Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Общий осмотр помещений с компьютерной техникой и рабочих мест 2 страница

Читайте также:
  1. Contents 1 страница
  2. Contents 10 страница
  3. Contents 11 страница
  4. Contents 12 страница
  5. Contents 13 страница
  6. Contents 14 страница
  7. Contents 15 страница

Для того чтобы в будущем избежать претензии владельцев изъятых компьютеров по поводу целостности программных и аппаратных компонентов, после проведенного исследования ре­комендуется, прежде чем изъять СКТ, выполнить следующие ме­роприятия:

осуществить тестирование программ и технических компонен­тов, определить конфигурацию системы, отразив эти данные в про­токоле и зафиксировав ход тестирования с помощью видеозаписи;

провести выемку документации фирмы-изготовителя (постав­щика) СКТ;

изъять лицензии к применяемым программным продуктам;


составить перечень нелицензионного программного обеспече­ния (установленного с нарушением авторских прав);

подробно зафиксировать в протоколе, что именно изымается8.

По итогам осмотра надо определить, позволяют ли условия ныключить компьютер. Если следователь затрудняется принять такое решение, необходимо позвать специалиста, который входит ■ группу. Например, обычно нежелательно выключать большую)ВМ или сервер, который поддерживает важные операции. Если принимается решение выключить компьютер, надо предпринять шаги, чтобы по возможности сохранить данные из оперативной памяти перед выключением.

Если непосредственно перед осмотром компьютера шла рабо­та с документом, например, в программе текстового редактора, и документ может иметь значение для расследования уголовного дела, то выход из программы осуществляется только после со­хранения документа в отдельном файле с другим именем на же­стком диске или на дискете, чтобы остался исходный, существо­вавший в начале работы вариант документа.

Если правильное завершение работы операционной системы компьютера невозможно (программа или система зависла, пере-ипрузка не удается), надо согласовать со специалистом, не по-п родит ли аварийное завершение файловую систему компьютера при простом отключении компьютера от сети. Одновременно в протоколе фиксируют состояние компьютера (включен или вы-к точен) и предпринятые действия.

СКТ, подлежащие изъятию (системный блок, монитор, клавиа-ivpa, разъемы, кабели), после выключения, но перед разъединени­ем кабелей, надо маркировать цветными клеящимися или привя-и.таемыми этикетками с написанными однотипными номерами (кодами), которые записываются в протокол осмотра и отобража­ются на схеме места происшествия. Компьютер и любое устройст-

10 и месте осмотра можно помечать буквой/номером в соответст-

11 и и с форматом «комната, компьютер, устройство, разъем, ка­
бель», например, «комн21-комп7-устрЗ-разъем4, кабель! 1».


 


7 См., напр.: Криминалистика / Под ред. Т.А. Седовой, А.А. Эксархопуло. СПб, 2001. С. 382.


8 См.: Яковлев А.Н. Вопросы профессионального исследования средств электрон-ио-1шчислительной техники в целях получения дополнительной информации о деятельно-. i II криминальных структур // Вопросы технико-криминалистического обеспечения рас­крытия и расследования преступлений. Саратов, 1996. С. 50.


 




Наклейки с метками прикрепляются и к носителям для даль­нейшего учета и идентификации.

Закрываются наклейками, липкой лентой и пломбируются технические входы и выходы изымаемых СКТ9. Каждый незаня­тый порт надо маркировать как «свободный», это позволит отве­тить на вопрос, был ли непомеченный порт действительно неза­нятым или просто утерян кабель. Порядок соединения СКТ меж­ду собой фиксируют с помощью фото- или видеосъемки. При опечатывании компьютерных устройств одна полоса тонкой бу­маги закрепляется клеем на разъеме электропитания, располо­женном на задней панели, вторая - на кнопке включения питания передней панели. Таким же способом опечатывается кнопка сете­вого включения. На каждую бумажную полосу наносится пояс­нительная надпись, заверяемая понятыми, представителем орга­низации, где проводится осмотр, либо иными лицами, присутст­вующими при его проведении, и следователем, ошюмбируются (либо опечатываются) винты крепления корпуса. Возможен и иной способ опечатывания: системный блок помещается в хол­щовый пакет, который опечатывают10.

