Компьютерная экспертиза

На чтение 9 мин Просмотров 17

Как проходит компьютерная экспертиза? Какие особенности?

Эксперт, проводящий компьютерную экспертизу, должен обладать квалификацией, специальными знаниями в области компьютерной информации.

 Компьютерная информация может служить:

  1. предметом преступного посягательства (например, кража компьютерной информации),
  2. орудием преступления (например, фальшивомонетничество),
  3. предметом преступного посягательства и одновременно орудием преступления (преступления в сфере компьютерной информации),
  4. источником информации о преступном деянии.

Компьютерная экспертиза — род криминалистической экспертизы, проводимой в целях получения доказательств по уголовным делам, устанавливаемых на основе изучения закономерностей функционирования информации в СВТ (средства вычислительной техники).

Предмет компьютерной экспертизы

Это установление фактических данных на основе изучения закономерностей функционирования информации в СВТ.

Объектами компьютерной экспертизы являются:

  1. компьютерная информация, расположенная на машинных носителях,
  2. отдельные технические средства и функциональные устройства систем обработки информации,
  3. системы обработки информации в целом.

Развитие СВТ обусловливает постоянное расширение перечня объектов, которые могут быть представлены на компьютерную экспертизу.

Специальные знания компьютерной экспертизы составляют автоматизация и вычислительная техника (в том числе программирование), информационные системы и процессы, электроника, электротехника, радиотехника и связь.

Полноценная организация производства компьютерной экспертизы подразумевает наличие специалистов по различным операционным системам, прикладному программному обеспечению, бухгалтерским программам, базам данных, программированию, криптоанализу, мультимедиа, сетевым и интернет-технологиям, аппаратным компонентам компьютера и машинным носителям информации, связи.

Задачи, которые решаются при производстве компьютерной экспертизы:

  1. поиск информации на машинном носителе (в СВТ), созданной с помощью прикладных программ,
  2. поиск информации на машинном носителе о действиях пользователя (процессах обработки файлов, ведения баз данных, работе в сетях передачи данных и т.п.),
  3. определение свойств программ и программных продуктов,
  4. определение возможности совершения каких-либо действий с помощью СВТ,
  5. определение принадлежности программ и данных к конкретным классам,
  6. установление материальных объектов по компьютерной информации (проводится в комплексе с другими видами экспертиз),
  7. установление фактических обстоятельств совершения преступления (проводится при наличии информации, полученной из различных источников).

Вопросы, выносимые на компьютерную экспертизу

Они должны удовлетворять определенным требованиям, их можно разбить на две группы: общие требования (относящиеся к любым вопросам, выносимым на компьютерную экспертизу) и частные требования (относящиеся к вопросам, выносимым на конкретную экспертизу).

Общие требования

1) При постановке вопроса необходимо использовать устоявшийся понятийный аппарат, исключающий жаргонные и полупрофессиональные термины («винчестер», «логи», «взлом» и т.п.). В случае отсутствия терминов, определенных законодательными или нормативными актами, необходимо использовать те термины, которые употребляют разработчики технических средств, программных продуктов в документации, описаниях, справках и т.п.

2) Вопрос должен быть четким и однозначным.

3) Формулировка вопроса не должна касаться этапов исследования информации (описание характеристик носителей информации и особенностей размещения информации на них, восстановление и исследование информации среди удаленных файлов являются обязательным этапом исследования информации).

4) Вопросы не должны носить справочный характер.

5) Вопросы не должны носить правовой характер и выходить за пределы компетенции эксперта.

6) вопросы должны соответствовать существующей методической и технической базе.

Частные требования

1) Вопросы должны быть направлены на установление конкретных обстоятельств расследуемого события.

2) Вопросы должны быть поставлены так, чтобы при решении конкретных задач расследования затраты (финансовые, технические, временные и пр.) на проведение исследований были минимальными;

3) Вопросы должны соответствовать уровню подготовки и инструментальному оснащению экспертов того экспертного учреждения, которое будет проводить экспертизу.

4) Вопросы должны соответствовать представляемым на исследование вещественным доказательствам.

