- •113623, Москва, ул. Типографская, 10
- •Введение
- •Классификация и предмет экспертных исследований компьютерных средств
- •Задачи компьютерно-технической экспертизы
- •Система объектов компьютерно-технической экспертизы Общая классификация
- •Выбор типичных объектов исследования
- •Рекомендации по обнаружению, фиксации и изъятию компьютерной информации Подготовка к обыску
- •Проведение обыска
- •Порядок выключения компьютера
- •Изъятие компьютеров
- •Опечатывание компьютеров и носителей информации
- •Транспортировка и хранение компьютерной техники и носителей информации
- •Методы предосторожности при транспортировке и хранении изъятых технических средств и магнитных носителей
- •Перечень типовых вопросов при назначении компьютерно-технической экспертизы
- •Характеристика типичных объектов компьютерно-технической экспертизы Электронные компоненты компьютеров и периферийные устройства
- •Виды накопителей информации
- •Программное обеспечение
- •Основные виды операционных систем
- •Основные виды информационных файлов
- •Краткое содержание экспертного исследования
- •Заключение
- •Литература
- •Основные понятия и определения
- •Долевое распределение аппаратных объектов компьютерно-технической экспертизы
- •Справочникпо расширениям имен файлов dos и windows
- •125130, Москва, ул. З. И а. Космодемьянских, 5 Тел. 156-79-65
- •Исследование
- •Исследование ноутбука Dell Latitude xp cd
- •Ориентировочная спецификация стенда и оборудования, необходимого для производства и оформления результатов компьютерно-технической экспертизы
- •Оглавление
Порядок выключения компьютера
В случае необходимости изъятия компьютеров следует произвести корректный выход из системы для предотвращения порчи данных, находящихся в памяти компьютера. Рассмотрим порядок выключения компьютера для каждой из операционных систем. Перечисленные ниже действия адресованы специалисту, выполняющему операцию выхода из системы.
MS-DOS и его клоны
Если на экране компьютера Вы видите командную строку «С:\>» (где: С:\> так называемое приглашение DOS; С текущий диск, может быть любая буква латинского алфавита; между буквой диска и символом «>» может находиться любая другая информация), то, вероятнее всего, Вы находитесь в системе MS-DOS.
Следует отметить, что некоторые задачи могут вызывать сессию DOS. Поэтому необходимо определить, действительно ли это приглашение MS-DOS или приглашение DOS-сессии. Для этого на клавиатуре наберите «exit» и нажмите клавишу Еnter («Ввод»). Как правило, все DOS-сессии по этой команде прекращают свою работу и возвращаются на экран запущенного приложения.
Если этого не произошло, а на экран было выведено сообщение о неправильно набранной команде или неверном имени файла, то можно выключить компьютер нажатием кнопки выключения питания на системном блоке.
В случае, если после команды «exit» произошел выход на экран задачи, то следует предварительно закрыть работающую программу. Если Вы не можете обнаружить на экране меню или подсказку по выходу из приложения, то нажмите клавишу F1. Почти все DOS-приложения при нажатии этой клавиши вызывают встроенную подсказку, в которой можно найти инструкцию по выходу из программы. В случае отсутствия встроенной подсказки нажмите клавишу Esc (либо F10) либо комбинацию клавиш Alt+X (Alt+Q, Ctrl+C). Эти комбинации клавиш наиболее часто используются DOS-приложениями для завершения работы. Если Вам так и не удалось выйти в DOS, то, возможно, Вы находитесь в DOS-приложении, запущенном из другой операционной системы (например, Windows). Чтобы проверить это, нажмите комбинацию клавиш Alt+Tab (Ctrl+Esc, Alt+Esc). Если после нажатия одной из этих комбинаций одно приложение сменилось другим, значит, Вы, действительно, находитесь не в системе DOS, а в другой операционной системе.
Дополнительно удостовериться, что Вы находитесь в системе DOS, можно, набрав в строке приглашения DOS команду «ver». При этом на экране появится сообщение о типе операционной системы и ее версии.
В крайнем случае можно, с согласия руководителя следственной группы, просто выключить компьютер сетевым выключателем.
Windows 3.1 - 3.11
Эта система, как уже говорилось выше, является надстройкой над операционной системой DOS и запускается после загрузки DOS. Windows представляет собой графический оконный интерфейс. Если Вы находитесь в Windows, то завершить работу в этой системе и выйти в DOS можно с помощью комбинации клавиш Alt+F4. При этом система будет запрашивать о подтверждении закрытия приложений или выхода в DOS. Если из Windows были запущены одна или несколько DOS-задач, то система выдаст сообщение о невозможности закрыть данные DOS-приложения. В этом случае подведите курсор мыши на кнопку отмены Cancel и нажмите ее. Затем с помощью комбинации клавиш Alt+Tab переключитесь в запущенное DOS-приложение и в соответствии с рекомендациями, изложенными для DOS, закройте его. После этого можно продолжить попытки выйти из Windows с помощью комбинации клавиш Alt+F4.
