|
Читайте также: |
Для того чтобы в будущем избежать претензии владельцев изъятых компьютеров по поводу целостности программных и аппаратных компонентов, после проведенного исследования рекомендуется, прежде чем изъять СКТ, выполнить следующие мероприятия:
осуществить тестирование программ и технических компонентов, определить конфигурацию системы, отразив эти данные в протоколе и зафиксировав ход тестирования с помощью видеозаписи;
провести выемку документации фирмы-изготовителя (поставщика) СКТ;
изъять лицензии к применяемым программным продуктам;
составить перечень нелицензионного программного обеспечения (установленного с нарушением авторских прав);
подробно зафиксировать в протоколе, что именно изымается8.
По итогам осмотра надо определить, позволяют ли условия ныключить компьютер. Если следователь затрудняется принять такое решение, необходимо позвать специалиста, который входит ■ группу. Например, обычно нежелательно выключать большую)ВМ или сервер, который поддерживает важные операции. Если принимается решение выключить компьютер, надо предпринять шаги, чтобы по возможности сохранить данные из оперативной памяти перед выключением.
Если непосредственно перед осмотром компьютера шла работа с документом, например, в программе текстового редактора, и документ может иметь значение для расследования уголовного дела, то выход из программы осуществляется только после сохранения документа в отдельном файле с другим именем на жестком диске или на дискете, чтобы остался исходный, существовавший в начале работы вариант документа.
Если правильное завершение работы операционной системы компьютера невозможно (программа или система зависла, пере-ипрузка не удается), надо согласовать со специалистом, не по-п родит ли аварийное завершение файловую систему компьютера при простом отключении компьютера от сети. Одновременно в протоколе фиксируют состояние компьютера (включен или вы-к точен) и предпринятые действия.
СКТ, подлежащие изъятию (системный блок, монитор, клавиа-ivpa, разъемы, кабели), после выключения, но перед разъединением кабелей, надо маркировать цветными клеящимися или привя-и.таемыми этикетками с написанными однотипными номерами (кодами), которые записываются в протокол осмотра и отображаются на схеме места происшествия. Компьютер и любое устройст-
10 и месте осмотра можно помечать буквой/номером в соответст-
11 и и с форматом «комната, компьютер, устройство, разъем, ка
бель», например, «комн21-комп7-устрЗ-разъем4, кабель! 1».
7 См., напр.: Криминалистика / Под ред. Т.А. Седовой, А.А. Эксархопуло. СПб, 2001. С. 382.
8 См.: Яковлев А.Н. Вопросы профессионального исследования средств электрон-ио-1шчислительной техники в целях получения дополнительной информации о деятельно-. i II криминальных структур // Вопросы технико-криминалистического обеспечения раскрытия и расследования преступлений. Саратов, 1996. С. 50.
Наклейки с метками прикрепляются и к носителям для дальнейшего учета и идентификации.
Закрываются наклейками, липкой лентой и пломбируются технические входы и выходы изымаемых СКТ9. Каждый незанятый порт надо маркировать как «свободный», это позволит ответить на вопрос, был ли непомеченный порт действительно незанятым или просто утерян кабель. Порядок соединения СКТ между собой фиксируют с помощью фото- или видеосъемки. При опечатывании компьютерных устройств одна полоса тонкой бумаги закрепляется клеем на разъеме электропитания, расположенном на задней панели, вторая - на кнопке включения питания передней панели. Таким же способом опечатывается кнопка сетевого включения. На каждую бумажную полосу наносится пояснительная надпись, заверяемая понятыми, представителем организации, где проводится осмотр, либо иными лицами, присутствующими при его проведении, и следователем, ошюмбируются (либо опечатываются) винты крепления корпуса. Возможен и иной способ опечатывания: системный блок помещается в холщовый пакет, который опечатывают10.
Изъятие одного из компьютеров сети может оказать минимальное воздействие на работоспособность организации. Но если нельзя ограничиться извлечением информации с сервера и требуется его изъятие, специалист при участии сетевого администратора должен правильно завершить работу сервера и, возможно, переключить серверное обслуживание организации на какой-нибудь резервный компьютер.
Изымаемые физические носители желательно упаковать каждый в отдельный пакет или конверт, на котором делают пояснительные надписи (указывается список имеющихся на дискете файлов и имя операционной системы). Пакет опечатывают, снабжают подписями следователя, понятых, иных участников осмотра и заворачивают в фольгу для ослабления электромагнитных воздействий. Аналогично упаковывают и опечатывают копии, сделанные в ходе осмотра.
