- •Лекция 3. Основы назначения и производства судебной компьютерно-технической экспертизы
- •§3.1. Типичные следственные ситуации и экспертные пути их разрешения
- •§3.2.Особенности назначения сктэ
- •§3.3.Производство сктэ в экспертном учреждении и вне экспертного учреждения
- •3.3.1. Особенности организации судебно-экспертной производственной деятельности
- •3.3.2. Стадии экспертного исследования объектов сктэ
- •3.3.3. Заключение эксперта сктэ
- •3.3.4 Выводы эксперта сктэ
- •§3.4. Производство сктэ и допрос эксперта в суде
- •3.4.1 Особенности назначение судебной компьютерно-технической экспертизы в суде по уголовным делам
- •3.4.2 Допрос эксперта сктэ в суде
- •§3.5. Оценка и использование результатов судебной компьютерно-технической экспертизы следователем и судом
3.3.2. Стадии экспертного исследования объектов сктэ
Процесс экспертного исследования в СКТЭ, как и в любой другой судебной экспертизе состоит из нескольких основных стадий. В литературе, под стадиями экспертного исследования принято понимать составляющие его этапы. Каждая стадия выполняет определенные функции и обеспечивает решение промежуточных задач.
На подготовительной стадии эксперт знакомится с постановлением о назначении экспертизы, другими исходными материалами, уясняет задачи экспертизы, производит предварительный экспертный осмотр объектов СКТЭ и устанавливает их пригодность и достаточность для решения поставленных вопросов, выдвигает экспертные версии, намечает план экспертного исследования и выбор того или иного аппаратно-пограммного инструментария, необходимого для осуществления экспертизы.
В процессе детального исследования осуществляется сначала тщательное раздельное изучение объектов экспертизы, анализируются их общие и частные признаки и свойства объектов СКТЭ, необходимые для решения диагностических и идентификационных задач, производятся экспертные эксперименты. Затем, в случае решения идентификационной задачи, может проводится сравнительное исследование, когда выявляют совпадение или различие признаков сравниваемых объектов между собой, со сравнительными образцами или эталонами.
Третьей стадией является оценка результатов исследования, когда подводятся итоги и формулируются выводы СКТЭ, логически вытекающие из проведенных исследований.
В качестве частного примера, отражающего сущность СКТЭ ряда типовых объектов, рассмотрим экспертное исследование, посвященное диагностированию системного блока персонального компьютера и поиску файлов с криминалистически значимой информацией на жестком диске данного компьютера. Для исследования жестких дисков в настоящее время обычно используется стендовый компьютер, оснащенный и сконфигурированный специальным образом.
Вначале эксперт СКТЭ производит внешний осмотр и описание системного блока. Затем осуществляется его вскрытие осматриваются и подробно описываются его составляющие и конфигурация. Далее производиться отключение жесткого диска, и системный блок (без жесткого диска) включается в сеть для определения установок БИОС, уточнения конфигурации и определения работоспособности.
Следующий этап – исследование жесткого диска. На этом этапе, одной из главнейших задач является обеспечение полной сохранности информации на исследуемом диске. Это означает, что при исследовании эксперт должен обеспечить условия когда на анализируемый диск не будет производиться запись. В идеальном варианте эксперт должен с помощью специальных средств создать полную копию исследуемого жесткого диска на физическом уровне на такой же диск и в дальнейшем работать только с ним. Однако, данный вариант в большинстве случаев не возможен. В этом случае, эксперт подключает исследуемый диск в качестве дополнительного к стендовому компьютеру и производит загрузку операционной системы MS–DOS (или ее аналога) без загрузки каких-либо драйверов и дополнительных программ. Затем определяется тип файловой системы, используемой на исследуемом жестком диске (например, с помощью программы FDISK).
Исследуемый диск должен быть установлен в системе как дополнительный съемный диск. Все файлы с изучаемого диска, в т.ч. скрытие, неявные и удаленные, копируются на диск стендового компьютер. После этого этот диск отключается, и осуществляется исследование скопированных файлов. При этом желательно загрузить резидентную программу-антивирус для выявления возможных признаков вредоносных программ.
Поиск среди удаленных файлов производится с помощью программы UnErase Wizard из пакета Norton Utilities. В случае, если можно определить какие либо ключевые фразы искомые на жестком диске, поиск по диску осуществляется с помощью программы DiskEdit из этого же пакета. При таком поиске могут быть обнаружены фрагменты удаленных файлов, которые нельзя восстановить с помощью UnErase Wizard.
Процесс производства судебной компьютерно-технической экспертизы заканчивается оформлением исследования в виде заключения эксперта.