После того как система Windows закончит свою работу и Вы увидите приглашение DOS, можно выключить компьютер.
Windows 95, 98, 2000, Windows NT WorkStation, Windows NT Server
Все эти операционные системы SYMBOL 45 \f "Symbol" \s 14- с графическим интерфейсом. Для того чтобы завершить работу этих систем, подведите указатель мыши к кнопке Start («Пуск») и нажмите ее. При этом откроется дополнительное меню. С помощью мыши выберите в нем пункт Shutdown («Завершение работы») и нажмите левую клавишу мыши. Через некоторое время на экране появится окно «Завершение работы». Подведите указатель мыши к светлому кружку, расположенному слева от надписи Shutdown the computer («Выключить компьютер»), и нажмите левую клавишу мыши. При этом в светлом кружке появится черная точка. Затем подведите указатель мыши к кнопке с надписью ОК («Да») и нажмите левую клавишу мыши. Признаком того, что система начала завершать работу, является появление на экране картинки с логотипом Windows 95 (98) или Windows NT (в редких случаях вместо этой картинки может появиться другая, заданная пользователем). После того как система завершит работу, она или сама выключит питание компьютера, или выведет на экран сообщение о том, что работа системы завершена и теперь можно выключить компьютер (или аналогичное по смыслу сообщение на английском языке). Следует отметить, что большинство современных компьютеров, работающих под управлением Windows 95 (98), в том числе и ноутбук, сами производят выключение питания.
Иногда не сразу удается обнаружить на экране кнопку Start («Пуск»). Как правило, это происходит из-за того, что некоторые пользователи убирают с экрана рабочую панель с этой кнопкой, используя стандартные возможности Windows. Эта панель появится на экране, как только Вы подведете указатель мыши к краю экрана. По умолчанию панель расположена в нижней части экрана, однако пользователь по своему желанию может переместить ее к любому краю. Если Вам так и не удалось обнаружить панель с кнопкой Start («Пуск»), то для завершения работы системы Вы можете использовать комбинацию клавиш Alt+F4.
Если в процессе завершения работы система обнаружила запущенное DOS-приложение, то она выдаст сообщение о том, что перед завершением работы Вы должны закрыть все работающие DOS-приложения. С помощью комбинации клавиш Alt+Tab переключитесь на это приложение и выйдите из него в соответствии с рекомендациями для DOS. Затем повторите попытку выйти из системы.
Возможно, в процессе завершения работы система обнаружит какую-либо задачу с несохраненными данными. В этом случае она выдаст сообщение о том, в каком приложении и какой файл не был сохранен, с предложением сохранить его. В нижней части этого сообщения Вы увидите три кнопки. Нажав кнопку ОК («Да»), Вы перезапишите имеющийся на диске файл в соответствии с информацией, введенной в приложение. Нажав кнопку No («Нет»), Вы сохраните имеющийся файл на диске неизменным, потеряв те исправления, которые были внесены в процессе работы приложения. Нажав кнопку Cancel («Отмена»), Вы остановите процесс завершения работы системы и попадете в то приложение, в котором имеются несохраненные данные. Как поступить с несохраненными данными, решает руководитель следственной группы. Однако если при обыске присутствует специалист по компьютерам, то он сможет без труда сохранить эти данные на дискете или в файле с другим именем. Дискета с сохраненными данными должна быть приобщена к протоколу обыска в соответствии с установленным УПК порядком.
Так как перечисленные системы являются сетевыми, то вполне возможно, что к компьютеру, который Вы пытаетесь выключить, подключены по сети пользователи с других компьютеров. В этом случае система выдаст следующее сообщение: «К компьютеру подключены пользователи (2). Завершение работы приведет к их отключению. Продолжить?» (или аналогичное сообщение на английском языке). В скобках, в конкретном примере (2), указано количество пользователей, подключенных к данному компьютеру. В этом случае возможно, что эти пользователи имеют открытые и несохраненные файлы на компьютере, который Вы пытаетесь выключить. Следует ответить No («Нет») на сообщение компьютера и попытаться сначала описанным выше способом выключить другие компьютеры, а затем вернуться к этому.
Посмотреть список файлов, открытых на данном компьютере другими пользователями, можно через меню «Пуск/Программы/ Стандартные/Служебные программы/Инспектор сети».
В крайнем случае на запрос о продолжении можно ответить Yes («Да»), однако в этом случае изменения, внесенные другими пользователями в файлы, будут утеряны.
Особо следует отметить о завершении работы системы Windows NT Server, так как эта сетевая операционная система, как правило, обслуживает других пользователей сети. Компьютеры с этой операционной системой необходимо выключать в последнюю очередь, после того как будут выключены все пользовательские компьютеры.
Узнать, какая из этих трех операционных систем работает на компьютере, можно следующим образом. Выберите меню «Пуск/Настройка/Панель управления». В открывшемся окне подведите курсор мыши на символ вопросительного знака, находящийся в верхней части этого окна, и нажмите левую клавишу мыши. В открывшемся окне среди прочей информации Вы сможете прочитать название операционной системы.