9 См.: Криминалистика / Под ред. ТА. Седовой, А.А. Эксархопуло... С. 377.
10 См.: Российская Е.Р., Усов А.И. Судебная компьютерно-техническая эксперти
за. М., 2001. С. 115; Криминалистическая техника. М., 2002. С. 377.
И целях защиты дисководов гибких дисков при транспортире >ике системного блока некоторые авторы рекомендуют вставит!, в щель дисковода чистую дискету. Данная рекомендация < чпибочна, так как транспортировка дисковода с вставленной дис-М той может его повредить.
СКТ и соединительные кабели упаковывают таким образом, ТГОбы не допустить их повреждения при транспортировке (жела- iciii.no в тару, в которой они были приобретены владельцем у 1i редприятия-изготовителя, либо в подходящую по размеру).
Изъятие СКТ желательно производить в один прием. Если это пгиозможно, должна быть организована охрана предназначенных к изъятию средств. Транспортировать и хранить изъятую компь-м черную технику следует так, чтобы не допустить на нее механического воздействия, влияния атмосферных факторов, электромагнитных излучений, высоких и низких температур, вмеша-пльства посторонних лиц во время транспортировки и хранения.
В литературе существуют рекомендации по изъятию всех обнаруженных носителей информации (дискеты, диски) независимо от к (держания. Подобная мера оправданна в случае производства обыска у подозреваемого (обвиняемого) или осмотра места происшествия при расследовании уголовных дел о создании, использовании и распространении вредоносных программ для ЭВМ. В опальных случаях при расследовании преступлений в сфере ком-ш.ютерной информации носители изымать нецелесообразно, осо-5енно если: а) содержание дисков и файлов не имеет значения для пела; б) специалистом однозначно установлено отсутствие на диске (дискете) скрытых, защищенных шифрованием файлов и полезных дая дела остаточных данных от ранее удаленных файлов.
Рхли СКТ по какой-либо причине изъять с места происшест-пня невозможно (либо нецелесообразно), необходимо принять меры для исключения доступа к компьютерной информации путем отключения рабочих станций от сервера или модема, отдельных компьютеров от электросети. От системных блоков отключаются периферийные принадлежности. Помещение, где остаются СКТ, при необходимости временно опечатывается.
После того как вид физических носителей и выявленных на них следов описаны в протоколе и зафиксированы с помощью фото- или видеосъемки, следователь поручает специалисту про-
вести их предварительное исследование, чтобы установить, например, содержится ли на них какая-либо информация, не заражены ли носители вирусом и т.п.
f § 2. Составление протокола осмотра места происшествия
Фиксация результатов осмотра — это документальное отражение в установленной законом форме всего обнаруженного на месте происшествия, описание произведенных в ходе осмотра действий, запечатление как общей картины обстановки происшествия, так и свойств, состояния и признаков отдельных элементов места происшествия.
Основным методом фиксации хода и результатов осмотра места происшествия является описание выявленных при производстве данного следственного действия существенных для дела обстоятельств в протоколе, составляемом в соответствии с требованиями ст.ст. 166,167,180 и приложения 4 ст. 476 УПК РФ.
Во вводной части протокола осмотра места происшествия указываются: место составления протокола и дата производства осмотра; время начала и окончания осмотра с точностью до минуты; классный чин или звание, фамилия и инициалы лица, составляющего протокол; основание производства осмотра (сообщение о происшествии с указанием, от кого, когда и о чем получено); фамилия, имя и отчество каждого лица, участвовавшего в осмотре; места жительства понятых; в соответствии с какими статьями (частями статей) УПК РФ производится осмотр; что является объектом осмотра; факт разъяснения прав, ответственности, а также порядка производства осмотра места происшествия участвующим лицам; какие и кем именно технические средства будут применяться с указанием их индивидуальных признаков — тип, марка, название, маркировочный номер компьютера11 (при наличии) и съемных машинных носителей информации (при наличии), сведения о программном обеспечении (тип, название, версия), производитель-разработчик (компания или автор), регистрация (пользователь, ор-
11 См.: Козлов В.Е. Указ. соч. С. 208; Криминалистическая методика расследования отдельных видов преступлений / Под ред. АЛ. Резвана, М.В. Субботиной. М, 2002. Ч. 2. С. 100, 105.
типизация, номер продукта или его аналог); в каких условиях производится осмотр (погода, освещенность).
