Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Рязанский Государственный Университет им. С.А. Есенина
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
РПКИ_тезисы_т.6.doc
Скачиваний:
27
Добавлен:
18.11.2019
Размер:
171.01 Кб
Скачать
►Содержание►

Вопрос 2. Судебная компьютерная экспертиза и ее задачи

Судебная компьютерная экспертиза – самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических. СКЭ производится в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на носителях данных с последующим всесторонним ее исследованием.

В судебной компьютерной экспертизе выделяются:

  • аппаратно-компьютерная экспертиза;

  • программно-компьютерная экспертиза;

  • информационно-компьютерная экспертиза (данных),

  • компьютерно-сетевая экспертиза2.

Данная классификация позволяет уже на ранних этапах становления экспертизы дифференцированно подойти к разработкам методов и методик экспертного исследования. В то же время такой подход к СКЭ может быть эффективно использован при назначении комплексных экспертиз и решении большого перечня задач.

Задачи видов компьютерной экспертизы

За основу классификации задач СКЭ примем конечную цель исследования по решению диагностических и идентификационных вопросов.

Сущность диагностических задач является выявление механизма события, времени, способа и последовательности действий, событий, явлений, причинных связей между ними, природы, качественных и количественных характеристик объектов, их свойств и признаков, не поддающихся непосредственному восприятию, и т. д. При определении диагностических задач исследуются не только свойства и состояние объекта СКЭ, но и механизм, процессы и действия по результатам применения (использования) компьютерного средства при совершении преступления. Цель идентификационных задач СКЭ — установление факта индивидуально-конкретного тождества или общей групповой принадлежности представленных объектов экспертизы.

Рассмотрим решаемые задачи каждого из указанных видов СКЭ.

При производстве судебной аппаратно-компьютерной экспертизы как вида СКЭ решаются в основном следующие задачи3:

  • определение вида (типа, марки), свойств аппаратного средства, а также его технических и функциональных характеристик для решения определенных функциональных задач (например, обработки графических изображений с высоким разрешением);

  • определение фактического состояния и исправности аппаратного средства, наличия физических дефектов;

  • определение структуры механизма и обстоятельства события по его результатам за счет использования выявленных аппаратных средств как по отдельности, так и в составе компьютерной системы в комплексе;

  • установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения;

  • определение условий (обстановки) применения аппаратных средств, восстановление хронологической последовательности их использования, места действия и функционирования.

В то же время при производстве этого вида экспертизы может осуществляться установление групповой принадлежности и отождествление конкретных аппаратных средств по выделенным признакам — общим и частным (например, серийные номера, емкость и структура накопителя, среднее время доступа к данным, скорость передачи данных, способ и плотность магнитной записи и др.).

Примером аппаратно-компьютерной экспертизы является изучение возможностей применения нетипичных или нештатных (например, в случае удара или внезапного отказа) способов исследования носителей данных (чаще всего жестких дисков) с целью извлечения криминалистически значимой информации, хранящейся на нем.

Задачи судебной программно-компьютерной экспертизы.

При проведении СКЭ программных объектов (программно-компьютерной экспертизы) могут решаться следующие экспертные задачи:

  • определение основных характеристик операционной системы;

  • выявление и исследование функциональных свойств, а также настроек программного обеспечения, времени его инсталляции;

  • определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров (объема, даты создания, атрибутов), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций);

  • выявление признаков отношения программного обеспечения к системному или прикладному и т. д.;

  • диагностирование алгоритма программного продукта, видов использованных при его разработке инструментальных средств, а также типов поддерживаемых аппаратно-программных платформ;

  • установление первоначального состояния программы (например, при начальной инсталляции) и выявление возможных последующих изменений;

  • определение целей и условий изменения свойств и состояния программного обеспечения (преднамеренное изменение каких-либо функций, конфигурирование на конкретную аппаратную среду и др.), установление способа осуществления изменений в программе (например, воздействием вредоносной программы, ошибками программной среды путем несанкционированного доступа);

  • определение свойств и состояния программы по ее отображению в обрабатываемых данных (по содержанию служебных, системных файлов), соответствия обеспечивающих аппаратных средств;

  • выявление структуры механизма события по результатам работы программного обеспечения и в динамике;

  • установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями.

Кроме указанных задач при проведении программно-компьютерной экспертизы могут решаться идентификационные задачи, связанные с индивидуальным отождествлением оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы, установлением групповой принадлежности программного обеспечения по общим признакам, выявление частных признаков программы, позволяющих впоследствии идентифицировать ее авторство, а также взаимосвязь с информационным обеспечением исследуемой компьютерной системы. В рамках экспертного исследования программных средств также могут устанавливаться признаки контрафактности представленных на экспертизу информационно-программных продуктов.

Задачи экспертного исследования компьютерных данных (информационно-компьютерная экспертиза).

К основным задачам судебной информационно-компьютерной экспертизы (данных) как вида СКЭ относятся:

  • установление свойств и вида представления информации в компьютерной системе при ее непосредственном исследовании;

  • определение фактического состояния информации, выяснение наличия или отсутствия в ней отклонений от типового объекта СКЭ (например, имеются ли вредоносные включения, нарушение его целостности);

  • установление первоначального состояния информации на носителе данных;

  • определение условий изменения свойств исследуемой информации (например, выяснение условий внесения изменений в содержимое файла, запись на пластиковой карте и т. п.);

  • определение механизма и обстоятельств события (дела), установление отдельных этапов (стадий, фрагментов) события по имеющейся информации на носителе данных или ее копиям (например, подготовка нескольких копий делового письма и его рассылка факсимильной программой в разные адреса);

  • определение времени (периода), хронологической последовательности воздействия на информацию (например, установление стадий подготовки изображений денежных знаков, оттисков печатей т.п.);

  • выявление следов возможных участников события по признакам, характеризующим определенные профессиональные и пользовательские навыки, умения, привычки, установление условий, при которых была создана (модифицирована, удалена, скопирована) информация;

  • установление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например, связи между удалением информации и нарушением работоспособности компьютерной системы);

  • диагностирование возможных последствий по совершенному действию и возможности его совершения.

К задачам информационно-компьютерной экспертизы можно отнести также отождествление содержания файла с данными в копии исследуемого файла либо в представленном документе (в том числе в бумажной копии в комплексе с технико-криминалистическим исследованием документов). Задачи экспертного исследования вычислительной сети и ее компонентов.

Для компьютерно-сетевой экспертизы характерна следующая группа экспертных задач:

  • определение свойств и характеристик аппаратного средства и программного обеспечения;

  • установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства - отношение к серверу, рабочей станции, активного сетевого оборудования и т. д.);

  • выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонентов, организации доступа к данным;

  • определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии;

  • определение принадлежности средства к серверной или клиентской части приложений;

  • определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управления доступа;

  • становление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и пр.);

  • определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом; установление факта нарушения режимов эксплуатации сети; фактов (следов) использования внешних («чужих») программ и т. д.);

  • определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, жесткие диски, флоппи-диски, CD-ROM, флеш-карты, и т.п.) и пр.;

  • определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения вредоносных функций и т. д.); установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности