Семикаленова
.pdf51 Для защиты вирусы также используют друпю нестандс^ппные прие
мы. Эти приемы не похожи ни на один из п^зечисленных и встречаются в отдельных вирусах ("ЗАРАЗА", TPVO, Trout2). К таким тфиемам, напри мер, относится помещение своей копии во Flash-BIOS.
По деструктивным возможностям вирусы можно4>азделить на:
Засо/жющие НЖАЩ - их ^едоносность сказывается на уменыожнии свободной памяти на диске в ре^лытте распростраиения вирусной 1фОграммы, которое может сопровождаться или нет графическими, звуковыми и другими эффектами.
Вир^ы, влияющие на работу компьютера, котсфые могут привести к серьезным сбоям в работе компьюте]^ уничтожению или искажению.
Выявленж; ц>едоносных nporpaimf является одной из задач 1фо- граммно-компьютерной экспертизы (СПКЭ) - одним из видов СКТЭ.
Задачи судебной прогртммно-компьютерной экспертизы
Задачи судебной экспертизы определяются возможностями исследо вания объекта и ее предметом. В Словаре основных те|»1инов су)Е(ебных ^сспертиз различаются задачи рода, вида и KOHiqpeT»c»x> судебж»го иссле дования. Определение задачи рода и вида связывается с научным опреде лением предмета судебной 3KcnqpTH^d. Под жщачей кон1фетного ЭКСП^УГ- иого исследования понимается принятое экспертом задан1ю^*. Процесс экспертного исследования обычно носит мнопжтупенчатый Х£факт^ и яв ляется ие]^рхической системой. Поэтому от понятия «оадача экспертизы» следует отличать понятие «задача этапа экспертизы». П^вое понятие <;вязано с представлением о конечной цели эхспергаого иссле^вашш. Каж-
^' Основы судебной эксп^зтизы. Часть I. Общая тес|»1я / под ред. КоруховаЮ.Г. - М.:Ред|еЭ,1997.-с.75.
52 да1Й составляющий этот сложный процесс этап шюет свои задачи, кстзрые по отнооюншо к задаче экспертизы носят xi^axrep подзада*^.
Задачи экспертизы классифицируются по различным основаниям. По цели, как основному coдq>жaнию пошпия задачи, в лнр^ратуре различают две большие категории: идентификационные и диагностичес]а1е.
Идемтгфикационыыв - решшотся в npcMiecoe отождествления объекта по его мате1шаяыю ^ксировшхным отображениям. Суть pewtmai ндеттр^- кационных задач сводится к установлению совпадения с^щих (групповых) признаков в отождествляемом и отождествляющем объектах, а затем к уста новлению Н1щивид)^1льно-конкретного тождества на основе совпадения со вокупности частных признаков, индивидуализ1фующих объект. Бели ^ICTных признаков оказывается недостаточно, то решение идентификационны! задачи завероиются устшясжлетюм 1|>упповой принадлежности объекта. Идентификационные задачи формулируются в виде вопросов о тождестве конкретных объектов (наприм^), цдентификация программного обеспечения по регистрационной vaeptt руководства польэоватешЁ, лицензионному согла шению и т.п.); об установлении целого по частям (нащжм^, установление факта пришмцмжшхгга файж1 (л1«бо группы фай^юв) к единойбазе данных); о групповой пришщлезююсти объектов (наприм^>, отождествлением (фигинала программы (инсталляционной версии) и её копии 1ш носителях данных коы- пьют^>ной система! или устшювлением принадлежности 1ф01|>£ммного (^еспечения по о^цим призна1»м к определенному шзду); об установлении единого источника происхождения (например, хфи исследовании программ ных продуктов на признаки контра^пстности пря условии ЕЦ>едставления на исследование исполняемых мо/^лей и листингов 1цюграммы); об изготовле нии объектов одним лицом (установление автора 1фограммы)Р^.
"Тамже,с 76.