В описательной части протокола необходимо зафиксировать следующее (прил. 4):
1) где находится место происшествия, его границы, общая характеристика (адрес, назначение здания, число этажей и т.д.), описываются пути, ведущие к месту происшествия, входы и выходы;
2) месторасположение осматриваемого помещения в здании, наличие охранной сигнализации (указываются основные технические характеристики), состояние оконных или дверных проемов (повреждения, техническое состояние), запорных устройств, экранирующих средств защиты; микроклиматические условия, существующие на момент осмотра (температура, влажность воздуха)12, расположение и основные характеристики токонесущих коммуникаций;
3) расположение компьютера и периферийного оборудования и осматриваемом помещении и относительно друг друга и других шсктротехнических устройств, положение их на плане-схеме помещения;
4) тип (назначение), конфигурация (прил. 5), название каждого конкретного блока, входящего в состав осматриваемого СКТ, ин-1 lei {тарный номер, присвоенный бухгалтерией при постановке оборудования на баланс предприятия, а также цвет, форма, раз-мор, серийный номер и иную информацию на заводском ярлыке"; наличие и расположение специальных знаков, фирменных наклеек, этикеток со штрих-кодами, механических повреждений;
5) порядок и особенности соединения между собой всех устройств (с указанием типа (назначения), цвета, количества, разме-ров и иных индивидуальных признаков, соединительных и элек-
1г См.: Пособие для следователя. Расследование преступлений повышенной общественной опасности. М, 1998. С. 403; Осмотр места происшествия / Под ред. А.И. Двор-кипа. М., 2001. С. 247.
См.: Кушниренко СМ., Панфилова Е.И. Уголовно-процессуальные способы изъятии компьютерной информации по делам об экономических преступлениях. СПб., 1998. С. 31; Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации. М, 2001. С. 51; Быстряков Е.Н., Иванов А.Н., Климов В.А. Расследование компью-ПрНЫХ преступлений. Саратов, 2000. С. 64-65; Нехорошева О. Изъятие компьютерной техники и информации // Законность. 2004. № 8. С. 16.
5!
тропитающих проводов, кабелей, разъемов (может дополняться фото- и видеосъемкой);
6) наличие или отсутствие линий связи для работы СКТ в сети, телекоммуникационных линий, используемая в этих целях аппаратура, абонентский номер телефонной связи с провайдером сетевых услуг; *
7) наличие и техническое состояние заземления СКТ;
8) обнаруженные на СКТ следы или повреждения с указанием их локализации, размеров, каким способом они были сфотографированы, кем и с каких следов снимались копии, делались оттиски и т.д.;
9) не предусмотренные стандартом конструктивные изменения в архитектуре (составе) ЭВМ, устройств (частей, блоков); подключенные к СКТ сторонние технические устройства;
10) наличие или отсутствие защиты ЭВМ от несанкционированного доступа, тип средств (организационные, аппаратные, программные);
11) при осмотре группы компьютеров, соединенных в локальную сеть, следует указать - количество серверов и подключенных к ним рабочих станций; расположение рабочих мест, способ соединения СКТ друг с другом, расположение розеток подключения к сети;
12) включены или выключены СКТ на момент осмотра; если компьютер включен, детально отражается изображение на экране (дисплее) (окна каких программ и документов открыты, дата и текущее время, и т.д.).
В случае необходимости после вскрытия системного блока (снятия кожуха) в протоколе указывают месторасположение электронных плат в системном блоке, наличие внутри нештатной аппаратуры (например, «жучков», передающих информацию дистанционно, дополнительных устройств, несанкционированно установленных в компьютер организации без согласия администрации).
Далее в протоколе указываются:
последовательность манипуляций, произведенных с устройствами в процессе осмотра СКТ в целях поиска интересующей следствие информации, вплоть до перечисления нажимавшихся клавиш периферийных устройств и полученные результаты14;
особенно подробно описываются нестандартные проявления в процессе загрузки операционной системы, реакции на ввод команд с клавиатуры и других этапах работы компьютера;
наименование, условия и порядок использования аппаратных и программных средств, применяемых специалистами для обнаружения, исследования и изъятия следов преступлений в сфере компьютерной информации, отметка о том, что указанные средства перед их применением в присутствии понятых были тестированы на предмет отсутствия в них вредоносных программ и t;i кладок, перечень ЭВМ, в которых применялись данные средства, полученные результаты.