Изъятие одного из компьютеров сети может оказать мини­мальное воздействие на работоспособность организации. Но если нельзя ограничиться извлечением информации с сервера и требу­ется его изъятие, специалист при участии сетевого администра­тора должен правильно завершить работу сервера и, возможно, переключить серверное обслуживание организации на какой-нибудь резервный компьютер.

Изымаемые физические носители желательно упаковать каж­дый в отдельный пакет или конверт, на котором делают поясни­тельные надписи (указывается список имеющихся на дискете файлов и имя операционной системы). Пакет опечатывают, снаб­жают подписями следователя, понятых, иных участников осмот­ра и заворачивают в фольгу для ослабления электромагнитных воздействий. Аналогично упаковывают и опечатывают копии, сделанные в ходе осмотра.

9 См.: Криминалистика / Под ред. ТА. Седовой, А.А. Эксархопуло... С. 377.

10 См.: Российская Е.Р., Усов А.И. Судебная компьютерно-техническая эксперти­
за. М., 2001. С. 115; Криминалистическая техника. М., 2002. С. 377.


И целях защиты дисководов гибких дисков при транспорти­ре >ике системного блока некоторые авторы рекомендуют встав­ит!, в щель дисковода чистую дискету. Данная рекомендация < чпибочна, так как транспортировка дисковода с вставленной дис-М той может его повредить.

СКТ и соединительные кабели упаковывают таким образом, ТГОбы не допустить их повреждения при транспортировке (жела- iciii.no в тару, в которой они были приобретены владельцем у 1i редприятия-изготовителя, либо в подходящую по размеру).

Изъятие СКТ желательно производить в один прием. Если это пгиозможно, должна быть организована охрана предназначенных к изъятию средств. Транспортировать и хранить изъятую компь-м черную технику следует так, чтобы не допустить на нее меха­нического воздействия, влияния атмосферных факторов, элек­тромагнитных излучений, высоких и низких температур, вмеша-пльства посторонних лиц во время транспортировки и хранения.

В литературе существуют рекомендации по изъятию всех обна­руженных носителей информации (дискеты, диски) независимо от к (держания. Подобная мера оправданна в случае производства обыска у подозреваемого (обвиняемого) или осмотра места про­исшествия при расследовании уголовных дел о создании, исполь­зовании и распространении вредоносных программ для ЭВМ. В опальных случаях при расследовании преступлений в сфере ком-ш.ютерной информации носители изымать нецелесообразно, осо-5енно если: а) содержание дисков и файлов не имеет значения для пела; б) специалистом однозначно установлено отсутствие на дис­ке (дискете) скрытых, защищенных шифрованием файлов и полез­ных дая дела остаточных данных от ранее удаленных файлов.

Рхли СКТ по какой-либо причине изъять с места происшест-пня невозможно (либо нецелесообразно), необходимо принять меры для исключения доступа к компьютерной информации пу­тем отключения рабочих станций от сервера или модема, отдель­ных компьютеров от электросети. От системных блоков отклю­чаются периферийные принадлежности. Помещение, где остают­ся СКТ, при необходимости временно опечатывается.

После того как вид физических носителей и выявленных на них следов описаны в протоколе и зафиксированы с помощью фото- или видеосъемки, следователь поручает специалисту про-


вести их предварительное исследование, чтобы установить, на­пример, содержится ли на них какая-либо информация, не зара­жены ли носители вирусом и т.п.

f § 2. Составление протокола осмотра места происшествия

Фиксация результатов осмотра — это документальное отра­жение в установленной законом форме всего обнаруженного на месте происшествия, описание произведенных в ходе осмотра действий, запечатление как общей картины обстановки происше­ствия, так и свойств, состояния и признаков отдельных элементов места происшествия.

Основным методом фиксации хода и результатов осмотра места происшествия является описание выявленных при произ­водстве данного следственного действия существенных для дела обстоятельств в протоколе, составляемом в соответствии с требо­ваниями ст.ст. 166,167,180 и приложения 4 ст. 476 УПК РФ.

