- •Глава 35. Осмотр места происшествия по делам о преступлениях в сфере компьютерной информации1 Общие положения
- •Объекты осмотра
- •Рекомендации по осмотру
- •Осмотр служебного помещения.
- •Осмотр средств вычислительной техники.
- •При осмотре неработающего компьютера с участием специалиста необходимо:
- •Осмотр работающего компьютера
- •Если компьютер подключен к локальной сети, то необходимо:
- •Осмотр носителей машинной информации.
- •Осмотр документов.
- •Типичные ошибки, допускаемые при осмотре места происшествия по делам о преступлениях в сфере компьютерной информации:
- •Назначение экспертиз
- •Компьютерно-техническая экспертиза
- •Техническая экспертиза компьютеров
- •Экспертиза данных и программного обеспечения
- •Экспертиза сетевого программного обеспечения
- •Техническая экспертиза оборудования защиты
При осмотре неработающего компьютера с участием специалиста необходимо:
1) определить местонахождение компьютера и его периферийных устройств (печатающего устройства, дисплея, клавиатуры, дисководов и пр.) с обязательным указанием в протоколе наименования, серийного номера, модели, формы, цвета каждого из них;
2) установить порядок соединения между собой вышеуказанных устройств, количество соединительных разъемов, их спецификации, вид проводов и кабелей, их цвета и количество, выяснить, подключен ли данный компьютер в сеть, и если да, то в какую именно и каковы способ и средства его подключения;
3) проверить наличие нештатных устройств, подключенных к компьютеру, при вскрытии специалистом системного блока;
4) проверить внутренние детали принтера, на которых могут быть обнаружены следы текста.5
Осмотр работающего компьютера
При осмотре работающего компьютера с участием специалиста надо учитывать, что изъятие информации, находящейся в оперативной памяти компьютера, если он включен, является приоритетной задачей осмотра средств вычислительной техники, т.к. часть этой информации будет потеряна при следующем включении ЭВМ, поэтому:
1) с помощью специальных программ изъять информацию из оперативной памяти и скопировать ее на специально приготовленное устройство (см. выше);
2) установить, какая программа выполняется, для чего осмотреть изображение на экране дисплея и детально описать его (а проще произвести фотографирование или видеозапись, либо сделать копию изображения на экране при помощи кнопки «Print Screen»);
3) по мере необходимости остановить исполнение программы и установить, какая информация получена после окончания ее работы;
4) определить и восстановить наименование вызывавшихся последними i программ. В наиболее распространенной операционной системе Windows | имеются специальные журналы, в которых отображается информация обо | всех выполняемых программах за определенный период времени;
5) установить наличие в компьютере накопителей информации (винчестеры, дисководы для дискет, стриммеры, оптические диски и др., их тип (вид) и количество;
6) скопировать информацию (программы, файлы данных), имеющуюся в компьютере;
7) изъять информацию, находящуюся в ОЗУ периферийных устройств I (принтера, модема и др.) о последних выполненных заданиях.
Если компьютер подключен к локальной сети, то необходимо:
1) установить количество подключенных к файл-серверу рабочих станций или компьютеров, вид связи сети, количество файл-серверов в сети;
2) по возможности организовать параллельный осмотр включенных в локальную сеть рабочих станций и компьютеров (по вышеизложенной схеме осмотра работающего компьютера). Если же такая возможность отсутствует, то надо обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера.
В процессе осмотра нельзя забывать о необходимости соблюдения элементарных правил обращения с вычислительной техникой, в частности:
1) все включения и выключения компьютерного оборудования должны осуществляться только специалистами либо под их руководством;
2) не производить разъединения или соединения кабельных линий, прежде чем не будут выяснены их назначение, чтобы не допустить ущерба компьютерной системе;
3) вскрытие и демонтаж компьютерного оборудования производить только с участием специалиста;
4) не допускать попадания мелких частиц и порошков на рабочие части устройств ввода-вывода компьютеров;
5) применение магнитных искателей, ультрафиолетовых осветителей, инфракрасных преобразователей и других подобных приборов для осмотра вычислительной техники должно быть согласовано со специалистом, чтобы избежать разрушения носителей информации и микросхем памяти ЭВМ.