Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3 Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Общий осмотр помещений с компьютерной техникой и рабочих мест 3 страница

Полное побитное резервирование информации с дискет осу­ществляют путем создания дубликатов на чистые дискеты или образов дискет на жесткий диск. Дискету, подлежащую дублиро­ванию, целесообразно защитить от записи, чтобы случайно не внести изменения в записанные данные. В папке Windows выде­ляют значок дисковода дискет (А:) и дают команду Фат, Копи-

ровать диск (потребуется вставить в дисковод дискету - ориги­нал, а затем дискету для создания копии). Возможно копирование ■ сеансе DOS командой DISGOPY A: A:/V (V - копирование с проверкой правильности переноса данных) или в командной Отроке при наличии установленного файлового менеджера типа Total Commander, FAR. Желательно подготовиться к таким опе­рациям тренировкой на чистой дискете, сравнить образ (дубли­кат) дискеты с исходным.

После копирования осуществляется контроль копирования и архивирования по данным оригинала и данным копии. Побитная копия «заверяется», сравнивается ее идентичность с данными на исходном диске с помощью методов расчета контрольных сумм и контроля CRC. В протоколе отражается идентичность исходных данных и данных в сделанной копии, которая может быть на­правлена на экспертизу. Это позволит в дальнейшем опроверг­нуть заявление обвиняемого или его адвоката о подделке, фаль-l ификации доказательств во время экспертизы.

Существует мнение, что «следователь должен производить осмотр и изъятие компьютерной техники в случаях, когда имеют­ся подозрения на незаконное использование программных про­дуктов вне зависимости от вида преступления, в связи с которым производится осмотр места происшествия»⁶. На практике обяза­тельное изъятие техники выглядит проблематичным, так как тре-бует от следователя организационной готовности к осмотру лю-бого помещения, в котором есть компьютер.

§ 2. Осмотр и исследование компьютерной информации

Созданную на месте происшествия или полученную с изъято-* го компьютера побитную резервную копию носителя сначала рребуется восстановить (возможно, из сжатого состояния) в дуб-никат исходной информации на специальный «исследователь-I кий» носитель, на котором будет проводиться осмотр и исследо-МНИе информации, имевшейся на компьютере.

⁵ См.: Гаврилов М., Иванов А. Извлечение и исследование компьютерной инфор­мации // Уголовное право. 2004. № 4. С. 74.

⁶ См.: Хаметов Р.Б. Расследование преступных нарушений авторских прав. Сара-юн, 2002. С. 35.

6]

Следователь и специалисты должны пояснять и комментиро­вать свои действия вслух понятым и другим лицам, участвующим в осмотре⁷, предоставлять возможность наблюдать за своими ма­нипуляциями: действиями мышью, нажатиями на клавиатуру, подключениями устройств, сменой запускаемых программ, выве­дением на экран монитора окон и сообщений.

Проводится антивирусное тестирование. Определенные в ходе тестирования зараженные файлы протоколируются, резервиру­ются в карантине (в защищенной папке) в не «вылеченном» виде, а на носителе удаляются только в том случае, если они опасны и мешают дальнейшему исследованию прочей информации.

С помощью программы управления файлов, например, Disco Commander, FAR Manager, Total Commander, PowerDesk, Norton Commander (или аналогичных программ и команд DOS) фикси­руется описание логических дисков винчестера, иерархической структуры папок (каталогов) и файлов на каждом диске (прил. 7).

Главное меню операционной системы Windows (меню Пуск) и большинство прикладных программ предоставляют список по­следних открывавшихся документов, который следует зафиксиро­вать в протоколе с названиями документов и датами. При необхо­димости сохранившиеся документы из этого списка могут быть открыты (в случае перемещения в другие места можно искать их по имени) и осмотрены (следует помнить, что при этом может из­мениться фиксируемая дата последнего доступа к файлам).