Во вводной части протокола осмотра места происшествия указываются: место составления протокола и дата производства осмотра; время начала и окончания осмотра с точностью до мину­ты; классный чин или звание, фамилия и инициалы лица, состав­ляющего протокол; основание производства осмотра (сообщение о происшествии с указанием, от кого, когда и о чем получено); фа­милия, имя и отчество каждого лица, участвовавшего в осмотре; места жительства понятых; в соответствии с какими статьями (час­тями статей) УПК РФ производится осмотр; что является объектом осмотра; факт разъяснения прав, ответственности, а также порядка производства осмотра места происшествия участвующим лицам; какие и кем именно технические средства будут применяться с указанием их индивидуальных признаков — тип, марка, название, маркировочный номер компьютера11 (при наличии) и съемных машинных носителей информации (при наличии), сведения о про­граммном обеспечении (тип, название, версия), производитель-разработчик (компания или автор), регистрация (пользователь, ор-

11 См.: Козлов В.Е. Указ. соч. С. 208; Криминалистическая методика расследова­ния отдельных видов преступлений / Под ред. АЛ. Резвана, М.В. Субботиной. М, 2002. Ч. 2. С. 100, 105.


типизация, номер продукта или его аналог); в каких условиях про­изводится осмотр (погода, освещенность).

В описательной части протокола необходимо зафиксировать следующее (прил. 4):

1) где находится место происшествия, его границы, общая ха­рактеристика (адрес, назначение здания, число этажей и т.д.), опи­сываются пути, ведущие к месту происшествия, входы и выходы;

2) месторасположение осматриваемого помещения в здании, наличие охранной сигнализации (указываются основные техни­ческие характеристики), состояние оконных или дверных про­емов (повреждения, техническое состояние), запорных устройств, экранирующих средств защиты; микроклиматические условия, существующие на момент осмотра (температура, влажность воз­духа)12, расположение и основные характеристики токонесущих коммуникаций;

3) расположение компьютера и периферийного оборудования и осматриваемом помещении и относительно друг друга и других шсктротехнических устройств, положение их на плане-схеме по­мещения;

4) тип (назначение), конфигурация (прил. 5), название каждого конкретного блока, входящего в состав осматриваемого СКТ, ин-1 lei {тарный номер, присвоенный бухгалтерией при постановке оборудования на баланс предприятия, а также цвет, форма, раз-мор, серийный номер и иную информацию на заводском ярлы­ке"; наличие и расположение специальных знаков, фирменных наклеек, этикеток со штрих-кодами, механических повреждений;

5) порядок и особенности соединения между собой всех уст­ройств (с указанием типа (назначения), цвета, количества, разме-ров и иных индивидуальных признаков, соединительных и элек-

См.: Пособие для следователя. Расследование преступлений повышенной обще­ственной опасности. М, 1998. С. 403; Осмотр места происшествия / Под ред. А.И. Двор-кипа. М., 2001. С. 247.

См.: Кушниренко СМ., Панфилова Е.И. Уголовно-процессуальные способы изъ­ятии компьютерной информации по делам об экономических преступлениях. СПб., 1998. С. 31; Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информа­ции. М, 2001. С. 51; Быстряков Е.Н., Иванов А.Н., Климов В.А. Расследование компью-ПрНЫХ преступлений. Саратов, 2000. С. 64-65; Нехорошева О. Изъятие компьютерной техники и информации // Законность. 2004. № 8. С. 16.

5!


тропитающих проводов, кабелей, разъемов (может дополняться фото- и видеосъемкой);

6) наличие или отсутствие линий связи для работы СКТ в сети, телекоммуникационных линий, используемая в этих целях аппа­ратура, абонентский номер телефонной связи с провайдером се­тевых услуг; *

7) наличие и техническое состояние заземления СКТ;

8) обнаруженные на СКТ следы или повреждения с указанием их локализации, размеров, каким способом они были сфотографирова­ны, кем и с каких следов снимались копии, делались оттиски и т.д.;

9) не предусмотренные стандартом конструктивные измене­ния в архитектуре (составе) ЭВМ, устройств (частей, блоков); подключенные к СКТ сторонние технические устройства;

 

10) наличие или отсутствие защиты ЭВМ от несанкциониро­ванного доступа, тип средств (организационные, аппаратные, программные);

11) при осмотре группы компьютеров, соединенных в локальную сеть, следует указать - количество серверов и подключенных к ним рабочих станций; расположение рабочих мест, способ соединения СКТ друг с другом, расположение розеток подключения к сети;

12) включены или выключены СКТ на момент осмотра; если компьютер включен, детально отражается изображение на экране (дисплее) (окна каких программ и документов открыты, дата и текущее время, и т.д.).