ПАК (программно-аппаратные комплексы)

Для производства компьютерных экспертиз должны применяться специализированные программно-аппаратные комплексы, удовлетворяющие определённым требованиям.

Требования к ПАК

1) Иметь в своем составе устройства для работы с информацией на представленных машинных носителях.

2) Иметь возможность блокирования записи информации (аппаратно, аппаратно-программно, программно) на исследуемых машинных носителях.

3) Иметь возможность посекторного копирования информации с представленных машинных носителей на дополнительные машинные носители не меньшей емкости.

4) Иметь возможность вычисления хеш-функции файлов, каталогов, разделов, диапазона секторов.

5) Иметь возможность доступа к файловой системе машинных носителей.

6) Иметь возможность просмотра и интерпретации информации, создаваемой наиболее распространенным программным обеспечением (офисными программами, графическими редакторами, системами управления базами данных, программами, предназначенными для работы в локальных и глобальных сетях, и т.п.).

7) Иметь возможность восстановления удаленной информации.

8) Иметь возможность просмотра и интерпретации системной и служебной информации (следовой картины).

9) Иметь возможность поиска и манипуляции с информацией по различным критериям (контексту, свойствам, хеш-функциям и пр.).

10) Иметь возможность оформления результатов исследования.

Носители

Это накопители на жестких магнитных дисках, гибких магнитных дисках, zip — и jaz-накопителях; магнитных лентах, CD- и DVD-дисках, flash-накопителях, картах памяти и прочих машинных носителях, информация на которых представлена в виде файловых систем.

Такие экспертизы, как правило, проводятся в следующем порядке:

  1. осматривается, описывается и фотографируется упаковка объектов,
  2. осматривается, описывается и фотографируется внешний вид объектов,
  3. при наличии системного блока, ноутбука и т.п. из них извлекаются машинные носители, после чего просматриваются настройки даты и времени на системной плате с помощью базовой системы ввода-вывода (BIOS). Данные настройки сопоставляются с текущим временем (с указанием следующих характеристик текущего времени: часовой пояс, летнее или зимнее время),
  4. машинные носители и стендовое оборудование подготавливаются к исследованию (переключатели, заслонки и т.д. на представленных машинных носителях устанавливаются в режим защиты от записи (при наличии такой возможности); выбираются устройства для подключения машинных носителей, и при необходимости они устанавливаются в режим «только чтение»; подготавливаются дополнительные машинные носители для последующего посекторного копирования на них информации, подлежащей исследованию),
  5. машинные носители подключаются к аппаратно-программному комплексу, и устанавливается структуру расположенной на них информации (количество, наименование и размер разделов; серийные номера разделов (опционально); наличие неразмеченного пространства и его размер; наименование файловой системы в каждом разделе; размер занятого в разделе пространства (в байтах или мегабайтах); значения хеш-функции для машинного носителя (опционально)),
  6. проводится посекторное копирование информации с машинных носителей на дополнительные носители. Для дальнейшего исследования используются посекторные копии,
  7. восстанавливается удаленная информация,
  8. при необходимости скопированная и восстановленная информация проверяется антивирусным программным обеспечением.

Для поиска информации, созданной с помощью прикладных программ:

Определяется область поиска. Основу области поиска составляет информация, поиск и просмотр в которой можно осуществить средствами программно-аппаратного комплекса без дополнительных преобразований.

Дополнительно в зависимости от задачи в процессе определения области поиска осуществляется поиск зашифрованных областей на машинном носителе и определение возможности их расшифровки, поиск файлов-контейнеров (в том числе проведение стеганоанализа), файлов-архивов, определение возможностей доступа к информации в этих файлах; поиск файлов, доступ к содержимому которых закрыт паролем, поиск файлов и каталогов, доступ к содержимому которых ограничен операционной системой, сигнатурный анализ (сопоставление сигнатуры файла расширению файла), просмотр (экспериментальный запуск) программного обеспечения, имеющегося на машинном носителе, с целью установления форматов, обрабатываемых этим программным обеспечением файлов и возможностей поиска и просмотра содержимого таких файлов.

Производится на аппаратно-программном комплексе (возможно применение технологий виртуальных машин) либо путем экспериментального запуска с использованием копий машинных носителей.