'^ См., Haiq»Mep, Эштклопеяяяч^дббвой noaaqpinaM /Т1од ред. Т.В. Ааарьюимой^ Е.Р. Роосивсжюй. - М.: Юрист, 1999. - с. 129.
53 Исходя изэтого,к идентификационным задачам судебной i^orpaMMHo-
компыотерной экспертизы можно отнести:
-индивидуальное отождествление оригинала программы (инсталляционной версии) и еб копии на носителях данных компьютq)нoй системы;
-установление групповой принадлежности программного о6<№веч^шя по обпщм п^ш^жам;
-выявление частных признаков программы, позволяющих впоследствии идентифицировать ее авторство;
-выявление частных признаков программы, позволяющих впоследствии выявить взаимос^ь с информационным обеспечени ем исследуемой компьютерной системы;
-млявлюние частш1х п|»1Энаков прслреммы, позволяющкх впоследствии выявить взаимосвязь с аппг^тным обеспечением ис следуемой компьютерной системы;
-установлен!» призжисов контрафыстности представленных н&этсспертизуинформационно-программных продуктов.
ДыагнастЁ*чеаеые - касаются ощ)е»яения свойств и состояния объ екта исследования, установления отююнений от определенных х^фактертстик, oпpeдeJ№ния причин этих изменетшй и ме|ш -ее связи с совершенным преступлением. Д^/шпюсптческшю задэти могут решаться как при непо средственном исследовании объекта, так и по его отображениям^. К по добным задачам относятся:
- определение основных xaf^KTqmcniK операционной систе
мы;
^ Эшщклопедая судебной эксп^пизы / Под ред. Т.В. Аве^ялшотМ, Б.К Роеснн-
tacott. - М.: Юрист, 1999. - е. 129.
54
-выявлена и исследование функциональных свойств, а так же настроек программного обеспечения, ]щрбмени его инсталляции (установки на машинный носитель);
-определение фактического состояния щюфаммного сбъекта, состава соответствующих ему файлов, их параметров-(объем, дата создания, атрибуты), способов ввода-вывода информации, наличия
или отсугст^к KsaasK-mSo огпсяот&шй от •ттбялжх. тщтшктрот (на пример, недокументированных функций);
-диш110стар<юан1ю алгоритма про1раммного продукта (представленного как в виде прсяраммного продукта, так и 1рафического или тосстового файла);
-установление видов инструментальных средств, использо
ванных п!» рварвбсппсе ^KHpaMMHc»t> продутая (аягс4>итм»);
-установление типов аппг^тно-программных платформ, поддерживаемых профаммным продуктом;
-установление первона^шьного состояния пр01|»ммы (на пример, при начальной инсталляции) и выявление возможных после- Х^уюищк иэме«№яий (с^нжя^шй, к»1ененнй'Состайа);
-определение целей и услош1Й изменения свойств и состоя ния прогртммного обеспечения (преднам^зенное изммшюкие какихлибо функций, конфигурирование ил кoнlqpeтнyю апшфатную сре-
ду);
- установление способа осуществления изменений в про грамме (нащжмер, воздействие вредоносной программы, ошибт программной среды, несанкционированный доступ);
~ о1феделение сво1Ьггв и состояния прогрелшы во ее ото^т- жению в с6рабатываеш1х дашшх (]ю содержанию сяут^бть^к, сис темных файлов), по обеспечивающим агогаратнш! средртящ
- выявжние структуры механи:^«а ссу^лтия по результатам работы протраммного обеспечения и в динамике;
55
— установление причинной свюи меткду ^действшвш пользо вателя компьютерной системы в отношении профаммного обеспе чения и ншпупившими последствиями^^.
Итак, из перечисленных задач видно, что для их решения необходщмо обладать специальными познаниями в области прогршк1М1фования, ал горитмизации, построения баз данных, классификации ПО, Reverse ещтесащ и т.п., т.е. ВСОЙЯ теми шхтиттшл^ угягуб^жяое изуч4№те котшь рых характерно для разных специализаций инжен^юв-1фограммистов в разной степени, что и было указано шшю.