В случае необходимости после вскрытия системного блока (сня­тия кожуха) в протоколе указывают месторасположение электрон­ных плат в системном блоке, наличие внутри нештатной аппарату­ры (например, «жучков», передающих информацию дистанционно, дополнительных устройств, несанкционированно установленных в компьютер организации без согласия администрации).

Далее в протоколе указываются:

последовательность манипуляций, произведенных с устройст­вами в процессе осмотра СКТ в целях поиска интересующей следствие информации, вплоть до перечисления нажимавшихся клавиш периферийных устройств и полученные результаты14;


особенно подробно описываются нестандартные проявления в процессе загрузки операционной системы, реакции на ввод ко­манд с клавиатуры и других этапах работы компьютера;

наименование, условия и порядок использования аппаратных и программных средств, применяемых специалистами для обна­ружения, исследования и изъятия следов преступлений в сфере компьютерной информации, отметка о том, что указанные сред­ства перед их применением в присутствии понятых были тести­рованы на предмет отсутствия в них вредоносных программ и t;i кладок, перечень ЭВМ, в которых применялись данные средст­ва, полученные результаты.

1 [ри описании машинного носителя как устройства в протоко­ле указываются (прил. 6):

место обнаружения (установки, размещения, хранения) каждо-1о носителя;

тип - гибкий диск (дискета), кассета с лентой для стримера; ком-i мкт-диск (CD, DVD); ZIP-диск или аналоги и другие устройства;

материал, цвет, габариты корпуса носителя (в сантиметрах, но /щи дискеты в дюймах, поскольку это отражает тип); техническое состояние;

наличие наклеек, надписей и маркировки - тип, название, если они обозначены на носителе; маркировка на шторке дискеты или надпись на ее этикетке, сделанная владельцем; маркировка ком­пакт-диска и его футляра;

информационная емкость носителя в мега- или гигабайтах;

состояние средств защиты от записи (стирания);

повреждения, царапины, иные идентифицирующие признаки.

В отношении документов на бумажном носителе в протоколе следует отразить места их обнаружения, вид, название, дату, но­мер документа, размеры, цвет красителя, которым выполнены подписи, оттиски печатей, штампов, иные реквизиты. Если текст большой, указывается заголовок, первая и последняя фраза, чис-но страниц. Когда изымается документ с небольшим текстом, его содержание можно полностью привести в протоколе. Если под-


 


14 См.: Рогозин В.Ю. Особенности подготовки к производству Отдельных следст­венных действий при расследовании преступлений в сфере компьютерной информации //


Оомросы квалификации и расследования преступлений в сфере экономики. Саратов, 1999. (!, 174; Шурухнов Н.Г. Криминалистика. М., 2002. С. 563.


 




лежащих изъятию документов много, в протоколе отражается лишь их общая характеристика, количество, способ упаковки.

В заключительной части протокола осмотра места происшест­вия указываются:

факт производства ффюсъемки, видео-, аудиозаписи, перечень объектов, по которым выполнены соответствующие действия (с уточнением частей объектов, которые фотографировались, на­пример, «у системного блока компьютера В12 сфотографирована передняя панель, боковые стенки и задняя стенка с разъемами»);

последовательность выключения СКТ, их отключения от элек­тропитания и разъединения (если оно осуществлялось), особен­ности маркировки соединительных проводов и кабелей перед разъединением;

какие предметы были изъяты с места происшествия, каким образом упакованы, какие пояснительные надписи сделаны на упаковке, какой печатью она опечатана (указывается полный текст оттиска печати), куда они направлены или кому переданы на хранение;

если в процессе осмотра было выполнено копирование ин­формации, то указывают, какие файлы (их имена и типы) или программы, каким образом были скопированы, откуда и куда (физические носители, с которых и на которые скопирована ин­формация, их упаковка), время начала и окончания копирования, количество копий и кому они вручены, для распечаток компью­терной информации — марку (тип) использованного принтера.