1 [ри описании машинного носителя как устройства в протоколе указываются (прил. 6):
место обнаружения (установки, размещения, хранения) каждо-1о носителя;
тип - гибкий диск (дискета), кассета с лентой для стримера; ком-i мкт-диск (CD, DVD); ZIP-диск или аналоги и другие устройства;
материал, цвет, габариты корпуса носителя (в сантиметрах, но /щи дискеты в дюймах, поскольку это отражает тип); техническое состояние;
наличие наклеек, надписей и маркировки - тип, название, если они обозначены на носителе; маркировка на шторке дискеты или надпись на ее этикетке, сделанная владельцем; маркировка компакт-диска и его футляра;
информационная емкость носителя в мега- или гигабайтах;
состояние средств защиты от записи (стирания);
повреждения, царапины, иные идентифицирующие признаки.
В отношении документов на бумажном носителе в протоколе следует отразить места их обнаружения, вид, название, дату, номер документа, размеры, цвет красителя, которым выполнены подписи, оттиски печатей, штампов, иные реквизиты. Если текст большой, указывается заголовок, первая и последняя фраза, чис-но страниц. Когда изымается документ с небольшим текстом, его содержание можно полностью привести в протоколе. Если под-
14 См.: Рогозин В.Ю. Особенности подготовки к производству Отдельных следственных действий при расследовании преступлений в сфере компьютерной информации //
Оомросы квалификации и расследования преступлений в сфере экономики. Саратов, 1999. (!, 174; Шурухнов Н.Г. Криминалистика. М., 2002. С. 563.
лежащих изъятию документов много, в протоколе отражается лишь их общая характеристика, количество, способ упаковки.
В заключительной части протокола осмотра места происшествия указываются:
факт производства ффюсъемки, видео-, аудиозаписи, перечень объектов, по которым выполнены соответствующие действия (с уточнением частей объектов, которые фотографировались, например, «у системного блока компьютера В12 сфотографирована передняя панель, боковые стенки и задняя стенка с разъемами»);
последовательность выключения СКТ, их отключения от электропитания и разъединения (если оно осуществлялось), особенности маркировки соединительных проводов и кабелей перед разъединением;
какие предметы были изъяты с места происшествия, каким образом упакованы, какие пояснительные надписи сделаны на упаковке, какой печатью она опечатана (указывается полный текст оттиска печати), куда они направлены или кому переданы на хранение;
если в процессе осмотра было выполнено копирование информации, то указывают, какие файлы (их имена и типы) или программы, каким образом были скопированы, откуда и куда (физические носители, с которых и на которые скопирована информация, их упаковка), время начала и окончания копирования, количество копий и кому они вручены, для распечаток компьютерной информации — марку (тип) использованного принтера.
Кроме того, указываются приложения к протоколу (планы, схемы места происшествия, фототаблицы, распечатки компьютерной информации и т.д.), отражается, поступили ли заявления от участников осмотра, если да, то какие, факт их ознакомления с протоколом, содержание поступивших замечаний на протокол либо указывается на их отсутствие. Протокол подписывается следователем и лицами, участвовавшими в осмотре места происшествия.
§ 3. Иные способы фиксации хода и результатов осмотра места происшествия
Ход и результаты следственного действия надо фиксировать не только в протоколе осмотра места происшествия, но и с помощью видео- и фотосъемки. Сначала следует запечатлеть общий вид здания, помещения, где расположены СКТ, затем по правилам узловой фотосъемки зафиксировать отдельные компьютеры и подключенные к ним устройства. В случае вскрытия системного блока, используя детальную съемку, необходимо сфотографировать его отдельные узлы, особенно те, которые, согласно инструкции по эксплуатации не должны устанавливаться на платах и и корпусе блока (эти данные можно получить, проконсультировавшись со специалистом)15.
Кроме того, осуществляется видеосъемка крупным планом псех действий следователя и специалистов по работе с СКТ. Происходящие события в процессе видеозаписи подробно «проговариваются».
Целесообразно составление планов осматриваемых помещений с обозначением на них мест расположения ЭВМ и ее периферийных устройств, порядка их соединения16, обнаружения машинных носителей компьютерной информации, следов преступления и т.д. Планы удостоверяются подписями понятых, следователя, а при необходимости и других участников осмотра.
15 См.: Осмотр места происшествия / Под ред. А.И. Дворкина. М, 2001. С. 247;
11особие для следователя. Расследование преступлений повышенной общественной опас
ности. М., 1998. С. 402.
16 См.: Криминалистика / Отв. ред. Н.П. Яблоков. М., 2000. С. 627.