Как показала пршстика, на сегодняшний день основными задачами судебной программно-компьютерной экспертизы являются:
—общая диагностика н установяеи1к функций щюграммного
средства;
—диагностирование алгоритма про1раммного продукта с це лью выявления в его теле возможности выполнения действий (моди фикации, блокирования, копирования) без соответствующей санкщш на них пользователя;
—установлешю приз1Шков вредоносности тмрограны;
—успшовление щжзнаков конт|Хкфаюгаости инф<^»юционноnpoqTBMMHoro продукта;
—установление общего источника щюяскоткдсния программ ного продукта.
Общая диагностика и установление функций программного средства:
Показательным примером п|ю1раммно-кш«пьютерной экспертизы является 3Kcnq>THoe исследованш; про1раммного ббеспечения, позволив шее УС1ЮШНО расследовать хищение ден^кных средств путем жгяользолания несовершенства компьютерис^ щхяртшы. Р«чь ждет ti6 кэ»еспюм
^^ Российская Е.Р., Усов Ail. Суде^аа ком11ыо«|жо-1«киичес1сш1 Ж(Я(^р^^ I^MBO и закон, 2001, с. 127 - 129.
56 ^деяе гр. Лашкова», который, являясь югаентсш 0|Д1Юго из ксмм^ческих банков, обратил внимание на частичную несовместимость 1ф01раммы ав томатизации банковских оперший «ПАБА» и прогршммы обслуживания пластиковых карточек «Арканзас»^^. Первая щюграмма хфед^сматривала для любой валюты два дополнительных знака, {шссчитанных на центы, ко пейки и т.д. Вторая же про1рамма 1фи оперщиях с валютами, не имеющи
ми деле]шя ка боз»е мелкие елщвювщ (такие, как штлтляежял Ш1рл^ шавт- ская иена и пр.), считывала последний знак какединищ^основн<^ валюты.
В результате при снятии ч^)ез банкомат средств со счета в инострш1ной валюте, не им^ощей деления на мелше единицы, остаток на счету оста вался большим в сто 1>аз, чем было в действительности. Это позволяло снимать со счета суммы в указанной валюте, сто|фатно 1фе^шающие вющд. Прои»еден»ое в 1ф<м|ессе :жсяертного жхледсшания изучение ис пользуемого программного обеспечения позволило выявить имеющуюся нестыкоысу и установить фактические обстоятельства выполнения оши бочных операций.
§ 13. Процессуальные и тактические особенности производства следст венных действий, связанных с соби|И1ннем крнмнналнсшчеекн значи мой информации о программных продуктах.
Следственные действия - это действия по собиранию и проверке дмсазательств, осуществляемые следователем, о][Х'Ш10м дознания, п|юкурс^;юм, судом в установленном законом nopjUMce^^. В свою очерещ», доказательсгю служат для выяснения фактических обстоятельств делш, достоверного уста новления событий преступления и сов^шивших его лиц, что явл^пся необ ходимым условием правильного разрешения дела. Для того, чтобы сделать
36 Э^жтр(^ный *аюктр(ж»М Ношыб иместия. 3.04.1!^.
'^ К^шдический энциклопедический сяовв|я> // гя. ред АЛ. Cyxi^pes; М.М. БогуСШЮСК0ГО н дф. - 2-« изд., дсш. -Ы.: Совешкая Этткяоавяяя, t^7.
