- •113623, Москва, ул. Типографская, 10
- •Введение
- •Классификация и предмет экспертных исследований компьютерных средств
- •Задачи компьютерно-технической экспертизы
- •Система объектов компьютерно-технической экспертизы Общая классификация
- •Выбор типичных объектов исследования
- •Рекомендации по обнаружению, фиксации и изъятию компьютерной информации Подготовка к обыску
- •Проведение обыска
- •Порядок выключения компьютера
- •Изъятие компьютеров
- •Опечатывание компьютеров и носителей информации
- •Транспортировка и хранение компьютерной техники и носителей информации
- •Методы предосторожности при транспортировке и хранении изъятых технических средств и магнитных носителей
- •Перечень типовых вопросов при назначении компьютерно-технической экспертизы
- •Характеристика типичных объектов компьютерно-технической экспертизы Электронные компоненты компьютеров и периферийные устройства
- •Виды накопителей информации
- •Программное обеспечение
- •Основные виды операционных систем
- •Основные виды информационных файлов
- •Краткое содержание экспертного исследования
- •Заключение
- •Литература
- •Основные понятия и определения
- •Долевое распределение аппаратных объектов компьютерно-технической экспертизы
- •Справочникпо расширениям имен файлов dos и windows
- •125130, Москва, ул. З. И а. Космодемьянских, 5 Тел. 156-79-65
- •Исследование
- •Исследование ноутбука Dell Latitude xp cd
- •Ориентировочная спецификация стенда и оборудования, необходимого для производства и оформления результатов компьютерно-технической экспертизы
- •Оглавление
Краткое содержание экспертного исследования
В качестве примера рассмотрим экспертное заключение по исследованию системного блока персонального компьютера и поиску файлов на жестком диске данного компьютера.
Для исследования жестких дисков необходимо использовать стендовый компьютер. В предварительной части заключения необходимо подробно описать используемые экспертом аппаратные и программные средства. Если в экспертизе проводится распечатка каких-либо файлов, найденных на исследуемом жестком диске, необходимо указать модель принтера, на которой производилась распечатка, из какой программы и какие параметры при этом использовались.
На первой стадии эксперт производит внешний осмотр и описание системного блока. Затем производится его вскрытие и подробно описываются его составляющие и конфигурация.
Пример. Системный блок собран в корпусе типа «тауэр» с размерами 335180400 мм. На лицевой стороне расположены: устройство для чтения компакт-дисков (CD-ROM), устройства для чтения гибких магнитных дисков размером 3,5 дюйма, кнопка включения компьютера, кнопки СБРОС и включения режима «Турбо», наклейка с эмблемой и надписью «KT TECHNOLOGY pentium system», трехзначный цифровой индикатор и три светодиодных индикатора. На тыльной стороне компьютера размещены разъемы интерфейсных устройств.
При визуальном осмотре компьютера со снятой крышкой кожуха было установлено, что данный системный блок находится в собранном состоянии.
Системная плата собрана на VIA чипсете. На ней интегрированы: контроллеры портов ввода/вывода (два последовательных порта и один параллельный), двухканальный контроллер накопителей на жестких дисках EIDE, контроллер накопителей на гибких дисках. На плате в гнездо типа Socket 7 установлен процессор типа Pentium с тактовой частотой 150 МГц, и в слоты для установки памяти установлены два модуля памяти типа SIMM 72 pin по 8 Мб каждый. В слот расширения типа PCI вставлена плата видеоадаптера фирмы SiS, модель 6215 PCI. В слоты расширения типа ISA вставлена звуковая карта типа ESS 1868.
В корпусе системного блока установлены три накопителя: накопитель на гибких магнитных дисках 3,5 дюйма, накопитель на оптических дисках CD-ROM фирмы Samsung (модель SCR–1231) и накопитель на жестких магнитных дисках фирмы Western Digital типа Caviar 11000 объемом 1000 Мб 3,5 дюйма (серийный номер WD23487A, с интерфейсом типа EIDE).
После этого производится отключение жесткого диска, и системный блок (без жесткого диска!) включается в сеть для определения установок БИОС, уточнения конфигурации и определения работоспособности.
Следующий этап – исследование жесткого диска. На этом этапе одной из главнейших задач является обеспечение полной сохранности информации на исследуемом диске, т.е. при исследовании эксперт должен обеспечить условия, при которых на исследуемый диск не будет производиться запись. В идеальном варианте эксперт должен с помощью специальных средств создать полную копию исследуемого жесткого диска (на физическом уровне на такой же диск) и в дальнейшем работать только с ним. Однако данный вариант в большинстве случаев оказывается не возможен. Тогда эксперт подключает исследуемый диск в качестве дополнительного к стендовому компьютеру и производит загрузку ОС MS-DOS (или его аналога) без загрузки каких-либо драйверов и дополнительных программ. После чего определяется тип файловой системы, используемой на исследуемом жестком диске (например, с помощью программы fdisk).
Если на жестком диске содержатся разделы типа FAT и его модификаций, то на стендовом компьютере лучше всего использовать ОС Windows 95 OSR2 (русскую версию). Перед подключением исследуемого жесткого диска необходимо отключить все резидентные программы, загружаемые в данной ОС и производящие операции записи на диск. Исследуемый диск должен быть установлен в системе как дополнительный съемный диск. Все файлы с исследуемого диска копируются на диск стендового компьютера. Затем отключается исследуемый диск и проводится исследование скопированных файлов. При этом желательно загрузить резидентную программу антивирус.
Поиск среди удаленных файлов можно проводить с помощью программы UnErase Wizard из пакета Norton Utilities. В случае, если можно определить какие-либо ключевые фразы, искомые на жестком диске, можно произвести поиск по диску с помощью программы Disk Edit из этого же пакета. При таком поиске могут быть обнаружены фрагменты удаленных файлов, которые не могут быть восстановлены с помощью UnErase Wizard.
В заключении исследования (его синтезирующей части) дается общая суммарная оценка результатов проведенного исследования компьютерных средств и обоснование выводов, к которым пришел эксперт. Выводы представляют собой ответы на поставленные перед экспертом вопросы и являются умозаключением, которое эксперт делает по результатам проведенных исследований на основе выявленных или представленных ему данных об исследуемом объекте КТЭ и общего научного положения соответствующей отрасли знания – электроники, радиотехники, программирования и т.п. Частный пример, отражающий структуру и содержание экспертного заключения КТЭ по решению одной из типовых задач, приведен в прил. 4.