- •113623, Москва, ул. Типографская, 10
- •Введение
- •Классификация и предмет экспертных исследований компьютерных средств
- •Задачи компьютерно-технической экспертизы
- •Система объектов компьютерно-технической экспертизы Общая классификация
- •Выбор типичных объектов исследования
- •Рекомендации по обнаружению, фиксации и изъятию компьютерной информации Подготовка к обыску
- •Проведение обыска
- •Порядок выключения компьютера
- •Изъятие компьютеров
- •Опечатывание компьютеров и носителей информации
- •Транспортировка и хранение компьютерной техники и носителей информации
- •Методы предосторожности при транспортировке и хранении изъятых технических средств и магнитных носителей
- •Перечень типовых вопросов при назначении компьютерно-технической экспертизы
- •Характеристика типичных объектов компьютерно-технической экспертизы Электронные компоненты компьютеров и периферийные устройства
- •Виды накопителей информации
- •Программное обеспечение
- •Основные виды операционных систем
- •Основные виды информационных файлов
- •Краткое содержание экспертного исследования
- •Заключение
- •Литература
- •Основные понятия и определения
- •Долевое распределение аппаратных объектов компьютерно-технической экспертизы
- •Справочникпо расширениям имен файлов dos и windows
- •125130, Москва, ул. З. И а. Космодемьянских, 5 Тел. 156-79-65
- •Исследование
- •Исследование ноутбука Dell Latitude xp cd
- •Ориентировочная спецификация стенда и оборудования, необходимого для производства и оформления результатов компьютерно-технической экспертизы
- •Оглавление
Задачи компьютерно-технической экспертизы
Экспертные задачи, которые являются одной из ключевых категорий общей теории судебной экспертизы, принято дифференцированно рассматривать как задачи рода, вида, подвида судебной экспертизы и задачи конкретного экспертного исследования. Применим указанный подход к КТЭ.
Родовые задачи КТЭ обозначены выше в определении целей данного рода судебных экспертиз. Для достижения объективности полученных сведений о фактах дела и установления обстоятельств в сфере современных информационных технологий, значимых для расследования и судебного рассмотрения, видовые задачи КТЭ определяются в соответствии с видовыми предметами экспертиз. За основу классификации задач КТЭ принимается конечная цель исследования по решению диагностических и идентификационных вопросов. Причем при определении диагностических задач исследуются не только свойства и состояние объекта КТЭ, но и механизм, процессы и действия по результатам применения (использования) компьютерного средства. А идентификационные задачи КТЭ имеют своей целью установить факт индивидуально-конкретного тождества или общей групповой принадлежности представленных объектов экспертизы. Кратко рассмотрим решаемые задачи каждого из указанных видов КТЭ.
При производстве аппаратно-компьютерной экспертизы решаются в основном следующие диагностические задачи:
определение вида (типа, марки), свойств аппаратного средства, а также его технических и функциональных характеристик (например, для решения определенных функциональных задач);
определение фактического состояния и исправности аппаратного средства, наличия физических дефектов;
установление первоначального состояния аппаратного средства; выяснение изменений, внесённых в первоначальную конфигурацию (например, добавление дополнительных устройств (плат) расширения);
определение причин и условий изменения свойств аппаратного средства (например, причин износа и его степени, соблюдения (или несоблюдения) эксплуатационных режимов, появления дополнительных функций);
диагностирование свойств и состояния аппаратного средства по его отображению (например, в отношении пользователя - выявление уровня профессиональных навыков по использованию определённых аппаратных средств);
определение структуры механизма и обстоятельств события по его результатам за счет использования выявленных аппаратных средств, как по отдельности, так и в комплексе – в составе компьютерной системы;
определение условий (обстановки) применения аппаратных средств; установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения;
определение условий (обстановки) применения аппаратных средств, восстановление хронологической последовательности их использования, места действия и функционирования.
В то же время этим видом экспертизы могут проводиться установление групповой принадлежности и отождествление конкретных аппаратных средств по выделенным признакам – общим и частным (например, серийным номерам, форм-факторам, емкости и структуре накопителя, среднему времени доступа к данным, скорости передачи данных, способу и плотности магнитной записи и др.).
При проведении программно-компьютерной экспертизы решаются следующие экспертные задачи (основными из которых являются прежде всего задачи криминалистической диагностики):
определение основных характеристик операционной системы;
выявление и исследование функциональных свойств, а также настроек программного обеспечения, времени инсталляции;
определение фактического состояния программного продукта и состава соответствующих файлов, их параметров (объемов, дат создания, атрибутов и др.), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров(например, недокументированных функций и т.п.);
выявление признаков отношения программного обеспечения к системному или прикладному и т.д.;
диагностирование алгоритма программного продукта, видов использованных при его разработке инструментальных средств, а также типов поддерживаемых аппаратно-программных платформ;
установление первоначального состояния программы (например, при начальной инсталляции) и выявление возможных изменений;
определение целей и условий изменения свойств и состояния программного обеспечения (преднамеренного изменения каких-либо функций, конфигурирования на конкретную аппаратную среду и др.), установление способа осуществления изменений в программе (например, воздействием вредоносной программы, ошибками программной среды, путем несанкционированного доступа и т.д.);
диагностирование свойств и состояния программы по ее отображению в подготовленных данных (по содержанию служебных, системных файлов), соответствия обеспечивающих аппаратных средств;
выявление структуры механизма события по результатам работы программного обеспечения и в динамике;
установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями.