Обнаруженная информация по возможности приводится к формату, пригодному для поиска, и добавляется к области поиска.

В зависимости от задачи и с учетом возможностей инструментальных средств в область поиска помимо файлов, имеющихся на машинном носителе, включаются восстановленные файлы, свободные области, «межкластерные» зазоры, загрузочная запись и т.п., из области поиска исключаются системные файлы, файлы с прикладным программным обеспечением и пр.,

Область поиска сужается до области просмотра

Поиск осуществляется по различным критериям:

  1. ключевым словам,
  2. расширениям,
  3. свойствам и метаданным файлов; сигнатурам и пр.

В зависимости от поставленной задачи к формулированию критериев поиска могут привлекаться эксперты других специальностей.

Если критерии поиска сформулировать невозможно, область просмотра может быть приравнена к области поиска.

Информация из области просмотра просматривается как с помощью программного обеспечения, имеющегося на аппаратно-программном комплексе, так и с помощью программного обеспечения, имеющегося на машинных носителях. В данном процессе могут принимать участие как эксперты других специальностей (комплексная экспертиза), так и лицо, назначившее экспертизу.

    Оформляются результаты поиска. Искомая информация описывается, распечатывается либо записывается на CD- или DVD-диски однократной записи.

    Для поиска информации о действиях пользователя:

    • определяются установленные операционные системы,
      • устанавливается, имеется ли на данном машинном носителе программное обеспечение, с помощью которого могли производиться искомые действия пользователя (выявляется программное обеспечение, работа которого требует регистрации в операционной системе, выявляется программное обеспечение, работа которого не требует установки в операционной системе, выявляется удаленное программное обеспечение либо сведения, оставшиеся в операционной системе от ранее установленного и впоследствии удаленного программного обеспечения, оцениваются возможности данного программного обеспечения по производству искомых действий.

      Оценка производится экспертом путем использования собственных знаний и опыта, изучения описаний, руководств, справочных пособий, проведения экспертных экспериментов и др.),

      • если наличие такого программного обеспечения установлено, определяется порядок и особенности его работы в процессе совершения интересующих следствие действий (изучается процесс следообразования). Образование следов происходит путем создания, модификации, удаления информации на машинном носителе и отражается в системных, временных, специализированных файлах, свойствах и метаданных файлов данных и т.п.

      Установить порядок и особенности расположения следовой информации можно путем проведения экспертных экспериментов, в ходе которых производится сопоставление между собой двух и более состояний файловой системы, отслеживание обращений программного обеспечения к различным элементам файловой системы и др.

      Так же эти сведения могут быть получены из документации на программное обеспечение, показаний лиц, проходящих по делу, справочных и методических пособий и т.п.,

      •  описывается и просматривается наличие и содержимое возможных мест расположения следовой информации на машинных носителях. При необходимости найденная информация сопоставляется между собой на предмет ее непротиворечивости и последовательности по времени,
      •  оформляются результаты поисков.

      Специфика

      Определенной спецификой обладают задачи по поиску и интерпретации информации, содержащейся в мобильных телефонах, видеорегистраторах, игровых автоматах, на платежных картах и т.п.

      Как правило, порядок исследования и возможности интерпретации информации на объектах, на которых последняя не представлена в виде файловых систем, определяется экспертом после изучения документации, технического описания на устройства.

      Разработка специализированных программно-аппаратных комплексов для исследования информации в этих устройствах позволяет упростить доступ к информации и минимизировать время по ее извлечению и интерпретации.

      Задачи определения свойств программ и программных продуктов и определения возможности совершения каких-либо действий с помощью СВТ решаются путем проведения соответствующих экспертных экспериментов.

      Остальные задачи на практике встречаются редко и при их решении эксперты пользуются традиционными подходами и методами, используемыми в современной криминалистике и судебной экспертизе.

      Оценить статью:
      ( 4 оценки, среднее 5 из 5 )
      Поделиться статьей
      Адвокат по уголовным делам в Москве Звягин Сергей Петрович
      © 2024 Звягин С.П. Необходима помощь? Звоните, задавайте вопросы +79645547575 или +79998127575 (с 8.00 до 22.00)
      error: Content is protected !!