Глава 5. Осмотр компьютерной информации § 1. Извлечение компьютерной информации
Данные, хранящиеся в компьютерных устройствах, подлежащих осмотру и исследованию, можно разделить на три вида: активные, зарезервированные и скрытые1.
Активные данные на компьютере, преимущественно готовые к обработке (просмотру названий-имен, чтению или даже редактированию) с помощью установленных аппаратных и программных средств; это файлы документов, прикладных программ и операционной системы. Если часть этих данных нельзя открыть из-за отсутствия работающих с ними программ или защиты паролем, то их все равно видно в файловой системе и можно скопировать или удалить.
Архивированные или зарезервированные данные на отдельных носителях - данные на лентах стримера, компакт-дисках, дискетах, сменных жестких дисках, иногда на файл-сервере. Чтобы их открыть и осмотреть (обработать), необходим компьютер с соответствующей операционной системой и прикладными программами.
Скрытые или остаточные данные, недоступные и необрабатываемые обычными средствами (например, удаленные данные, распределенные в другие данные, защищенные от обычного доступа другими специальными средствами). Дня извлечения и получения такой информации требуются специалисты, особые программы, иногда - особые устройства.
В зависимости от обстоятельств осмотр может заключаться в исследовании одного или нескольких из этих типов данных. Извлечение скрытых данных, удаленных файлов, данных в специфических труднодоступных местах носителей, безусловно, наиболее трудоемкий процесс, обычно недоступный среднему пользователю, требующий специальных навыков, инструментальных средств и участия специалиста.
Извлечение компьютерной информации начинается с осмотра файлов журналов аудита компьютерной системы (компьютерные файлы): а) регистрации событий защиты домена (если последний существует); б) регистрации событий защиты сервера; в) регистрации событий защиты рабочих станций (отдельных компьютеров сети); г) регистрации системной защиты приложений. Изучается мониторинг деятельности удаленных пользователей, связывающихся с системой и работающих с ней извне.
Важную роль может сыграть осмотр, исследование информации в файлах, созданных по результатам контроля доступа к ЭВМ, протоколирования действий оператора2, который должен дать ответы на следующие вопросы.
Действительно ли пользователь компьютерной системы превысил права доступа, злоупотребил ими, в чем это проявилось, к каким привело результатам?
Действительно ли в системе выполнялась конкретная операция в указанный период времени, кто (или что) инициировал операцию и откуда - с компьютера внутри сети или извне?
Какие записи о действиях пользователя или пользователей сохранились в журналах истории компьютерной системы за указанный период времени?
Можно ли узнать содержание и адреса отправленных и входящих сообщений электронной почты, посещенных веб-сайтов, закачанных из внешней сети файлов.
Необходимо копировать и приобщать к делу файлы журналов истории работ (которые велись на сервере и отдельных компьютерах, межсетевыми защитными экранами, операционной системой, прикладными программами). На основе их анализа, прове-» денного экспертами, следователь сможет корректировать направления дальнейшего расследования, например, в зависимости от обстоятельств провести выемку и последующий осмотр файлов журналов в других организациях, компаниях, в частности, представляющих провайдерские, хостинговые услуги, услуги проводной связи, а также устанавливать местонахождение подозревае-
' Гаврилов М.В., Иванов А.Н. Извлечение компьютерной информации // Информационная безопасность и компьютерные технологии в деятельности правоохранительных органов: Межвуз. сб. Саратов, 2004. Вып. 3. С. 149.
2 См.: Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухнова. М., 2004. С. 211.
мого лица, другие сведения3. Специальные программы помогают выявлять подозрительные записи в лог-файлах и распечатать их для приобщения к делу в качестве доказательств.
Осмотр и поиск информации на накопителях зависят от функции обследуемого компьютера (подключен к сети или не входит в компьютерную сеть), от его состояния (работает или отключен от электропитания). У включенного компьютера следует предварительно зафиксировать в протоколе показания системных часов (данные CMOS), чтобы доверять датам и времени создания и модификации файлов, протоколирования действий в системе.
Сначала изучается информация, содержащаяся на жестком диске сервера — информационного центра компьютерной системы, затем на отдельных компьютерах, периферийных запоминающих устройствах и отдельных носителях.
Прежде чем приступать к осмотру информации, хранящейся в виде электронных данных в компьютерных устройствах и на отдельных носителях информации, желательно ее копировать на другой носитель, в другое устройство и исследовать копию.