Кроме того, указываются приложения к протоколу (планы, схе­мы места происшествия, фототаблицы, распечатки компьютерной информации и т.д.), отражается, поступили ли заявления от участ­ников осмотра, если да, то какие, факт их ознакомления с протоко­лом, содержание поступивших замечаний на протокол либо указы­вается на их отсутствие. Протокол подписывается следователем и лицами, участвовавшими в осмотре места происшествия.


§ 3. Иные способы фиксации хода и результатов осмотра места происшествия

Ход и результаты следственного действия надо фиксировать не только в протоколе осмотра места происшествия, но и с по­мощью видео- и фотосъемки. Сначала следует запечатлеть общий вид здания, помещения, где расположены СКТ, затем по прави­лам узловой фотосъемки зафиксировать отдельные компьютеры и подключенные к ним устройства. В случае вскрытия системно­го блока, используя детальную съемку, необходимо сфотографи­ровать его отдельные узлы, особенно те, которые, согласно инст­рукции по эксплуатации не должны устанавливаться на платах и и корпусе блока (эти данные можно получить, проконсультиро­вавшись со специалистом)15.

Кроме того, осуществляется видеосъемка крупным планом псех действий следователя и специалистов по работе с СКТ. Про­исходящие события в процессе видеозаписи подробно «прогова­риваются».

Целесообразно составление планов осматриваемых помеще­ний с обозначением на них мест расположения ЭВМ и ее пери­ферийных устройств, порядка их соединения16, обнаружения ма­шинных носителей компьютерной информации, следов преступ­ления и т.д. Планы удостоверяются подписями понятых, следова­теля, а при необходимости и других участников осмотра.


15 См.: Осмотр места происшествия / Под ред. А.И. Дворкина. М, 2001. С. 247;
11особие для следователя. Расследование преступлений повышенной общественной опас­
ности. М., 1998. С. 402.

16 См.: Криминалистика / Отв. ред. Н.П. Яблоков. М., 2000. С. 627.


Глава 5. Осмотр компьютерной информации § 1. Извлечение компьютерной информации

Данные, хранящиеся в компьютерных устройствах, подлежа­щих осмотру и исследованию, можно разделить на три вида: ак­тивные, зарезервированные и скрытые1.

Активные данные на компьютере, преимущественно готовые к обработке (просмотру названий-имен, чтению или даже редакти­рованию) с помощью установленных аппаратных и программных средств; это файлы документов, прикладных программ и опера­ционной системы. Если часть этих данных нельзя открыть из-за отсутствия работающих с ними программ или защиты паролем, то их все равно видно в файловой системе и можно скопировать или удалить.

Архивированные или зарезервированные данные на отдельных носителях - данные на лентах стримера, компакт-дисках, дискетах, сменных жестких дисках, иногда на файл-сервере. Чтобы их от­крыть и осмотреть (обработать), необходим компьютер с соответ­ствующей операционной системой и прикладными программами.

Скрытые или остаточные данные, недоступные и необраба­тываемые обычными средствами (например, удаленные данные, распределенные в другие данные, защищенные от обычного дос­тупа другими специальными средствами). Дня извлечения и по­лучения такой информации требуются специалисты, особые про­граммы, иногда - особые устройства.

В зависимости от обстоятельств осмотр может заключаться в исследовании одного или нескольких из этих типов данных. Из­влечение скрытых данных, удаленных файлов, данных в специ­фических труднодоступных местах носителей, безусловно, наи­более трудоемкий процесс, обычно недоступный среднему поль­зователю, требующий специальных навыков, инструментальных средств и участия специалиста.


Извлечение компьютерной информации начинается с осмотра файлов журналов аудита компьютерной системы (компьютерные файлы): а) регистрации событий защиты домена (если последний существует); б) регистрации событий защиты сервера; в) регист­рации событий защиты рабочих станций (отдельных компьюте­ров сети); г) регистрации системной защиты приложений. Изуча­ется мониторинг деятельности удаленных пользователей, связы­вающихся с системой и работающих с ней извне.