Основные следы при совершении преступлений в сфере ком­пьютерной информации на компьютере могут быть обнаружены при исследовании:

файловой системы (FAT16 для DOS, FAT32 для Windows, NTFS для Windows ХР и Windows NT или иные в зависимости от используемой операционной системы);

системного реестра операционной системы;

файлов истории работы и настройки работы программ;

файлов истории и конфигурации программ удаленного соеди­нения компьютера с информационной сетью⁸;

См.: Аверьянова ТВ., Белкин Р.С., Корухов ЮГ., Российская Е.Р. Криминали­стика / Под ред. Р.С. Белкина. М, 1999. С. 959.

См.: Мещеряков В.А. Основы методики расследования преступлений в сфере компьютерной информации: Автореф. дисс.... д-раюрид. наук. Воронеж, 2001. С. 22.

истории работы и файлов хранения электронной почты (вхо­дящей и отправленной корреспонденции, прикрепленных файлов документов и программ (возможных источников вредоносных программ), настроек почтовой программы.

Специалист по заданию следователя проверяет диск (дискету) на наличие вирусов и надежность работы, может просмотреть и при необходимости распечатать структуру расположения каталогов и файлов - перечень с атрибутами: имена и расширения файлов⁹ (формата); время создания, модификации, доступа, размеры, другие свойства. Следует выявить файлы и папки, скрытые или с необыч­ными названиями. Необходимо исследовать «Корзину» - систем­ную папку Windows, в которую помещаются удаленные файлы.

Для ускорения осмотра большого объема информации исполь­зуют программы автоматизированного поиска информации в це­лом на диске и файлах программ, документов по их свойствам и словам, содержащимся в тексте в различных сочетаниях и слово­формах (прил. 3).

Завершив работу с диском или дискетой, их снабжают наклей­кой с указанием источника, с которого сделана копия. Диск по­мещают в пакет, а дискету защищают от записи, открыв защелку окна слева внизу дискеты и опечатав окно¹⁰.

Осмотренные носители компьютерной информации следует поместить в бумажные конверты (каждый в отдельности). На кон­верте предварительно указывается, что в нем находится. Конверт опечатывается соответствующей печатью и подписывается следо­вателем, специалистом и участвовавшими в осмотре понятыми.

К иным приемам осмотра прибегают, если есть вероятность, что преступник принял меры против доступа посторонних к дан­ным, которые могут его скомпрометировать и стать доказатель­ством преступления. Например, он установил скрытые програм­мы, настройки, которые могли бы удалять важные данные, если при загрузке компьютера не выполнены некоторые процедуры. Скрытые ловушки, а также пароли и другие устройства защиты -

' См.: Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. М., 2002. С. 190-193.

¹⁰ См.: Кушниренко СП., Панфилова Е.И. Уголовно-процессуальные способы изъ­ятия компьютерной информации по делам об экономических преступлениях. СПб., 1998.

С. 33.

препятствия, с которыми можно столкнуться при исследовании. Если опасность ловушек реальна, специалист должен принять меры предосторожности перед включением компьютера, напри­мер, «загрузить» операционную систему не с его жесткого диска компьютера, а с принесённой системной дискеты, которая встав­ляется в дисковод перед включением компьютера. Впоследствии, исследовав конфигурацию компьютера на программные закладки защиты, их отключают и работают с другого диска, сделав иссле­дуемый диск пассивным «слугой».

На логических дисках компьютера (не только на системном диске С, но и логических дисках D, Е...) могут находиться уста­новленные «пиратские» или «хакерские» программы. Поэтому во время осмотра целесообразно зафиксировать перечень папок и файлов как системного диска, так и пользовательских (если такое разграничение разделов на логические диски выполнено на ис­следуемом компьютере).

Надо изучить файлы протоколов с записями по сеансам рабо­ты системы, пользователей и программ.

Надо изучить файлы истории работы системы с записями по сеансам, пользователям и программам.

Осмотр электронных документов можно провести, собрав ко­пии файлов одного типа вместе и открывая по порядку в соответ­ствующей прикладной программе (например, документы *.doc в текстовом редакторе Microsoft Word). Содержание документов, интересующих следствие, заносится в протокол. Напомним, что полный перечень всех файлов и папок их расположения должен быть собран и распечатан в протоколе заранее в виде дерева или списка (прил. 7).

