- •113623, Москва, ул. Типографская, 10
- •Введение
- •Классификация и предмет экспертных исследований компьютерных средств
- •Задачи компьютерно-технической экспертизы
- •Система объектов компьютерно-технической экспертизы Общая классификация
- •Выбор типичных объектов исследования
- •Рекомендации по обнаружению, фиксации и изъятию компьютерной информации Подготовка к обыску
- •Проведение обыска
- •Порядок выключения компьютера
- •Изъятие компьютеров
- •Опечатывание компьютеров и носителей информации
- •Транспортировка и хранение компьютерной техники и носителей информации
- •Методы предосторожности при транспортировке и хранении изъятых технических средств и магнитных носителей
- •Перечень типовых вопросов при назначении компьютерно-технической экспертизы
- •Характеристика типичных объектов компьютерно-технической экспертизы Электронные компоненты компьютеров и периферийные устройства
- •Виды накопителей информации
- •Программное обеспечение
- •Основные виды операционных систем
- •Основные виды информационных файлов
- •Краткое содержание экспертного исследования
- •Заключение
- •Литература
- •Основные понятия и определения
- •Долевое распределение аппаратных объектов компьютерно-технической экспертизы
- •Справочникпо расширениям имен файлов dos и windows
- •125130, Москва, ул. З. И а. Космодемьянских, 5 Тел. 156-79-65
- •Исследование
- •Исследование ноутбука Dell Latitude xp cd
- •Ориентировочная спецификация стенда и оборудования, необходимого для производства и оформления результатов компьютерно-технической экспертизы
- •Оглавление
Изъятие компьютеров
При изъятии компьютеров необходимо:
опросить персонал порознь, выяснить сетевые имена пользователей и их пароли;
изъять все компьютеры и магнитные носители;
при осмотре документов обратить особое внимание на рабочие записи сотрудников, где могут содержаться пароли и коды доступа;
составить список всех нештатных и временно работающих специалистов фирмы с целью обнаружения программистов и других специалистов по вычислительной технике, работающих на данную фирму. По возможности установить их паспортные данные, адреса и места постоянной работы.
Следует отметить, что при изъятии технических средств можно не производить изъятие мониторов.
При осмотре должны быть установлены:
конфигурация компьютера (с четким описанием всех устройств);
номера моделей и серийные номера каждого из устройств;
инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия;
прочая информация, имеющаяся на фабричных ярлыках.
Кроме того, все изъятые системные блоки должны быть опечатаны таким образом, чтобы исключить возможность их включения в сеть и разборки.
Иногда в процессе изъятия может возникнуть необходимость описания содержимого жесткого диска. Сразу стоит оговориться, что такую операцию можно осуществить только для компьютеров с установленной файловой системой FAT16 или FAT32, не являющихся выделенными серверами в сети. Эти файловые системы используются в следующих операционных системах:
MS‑DOS и его клоны (FAT16);
Windows и Windows for Workgroups (FAT16);
Windows 95, 98, 2000 (FAT16, FAT32);
Windows NT, Windows NT Server (эта ОС может использовать две разновидности файловых систем FAT16 и NTFS, поэтому описанная ниже процедура может быть произведена только на разделе FAT16).
Для описания содержимого жестких дисков специалист, участвующий в обыске, должен заранее подготовить загрузочную дискету от операционной системы Windows 95 OSR2 (русская версия). Лучше использовать эту версию ОС, так как она работает с двумя файловыми системами (FAT16 и FAT32) и с файлами и каталогами, имеющими длинные имена и символы национального алфавита в наименовании. Затем при включении компьютера (до того, как начался процесс загрузки ОС) необходимо выйти в BIOS Setup. BIOS Setup – это специальная программа, хранящаяся в энергонезависимой памяти компьютера, которая позволяет производить основные настройки компьютера и сохранять их. Обычно при загрузке персонального компьютера выводится надпись с указанием клавиши, которую необходимо нажать для выхода в BIOS. Часто в организациях инженеры, следящие за техникой, устанавливают пароли на вход в Setup компьютеров. Путем опроса персонала необходимо выяснить эти пароли. Если это не удалось, то пароль можно дезактивировать с помощью специальной перемычки, находящейся на системной плате компьютера, или отключением батарейки (аккумулятора), питающей энергонезависимую память компьютера. Однако данную операцию во избежание порчи оборудования следует проводить только высококвалифицированным специалистам.
Если удалось войти в BIOS, необходимо проверить, установлен ли в BIOS дисковод «А:», и определить его тип, а также параметр, отвечающий за порядок загрузки системы. В параметре следует указать, что система в первую очередь должна производить загрузку с этого дисковода. Затем нужно выйти из BIOS с сохранением внесенных изменений, вставить в дисковод загрузочную дискету и произвести загрузку операционной системы. После того как операционная система выдаст приглашение для ввода команды, необходимо ввести команду: «dir c: /s > disk_c.txt».
При этом на дискете будет сформирован текстовый файл с именем disk_c.txt с полным содержанием каталогов диска С. Если на компьютере имеется несколько жестких дисков, необходимо повторить данную процедуру для каждого диска, меняя его обозначение (С на D, E и т.д.) и имя файла, в котором содержимое каталогов соответствующего диска будет сохраняться. Например, для диска D команда будет выглядеть следующим образом: «dir d: /s > disk_d.txt».
Так как современные диски обладают значительным объемом и на них может содержаться большое количество файлов, возможно, потребуется несколько дискет. Данные дискеты необходимо опечатать соответствующим образом и приложить к протоколу изъятия.