и специалист, который должен непосредственно производить все действия, должны придерживаться следующих рекомендаций:
перед выключением питания по возможности закрыть все используемые на компьютере программы. Следует помнить, что некорректный выход из некоторых программ может повлечь за собой уничтожение информации или порчу самой программы;
принять меры к установлению пароля доступа в защищенных программах;
при активном вмешательстве сотрудников предприятия, пытающихся оказать противодействие следственной группе, отключить питание всех компьютеров на объекте, опечатать их и изъять вместе с магнитными носителями для изучения информации в спокойной обстановке;
при необходимости консультаций у персонала предприятия, получать их у разных сотрудников данного отдела путем опроса порознь. Такой метод позволит получить максимально правдивую информацию и избежать преднамеренного вредительства;
при изъятии технических средств изымать только системные блоки и дополнительные периферийные устройства (стримеры, модемы, сканеры и проч.), учитывая совместимость техники;
при наличии локальной вычислительной сети необходимо иметь бригаду специалистов для быстрого реагирования на движение информации по сети;
изымать следует все компьютеры (системные блоки) и магнитные носители;
при осмотре документов следует обратить особое внимание на рабочие записи операторов ЭВМ, т. к. часто именно в этих записях неопытных пользователей можно обнаружить коды, пароли и другую очень ценную для следствия информацию;
составить список всех нештатных и временно работающих специалистов фирмы с целью обнаружения программистов и других специалистов по вычислительной технике, работающих на данную фирму. По возможности установить их паспортные данные, адреса и место постоянной работы;
записать данные всех людей, обнаруженных в помещении в момент прихода следственной группы, независимо от их объяснений причины нахождения в данном помещении;
составить список всех сотрудников предприятия, имеющих доступ к компьютерной технике, либо часто приходящих в данное помещение.
Если непосредственный доступ к компьютеру возможен и все нежелательные ситуации исключены, при осмотре и работе следователь и специалист должны четко объяснять понятым все совершаемые ими действия.
При осмотре должны быть установлены:
конфигурация компьютера с четким описанием всех устройств;
номера моделей и серийные номера каждого из устройств;
инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия;
прочая информация с фабричных ярлыков.
На клавиатуре ярлык обычно находится на ее обратной стороне, а на мониторе и процессоре — на задней стенке. Такая информация, занесенная в протокол осмотра вычислительной техники, может в дальнейшем оказаться важной для следствия. Пример протокола осмотра приведен в Приложении 1.
В ходе осмотра компьютера необходимо также детально переписать содержимое жесткого диска. Если в следственных действиях принимает участие специалист, поручите эту работу ему, предварительно разъяснив важность этой операции.
Если же специалиста нет, необходимо сделать следующее:
при включении компьютера на экране выдается таблица программной оболочки Norton Commanders, жесткий диск может быть разделен на части, поэтому нажмите одновременно две клавиши Alt+F1 — на экране появится картинка с именами всех дисков, которыми оперирует данный компьютер. Если у компьютера два дисковода, что видно из наружного осмотра, то им соответствуют латинские буквы А и В (если дисковод один, буква В отсутствует). Буквы, начиная с С, соответствуют разделению жесткого диска на части. При наличии устройства для чтения лазерных дисков, ему соответствует последняя в списке буква (при одном дисководе ему может соответствовать и буква В). Выделите курсором букву С, нажмите клавишу ENTER, и в левом окне появится список программ, записанных на диске С.
В списке будут записи двух видов — файлы, написанные строчными буквами (это могут быть отдельные программы или служебные файлы) и каталоги, написанные прописными буквами. Если курсор установить на название каталога и нажать клавишу Enter, то на экране появится список файлов, входящих в данный каталог. Каталоги имеют иерархическую структуру и могут быть вложены один в другой. Все их необходимо переписать. Каждая программа занимает определенный объем на диске. Размер программы указан в нижней строке, ограниченной двойной рамкой. Для того, чтобы определить размер целого каталога, после входа в него следует нажать клавишу “большой серый плюс” на цифровой клавиатуре и клавишу ENTER. Каталог (все входящие в него программы) будет выделен другим цветом, а в нижней строке будет указан его объем.
При наличии принтера эту информацию необходимо распечатать, в противном случае ее придется переписать.
Итак, в левом окне находится оглавление диска С. Его же следует вывести в правом окне (для этого нажмите одновременно клавиши Alt+F2). Выведите в окно содержимое первого по списку каталога. Теперь включите принтер, заправьте в него бумагу, а на клавиатуре ЭВМ найдите клавишу Print Screen (третья справа клавиша в верхнем ряду). Нажмите клавишу и на бумаге появится точная копия экрана монитора.
Повторите эту операцию для всех каталогов диска С, каждый раз выдавая картинку на печать. Одновременно можно выдавать два каталога, вызвав их в правом и левом окнах. Когда эта работа будет закончена, следует перейти к следующей части жесткого диска (D, E и т. д.).
Все листы с информацией должны быть подписаны специалистом, который проводил запись информации, старшим группы, понятыми и представителем организации, где производится изъятие. Эта информация обязательно прилагается к протоколу осмотра компьютера. Пример описания приведен в Приложении 1 вместе с протоколом.