Важную роль может сыграть осмотр, исследование информа­ции в файлах, созданных по результатам контроля доступа к ЭВМ, протоколирования действий оператора2, который должен дать ответы на следующие вопросы.

Действительно ли пользователь компьютерной системы пре­высил права доступа, злоупотребил ими, в чем это проявилось, к каким привело результатам?

Действительно ли в системе выполнялась конкретная опера­ция в указанный период времени, кто (или что) инициировал опе­рацию и откуда - с компьютера внутри сети или извне?

Какие записи о действиях пользователя или пользователей со­хранились в журналах истории компьютерной системы за ука­занный период времени?

Можно ли узнать содержание и адреса отправленных и вхо­дящих сообщений электронной почты, посещенных веб-сайтов, закачанных из внешней сети файлов.

Необходимо копировать и приобщать к делу файлы журналов истории работ (которые велись на сервере и отдельных компью­терах, межсетевыми защитными экранами, операционной систе­мой, прикладными программами). На основе их анализа, прове-» денного экспертами, следователь сможет корректировать направ­ления дальнейшего расследования, например, в зависимости от обстоятельств провести выемку и последующий осмотр файлов журналов в других организациях, компаниях, в частности, пред­ставляющих провайдерские, хостинговые услуги, услуги провод­ной связи, а также устанавливать местонахождение подозревае-


 


' Гаврилов М.В., Иванов А.Н. Извлечение компьютерной информации // Информа­ционная безопасность и компьютерные технологии в деятельности правоохранительных органов: Межвуз. сб. Саратов, 2004. Вып. 3. С. 149.


2 См.: Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухнова. М., 2004. С. 211.


 




мого лица, другие сведения3. Специальные программы помогают выявлять подозрительные записи в лог-файлах и распечатать их для приобщения к делу в качестве доказательств.

Осмотр и поиск информации на накопителях зависят от функ­ции обследуемого компьютера (подключен к сети или не входит в компьютерную сеть), от его состояния (работает или отключен от электропитания). У включенного компьютера следует предвари­тельно зафиксировать в протоколе показания системных часов (данные CMOS), чтобы доверять датам и времени создания и мо­дификации файлов, протоколирования действий в системе.

Сначала изучается информация, содержащаяся на жестком диске сервера — информационного центра компьютерной систе­мы, затем на отдельных компьютерах, периферийных запоми­нающих устройствах и отдельных носителях.

Прежде чем приступать к осмотру информации, хранящейся в виде электронных данных в компьютерных устройствах и на от­дельных носителях информации, желательно ее копировать на другой носитель, в другое устройство и исследовать копию.

Большинство современных операционных систем, в частно­сти, Windows 95/98/NT7XP/2000/2003/2007, MacOS/2 и все разно­видности UNIX, в процессе работы ведут запись на жесткий диск в файл подкачки и другие временные файлы. Неосторожность при исследовании жесткого диска при непосредственном осмотре способна изменить данные до такой степени, что они теряют ин­формационную и доказательственную ценность. Кроме того, на компьютере может быть установлена специальная программа уничтожения информации, которая начинает работать, когда при включении не выполнены условия опознания.

Запрет прямой работы и записи на жесткий диск исследуемого компьютера затрудняет процесс поиска нужной информации: нельзя восстановить удаленные файлы, работать с прикладными программами, провести расширенный поиск информации. По­этому для осмотра (и детального исследования) создаются ре­зервные копии исходной информации. Для этого недостаточно


и ы полнить стандартное копирование файлов, поскольку интерес представляет пространство диска, считающееся свободным.

Наиболее полный, защищенный и достоверный способ полу­чения копии компьютерной информации для осмотра и исследо­вания - создание образа диска, т.е. побитной копии данных с сек­торов носителя в устройстве хранения. Образ диска создается с помощью специального программного обеспечения или специ­ального портативного публикатора дисков.