57 выводы, является ли совершенное деяние преступленинк!, по какой статье уголовного кодекса оно должно "быть квалифицировано, подлежит ли винов ный уголовной ответственности, необходимо в соответствии с действитеяьностыо установить: какое именно деяние было сов^>шено и кто его совер шил'^. А именно это и представляет большую сложность. Связано это с тем, что, как было с1«1зано в первом парафафе данной главы, существует большое кояшэджтво способе» сотсртвюш и CO«|»ITIIII ^рестушкмкй, т&щрлж "тчас- тую сложно напрямую отнесш к «чисто компыоте|Жым», хотя на пер^й взгляд именно такое предположение кажется следотвенным ортанам наибо лее вероятным. Во многом правильная классификация преступлений, сохфяженных с использованием прогртммных средств, напряк^ю зависит от кор ректно проведенных следственных действий и судебной прогрш^мно-
Рассмотрим особенности производства следственных действий, свя занных с собиранием криминалистически значимой информации о про граммных продуктах. I^uc и большинство ученых, занимающихся вопрооь ми судебнЫ! компьютерно-технической экспертизы, мы настаикюм на тшя, что при расследовании престушюний, с^пряженньк с тктктьзоымнем компьютерных средств, а в нашем случае более узко - про1ршк1МНОкомпьютерных, у<шстие специалиста необходимо. Это объясняется тем, что специалист в сфере разработки и использовшшя соц)еменных инфор мационных технологий сможет четко определить какая именно, где и в ]ш- ком виде должна находиться криминалистически значимая информа1Ц1Я, связанная с делами подобного рода. Вызов специалиста и по](мдок«го уча стия в следственных действиях в этом случае определяется ст. 168 и 270 УПК РФ. При этом на основании ст. 58 УПК РФ он вправе делать заявле ния и заме^тша, которые подлежат занесеяюо в л|ктисод, ЧФо т основа нии ст. 74.2 УПК РФ будет являться дожшзб^веяъстволя для суда.
'" Дмсазывание в уголовном процессе: тредшши и сошртлшаоса. I Под ред. В.А.
Власихиншо - М.: K)imcT2060.
58 По мнению^льошнства ученых (Усов А.И., Васильев АА., Быстряков Е.Н^ Иванов А.Н.» Климов ВА., Гаврилин Ю.В.) наиболее полезно
учсютие специалиста по делам, связанным с применением инфо(Як1ациош10> вычислительной техники, в следстгениом осмотре, обыске и выемке. Иян^ в свою очереди, хотелось добавить к этому списку допрос участников 1фОцесса, следственный эксперимент и арест вычислительной сети.
Осмотр (сг. 17€, 177 УПК РФ) - это Ы^нфужевне, воспрт«гше, иа^че- ние и фиксация следователем объектов, им<яощих значение для дела, их при знаков, свойств, состояния и взаиморасположения. Объектами осмотра по делам, связанным с применением npoi^MMMHO-KOMnbrofepHbix qpcACTB, явля ются: место происшествия и его обстаношса; компыотерные q^exciBa, в том числе внешние носители информации; иные 1федметы и докуь№нты. Осмотр еасда>в и иных обшфужениых п|1едмется1, ках это указано в п. 2 ст. 177 УШС России, обычно проводится на месте производства следственного действия, т.е. обнаружения нахождения объектов осмотра. Однам) п. 3 ст. 177 УПК России предусматртвает щюведение осмотра и в щ>угом месте, maipmntp, кабинете следователя или ином помещении по усмотрению следователя. Та^ кая ситуш|Ю1 воя1шеает, если для осмотра требуетюк 1ф(^юлжитедыюе цремя, или осмотр на месте ^трудней, что, на наш вэтляд, является харак¥ерным для осмотра программного с^еспечення.
Объекты, подлежащие оскютру, изымаются, упаковыюются и заверя ются подписями следователя и понятых на месте обнаружения. П^и этом в протоколе осмотра по возможности указываются индивидуальные признаки и особенности изымаемых Объектов. Само же следственное действ1ю щюводится в определенном следователем месте.
Результаты осмотра дают возмозююстъ следоватешо соетшнпъ пред ставление о таких важных аспектах, кшс механизм преггуплешш и личность преступника. В основном, 1фи расследовании iqpecryiuiemili подобного |>ода производятся следующие виды осмотров:
59
-осмотр места происоюствия или помещений, не являющих ся местом преступления;
-осмотр предметов;
-осмотр дoкyмeнтoв.'^
Рассмотрим отдельно каждый вид осмотра.