Кроме этого, при проведении программно-компьютерной экспертизы могут решаться идентификационные задачи, связанные с индивидуальным отождествлением оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы, установлением групповой принадлежности программного обеспечения по общим признакам, выявлением частных признаков программы, позволяющих впоследствии выявить ее взаимосвязь с информационным обеспечением исследуемой компьютерной системы.
К диагностическим задачам информационно-компьютерной экспертизы (данных) относятся:
установление свойств и вида представления информации в компьютерной системе при ее непосредственном исследовании;
определение фактического состояния информации, выяснение наличия или отсутствия в ней отклонений от типовых объект КТЭ (например, имеются ли вредоносные включения, нарушения его целостности);
установление первоначального состояния информации на носителе данных;
определение условий изменения свойств исследуемой информации (например, выяснение условий внесения изменений в содержимое файла, запись на пластиковой карте и т.п.);
определение механизма и обстоятельств события (дела), установление отдельных этапов (стадий, фрагментов) события по имеющейся информации на носителе данных или ее копиям (например, подготовка нескольких копий делового письма и его рассылка факсимильной программой в разные адреса);
определение времени (периода), хронологической последовательности воздействия на информацию (например, установление стадий подготовки изображений денежных знаков, оттисков печатей и т.п.);
выявление следов возможных участников события по признакам, характеризующим определенные профессиональные и пользовательские навыки, умения, привычки; установление условий, при которых была создана (модифицирована, удалена, скопирована) информация;
установление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например, связи между удалением информации и нарушением работоспособности компьютерной системы);
диагностирование возможных последствий по совершенному действию и возможности его совершения (например, определение возможности модификации банковской информации в базе данных и последующего её использования программным обеспечением).
установление соответствия либо несоответствия действий с информацией специальному регламенту (правилам) (например, диагностирование признаков корректного доступа к защищенной паролем информации).
К идентификационным задачам программно-компьютерной экспертизы можно отнести индивидуальное отождествление файла с данными в копии исследуемого файла либо в представленном документе (в том числе в бумажной копии – в комплексе с технико-криминалистическим исследованием документов). Групповая принадлежность может устанавливаться при поиске общего источника происхождения информации на носителях данных компьютерной системы, а также при определении класса, вида и типа программного обеспечения, с помощью которого были порождены (созданы) исследуемые данные.
Для компьютерно-сетевой экспертизы характерна следующая группа экспертных задач:
определение свойств и характеристик аппаратного средства и программного обеспечения; установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства – в отношении к серверу, рабочей станции, активному сетевому оборудованию и т.д.);
выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным;
определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии; определение принадлежности средства к серверной или клиентской части приложений;
определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа;
установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельностивозможного места покупки (приобретения); уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и пр.);
определение причин изменения свойств вычислительной сети [например, по организации уровней управления доступом; установление факта нарушения режимов эксплуатации сети, фактов (следов) использования внешних «чужих» программ и т.п.];
диагностирование свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, RAID-массивы; жесткие диски, флоппи-диски, CD-ROM, ZIP-накопители и т.п.);
определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т.д.);
установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.
Как видно, задачи компьютерно-сетевой экспертизы охватывают практически все основные задачи рассмотренных выше видов КТЭ, т.е. решение аппаратных, программных и информационных аспектов установления фактов и обстоятельств по делам. Тем не менее, следует еще раз подчеркнуть, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.
В целом, все рассмотренные выше видовые задачи КТЭ могут быть детализированы также и для каждого этапа экспертного исследования (стадии экспертизы). Так, например, частными задачами КТЭ в зависимости от алгоритма доступа и анализа информации, хранящейся на представленных носителях данных, являются: диагностика и установление содержимого носителя, реализация доступа к данным, распознавание форматов данных, разархивация, тематический и контекстный поиск и просмотр файлов (в том числе их фрагментов), восстановление удаленных файлов, экспериментальное выполнение программного кода, декомпиляция программного кода и его трассировка, анализ файла регистрации, протоколов системной работы, просмотр и проверка файла данных, снятие парольной защиты, расшифровка и т. д.
Особо следует отметить, что конкретные экспертные задачи КТЭ ставятся перед экспертом при производстве определенной экспертизы. Вообще говоря, они не тождественны вопросам, сформулированным в постановлении (определении). Иногда несколько вопросов направлены, по существу, к решению одной экспертной задачи. И наоборот, один вопрос может включать решение двух и более задач.