Большинство современных операционных систем, в частности, Windows 95/98/NT7XP/2000/2003/2007, MacOS/2 и все разновидности UNIX, в процессе работы ведут запись на жесткий диск в файл подкачки и другие временные файлы. Неосторожность при исследовании жесткого диска при непосредственном осмотре способна изменить данные до такой степени, что они теряют информационную и доказательственную ценность. Кроме того, на компьютере может быть установлена специальная программа уничтожения информации, которая начинает работать, когда при включении не выполнены условия опознания.
Запрет прямой работы и записи на жесткий диск исследуемого компьютера затрудняет процесс поиска нужной информации: нельзя восстановить удаленные файлы, работать с прикладными программами, провести расширенный поиск информации. Поэтому для осмотра (и детального исследования) создаются резервные копии исходной информации. Для этого недостаточно
и ы полнить стандартное копирование файлов, поскольку интерес представляет пространство диска, считающееся свободным.
Наиболее полный, защищенный и достоверный способ получения копии компьютерной информации для осмотра и исследования - создание образа диска, т.е. побитной копии данных с секторов носителя в устройстве хранения. Образ диска создается с помощью специального программного обеспечения или специального портативного публикатора дисков.
Данная процедура позволяет не изымать, не перевозить исходное компьютерное средство и представляет специалисту материал (полную копию) и возможность дальнейших исследований на отдельном компьютере (не повреждая исходную информацию) на месте происшествия (либо в кабинете следователя) или эксперту в лабораторных условиях4. У выключенного осматриваемого компьютера снимают корпус, обратив внимание на наличие (отсутствие) дополнительных, но не подключенных жестких дисков, на которых может находиться скрываемая информация. Затем отсоединяют жесткий диск (диски) и подсоединяют через устройство блокировки записи к исследовательскому компьютеру. Блокировка возможной записи ОС на исследуемые диски защищает исходные данные от модификации.
Полное побитное резервирование дисков выполняют с помощью специальных программ, обязательно запущенных (загруженных) с другого исследовательского компьютера.
Резервирующий диск должен быть большим по емкости, чем копируемые носители, предварительно очищен от данных, отформатирован, проверен на отсутствие вирусов. Информацию каждого компьютера сети целесообразно извлекать на отдельный носитель. Исходные носители не подвергаются пробам и исследованию, их данные остаются в исходном виде.
Резервирование сопровождается автоматическим вычислением контрольных сумм исходных данных и копии (цифровые подписи), которые сравниваются между собой и идентичность которых фиксируется в протоколе для подтверждения целостности, неизменности данных. Полученный диск, в свою очередь, ис-
3 См.: Собецюш И.В. О доказательственном значении лог-файлов // Прокурорский надзор. RU (25.11.2003 г.).
4 См.: Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. 2001. № 9. С. 14.
пользуется для создания копий файлов. Можно делать две копии: одна - для работы следователя и специалистов, другая в качестве контрольного экземпляра страхует на случай изменения или повреждения данных при исследовании копии.
Если нет возможности использовать исследовательский компьютер, сохранность данных на изучаемых носителях в неизменном состоянии достигается загрузкой исследуемого компьютера с внешнего носителя так называемой доверенной операционной системой, которая не производит несанкционированной записи на жесткий диск5. К таким системам относится MS DOS 6.22 (без менеджеров памяти QEMM). Усеченные версии операционной системой Unix или Linux создают образ диска по команде dd (direct deflection). Доверенную операционную систему целесообразно загружать и на исследовательском компьютере, если при подключении носителя для копирования нет промежуточного устройства блокировки записи.
Загрузив компьютер с другого системного диска (системной дискеты) или подсоединив его жесткий диск к другому компьютеру, применяя специальные программы, создают побитные копии жестких дисков (логических разделов) на стримере или заготовленном другом жестком диске. Это позволяет при производстве экспертизы исследовать копию — «побитный образ» исходных носителей. Специальные программы резервируют данные с диска не в прежнем большом объеме, а в сжатом (архивированном) «файле доказательств». Исходные носители нельзя использовать ни для какой стадии экспертных исследований, кроме начального копирования. Необходимо принять меры предосторожности, чтобы не добавить никакую новую запись информации на исходный носитель.
Дата добавления: 2015-09-03; просмотров: 154 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Общий осмотр помещений с компьютерной техникой и рабочих мест 1 страница | | | Общий осмотр помещений с компьютерной техникой и рабочих мест 3 страница |