Данная процедура позволяет не изымать, не перевозить ис­ходное компьютерное средство и представляет специалисту ма­териал (полную копию) и возможность дальнейших исследова­ний на отдельном компьютере (не повреждая исходную инфор­мацию) на месте происшествия (либо в кабинете следователя) или эксперту в лабораторных условиях4. У выключенного осмат­риваемого компьютера снимают корпус, обратив внимание на наличие (отсутствие) дополнительных, но не подключенных же­стких дисков, на которых может находиться скрываемая инфор­мация. Затем отсоединяют жесткий диск (диски) и подсоединяют через устройство блокировки записи к исследовательскому ком­пьютеру. Блокировка возможной записи ОС на исследуемые дис­ки защищает исходные данные от модификации.

Полное побитное резервирование дисков выполняют с помо­щью специальных программ, обязательно запущенных (загру­женных) с другого исследовательского компьютера.

Резервирующий диск должен быть большим по емкости, чем копируемые носители, предварительно очищен от данных, от­форматирован, проверен на отсутствие вирусов. Информацию каждого компьютера сети целесообразно извлекать на отдельный носитель. Исходные носители не подвергаются пробам и иссле­дованию, их данные остаются в исходном виде.

Резервирование сопровождается автоматическим вычислени­ем контрольных сумм исходных данных и копии (цифровые под­писи), которые сравниваются между собой и идентичность кото­рых фиксируется в протоколе для подтверждения целостности, неизменности данных. Полученный диск, в свою очередь, ис-


 


3 См.: Собецюш И.В. О доказательственном значении лог-файлов // Прокурорский надзор. RU (25.11.2003 г.).


4 См.: Гаврилов М., Иванов А. Следственный осмотр при расследовании преступ­лений в сфере компьютерной информации // Законность. 2001. № 9. С. 14.


пользуется для создания копий файлов. Можно делать две копии: одна - для работы следователя и специалистов, другая в качестве контрольного экземпляра страхует на случай изменения или по­вреждения данных при исследовании копии.

Если нет возможности использовать исследовательский ком­пьютер, сохранность данных на изучаемых носителях в неизмен­ном состоянии достигается загрузкой исследуемого компьютера с внешнего носителя так называемой доверенной операционной системой, которая не производит несанкционированной записи на жесткий диск5. К таким системам относится MS DOS 6.22 (без менеджеров памяти QEMM). Усеченные версии операционной системой Unix или Linux создают образ диска по команде dd (di­rect deflection). Доверенную операционную систему целесообраз­но загружать и на исследовательском компьютере, если при под­ключении носителя для копирования нет промежуточного уст­ройства блокировки записи.

Загрузив компьютер с другого системного диска (системной дискеты) или подсоединив его жесткий диск к другому компью­теру, применяя специальные программы, создают побитные ко­пии жестких дисков (логических разделов) на стримере или заго­товленном другом жестком диске. Это позволяет при производ­стве экспертизы исследовать копию — «побитный образ» исход­ных носителей. Специальные программы резервируют данные с диска не в прежнем большом объеме, а в сжатом (архивирован­ном) «файле доказательств». Исходные носители нельзя исполь­зовать ни для какой стадии экспертных исследований, кроме на­чального копирования. Необходимо принять меры предосторож­ности, чтобы не добавить никакую новую запись информации на исходный носитель.


Дата добавления: 2015-09-03; просмотров: 154 | Нарушение авторских прав


Читайте в этой же книге: Глава 1. Понятие, сущность и виды осмотра § 1. Понятие и виды следственного осмотра | Понятие, задачи и особенности осмотра места про­исшествия при расследовании преступлений в сфере компьютерной информации | Действия следователя до выезда на место происшествия | Подготовительные действия следователя по прибытии на место происшествия | Общий осмотр помещений с компьютерной техникой и рабочих мест 4 страница | Общий осмотр помещений с компьютерной техникой и рабочих мест 5 страница | Общий осмотр помещений с компьютерной техникой и рабочих мест 6 страница | Общий осмотр помещений с компьютерной техникой и рабочих мест 7 страница | Общий осмотр помещений с компьютерной техникой и рабочих мест 8 страница | Общий осмотр помещений с компьютерной техникой и рабочих мест 9 страница |
<== предыдущая страница | следующая страница ==>
Общий осмотр помещений с компьютерной техникой и рабочих мест 1 страница| Общий осмотр помещений с компьютерной техникой и рабочих мест 3 страница

mybiblioteka.su - 2015-2024 год. (0.022 сек.)