Осмопуу места щюисшествия по делам, сопряженным с ж;пользованием 1фогршммных средств - неотл№К1юе следетвеиное д^1етвие, пащтшн^тюе на установление, фиксацию и исследование (Остановки места происшествия, следов преступления и преступника, отоб1»13ившихся в прснраммном обеспе чении компыоте{ж, компьютерной сети или сложной автоматизированной системе управления, позволяющей в совокупности с другими доказательст вами сделать вывод о механизме компьютерного 1феступления и иных обстоятслылвах рассдедз^мот собышя''. Специфика совершения и еокр1ггия преступлений, связанных с программным обеспечением, проявляется в том, что при расследовании данной категории уголовных дел следователи сталки ваются с проблемой определения места происшествия. Так, при coBq>meHHH одного преступления (например, нюправом^ный доступ к информации), мо жет быть несколык» мест 1фс»1спкстМ1я:
-место непосредственной о^>аботки и постоянного ^ц^шения информации, стсюшей гфедметом преступного посягательстш1;
-место непосредственного использования технических средств для неправомерного доступа к компьюто>ной инфор«юции, находящейся в другом месте;
-место непосредственного использования (кошфования,
распространения и т.п.) информащ1и, полученной в ре^льтате не-
" PoccHHocai Б.Р., Усов А.И. Судеб»» жштющт>-1№хтчсаям «свершт - М.: Право и закон, 2001.
^ См., иапртвер, Росстяяшя Е.Р., Усов А.И. Укажияая pe(6ota.
60
лравом^ного ДОСТУ1Ш к данным, со^2|о>жа1цимся на машинных но сителях.
Необходимо отметить, что при осуществлении этого вцца осмотра сле дователь должен сосредоточить внимание не только на программной состав ляющей, но и на аппаратной, поскольку р^ота некоторых программных про дуктов напрямую зависит от нее (например: наличие модемной или иной свя зи для ршб&т жмошьиьвс и/или гло6ая1«ых сетей).
Осмотр предметов — апп^атаых составляющих компыотера и внешних носителей инфсфмащш - позволяет устаношпъ: состояние предмета, наимено вание и назначею!е, выявить индивидуальные признаки, внешние дефекты, установить интенсишюсть использов^шя, а также 1физншси, указывающие на связь предмета с расследуемым событием^'. В процессе осмотра предмете» воэможж» обипруже!^ |дщмш1а1тстичс№ки зн^тмс^ инфс^нмшщш о п|>о- граммных продуктах, например: выяснение того, какие программные продук ты могут быть уст£шовлю1ы на компьютер, лицензионные ли они, установле ние возможюж способов попадания 1фограммного продукта в компьютер или в компьютерную сеть. Во вре&1я этого следственного действия нужно уделить особое Ш1иман11е собаю^деншо првшш с/брвща&т с осшптшваемыми объекта ми, пост^шться выя^пъ те из них, котс^ые содержат следы 1фес1уш1ения и в последстшш будут опцмаая^ш иш экс1жртизу, для выявления криминалисти чески значиш>й ниформащт о 1ф01раммных продуктах.
Осмотр документов - имеет своей целыо выявление и фиксацию таких признаков до1оаи1ент(м», которые прцдшот им З1шчение вев^ественных дока^- тельств, а также устанавливают удостоверенные документами или изложен ные в них обстоятельства и факты, им^ощие значение для следствия. Тща тельный осмотр всех документов, шшоть до клочковбумаги и эапжей на у1щковхах носителей информацш!, мс^кег нести криминалистически значимую информацию. Это объясняется тем, что пракгачесжи рое подьэошпеяи инфор-
^' См., Hanpimq}, Российская EJP., Уою А.И. Судебная 1оомпыоФе|Я1о-1ехннческш1 зксп^пиза. - М.: 1Ц;юво н закон, 2001. 4t6 ст.