OS/2 и OS/2 Warp Connect
При подготовке к выключению компьютера, на котором предположительно установлена система OS/2, необходимо определить, какие задачи на данный момент выполняются.
Для этого нажмите комбинацию клавиш Ctrl+Esc, – на экране появится список выполняемых задач. Используя клавиши управления курсором, выберите из представленного списка пункт с названием «DeskTop» и нажмите клавишу Enter; при этом система переключится на отображение основного рабочего экрана. После этого подведите курсор мыши к свободной области рабочего экрана системы и нажмите правую клавишу манипулятора; в открывшемся меню выберите пункт «System Shutdown…», после чего система выведет запрос на подтверждение закрытия активных окон, завершения активных задач и подготовки системы к выключению.
Для продолжения нажмите клавишу Enter или подведите курсор мыши к кнопке ОК и нажмите левую клавишу манипулятора. В случае наличия большого количества активных задач система будет выдавать запросы на подтверждение закрытия текущей активной задачи. Подведите курсор мыши к кнопке OК и нажмите левую клавишу манипулятора (перемещение по предлагаемым клавишам управления в активных окнах возможно также с помощью клавиш управления курсором). После некоторого времени на экране появится сообщение о том, что система готова к выключению.
При невозможности подготовить систему к выключению указанным выше способом можно использовать комбинацию клавиш Ctrl+Alt+Del. В крайнем случае, с согласия руководителя следственной группы, просто выключите компьютер.
Novell NetWare
Novell NetWare является многозадачной сетевой операционной системой и предназначена для установки на сервер. Как правило, это – отдельно стоящий компьютер. Вполне возможно, что у данного сервера будет отсутствовать монитор, но обычно для удобства администрирования системы на сервере оставляют самый простой (монохромный) монитор. Если монитор отсутствует, следует без выключения сервера подсоединить к нему любой монитор от другого компьютера. Для переключения с задачи на задачу используйте комбинацию клавиш Alt+Esc.
Для завершения работы системы сначала выключите все другие компьютеры, используемые в качестве рабочих станций. Затем с помощью комбинации клавиш Alt+Esc переключитесь на экран консоли. Этот экран по внешнему виду напоминает экран DOS. Однако в качестве приглашения командной строки используется не символ «>», а символ двоеточия.
На экране консоли наберите команду «Down» и нажмите клавишу Enter («Ввод»). Система начнет процесс завершения работы. Если в сети остались невыключенные компьютеры, подключенные к данному серверу, то сервер выведет список файлов, открытых пользователями, выдаст сообщение «*** WARNING *** There are active files open.» и запросит подтверждение операции завершения работы: «Down server? n».
Нажмите клавишу Enter («Ввод»), отыщите еще не выключенные компьютеры и выключите их. После этого повторите команду «Down» на консоли сервера.
После того как система завершит работу, она выдаст сообщение: «Туре exit for DOS». После этого питание компьютера можно отключить.
UNIX-системы
В настоящее время в мире существует несколько клонов операционной системы UNIX. К сожалению, многие поставщики этой ОС не придерживаются единой системы команд, что делает затруднительным обзор необходимых действий для корректного завершения работы. Однако, даже не зная, какая конкретно модификация этой операционной системы используется, можно дать общие рекомендации для остановки ОС с наименьшим вредом для содержащейся на компьютере информации.
Для начала необходимо закрыть все графические приложения, которые запущены. Для этого подведите курсор мыши к изображению панели с меню и выберите пункт «File». В открывшемся подменю необходимо выбрать команду «Close» (или аналогичную по смыслу). Графическая оболочка UNIX-систем частично похожа на оболочку Windows. Следователь или специалист, привлеченный к обыску, зная операционную среду Windows, может интуитивно произвести необходимые действия для закрытия графических приложений.
Как правило, все серверы, использующие в качестве операционной систему UNIX, находятся в терминальном режиме, внешний вид которого похож на DOS. Находясь в терминальном режиме, следует набрать команду «Shutdown». Эта команда корректно закроет открытые приложения и остановит ОС. В некоторых версиях UNIX для этой команды необходимо указать ключи. Можно попробовать остановить эту ОС с помощью команды «Shutdown–h», где «h» (halt) является ключом, сообщающим команде, что необходимо остановить систему. Можно попробовать набрать команду «Halt». Следует отметить, что даже если эти команды не смогут остановить систему, вреда данным они не принесут.
Если перечисленные способы не привели к желаемому результату, можно попробовать применить более грубый способ – команду «Init». Действия этой команды не всегда могут быть предсказуемыми и в общем случае могут привести к потере данных (например, таких, как открытые файлы). Однако может возникнуть ситуация, когда ее использование вполне оправдано. Наберите в терминальном режиме команду «Init0», которая отключит от системы всех пользователей (если такие были) и закроет все процессы системы. При этом система выдаст сообщение об остановке работающих системных сервисных программ («The system is down» или аналогичное по смысловому содержанию) и выведет приглашение для ввода команды (при этом, как правило, вид приглашения будет отличаться от использовавшегося до закрытия системы).