Обратим внимание, что нередко в рекомендациях по расследо­ванию преступлений в сфере компьютерной информации содер­жатся указания, выполнение которых на современных компьюте­рах с современными операционными системами сопряжено с применением «технологических» познаний, специального обору­дования и программ, может потребовать участия специалистов высокой квалификации. Такие процедуры нередко находятся на грани перехода от осмотра к экспертному исследованию. Однако если квалификация следственной группы, имеющееся в ее распо­ряжении оборудование, программное обеспечение и условия,

продолжительность работы допускают необходимый уровень, то возможны следующие действия.

Специальные программы позволяют выявить имена файлов, удаленных из корзины, восстановить полностью или частично удаленные и поврежденные файлы с жесткого диска и сменных носителей (дискет, компакт-дисков, карт флэш-памяти). Возможно припрятывание данных прямой (низкоуровневой) записью в кон­кретные сектора диска (или дискеты), в дополнительные дорожки или дополнительные сектора диска, в пространство между разде­лами логических дисков, в якобы плохие сектора диска, которые на самом деле не повреждены, а только помечены как таковые; в незаполненные участки концевых кластеров файлов (данные меж­ду отметкой окончания файла и концом кластера на диске)¹¹.

Для извлечения таких данных требуется выполнить следую­щие операции:

обследовать (просканировать специальной программой) диск в целях поиска скрытых, стертых файлов и файлов, тип (расширение имени) которых не соответствует реальному коду (сигнатуре);

провести обзор потерянных кластеров, не приписанных к фай­лу, но содержащих данные;

провести обзор данных в «теневой» части кластеров файла (file slack - файловая тень в последнем кластере файла).

Теневое, непереписанное пространство («люфт памяти») в по­следнем кластере записи файла (участке на диске) образуется по­тому, что операционные системы MS-DOS и Windows сохраняют данные файлы на диске только по кластерам. Кластер - блок из фиксированного числа секторов на диске, каждый сектор емко­стью 512 байт. Когда новый файл записывается в кластеры и раз­мер данных не точно кратен размеру кластеров, сектора послед­него кластера файла, на которые не хватило данных, остаются не переписанными и сохраняют след предыдущего файла (тень, люфт). В этом теневом пространстве кластера остается нестертый фрагмент предыдущего удаленного файла.

В теневой области можно обнаружить данные, которые запи­саны туда специально с помощью программ прямого редактиро-

¹¹ См.: Яночкин СИ. Поиск информации на магнитных носителях // Вопросы ква­лификации и расследования преступлений в сфере экономики. Саратов, 1999. С. 205.

вания диска. Спрятанные данные остаются здесь, по крайней ме­ре, до тех пор, пока прикрывающий файл не будет переписан или удален. Остаточные данные от удаленных ранее файлов могут содержаться и в свободной части диска (незанятой файлами). По­ка в кластеры, ранее принадлежавшие удаленным файлам, не бу­дут записаны новые данные файлов или они не будут затерты специальными программами, данные можно пытаться восстано­вить, используя программы восстановления удаленных файлов для соответствующей операционной системы или программы прямого («низкоуровневого») чтения секторов диска.

Простым копированием и резервированием файлов остаточ­ные данные и удаленные файлы не переносятся на новый носи­тель. Как отмечалось выше, чтобы собрать всю эту информацию, надо создать побитные копии образа всего диска.

На новом носителе для поиска удаленных данных по извест­ным фрагментам, просмотра содержимого диска или дискеты по кластерам и секторам, а не только по файлам, для просмотра дан­ных из «теневой части» кластеров файлов следует использовать специальное программное обеспечение (прил. 3). Поиск в сво­бодном пространстве дисковых носителей сложен, особенно для данных, оставшихся от файлов сложных форматов, с текстом в особой кодировке (например, документы Word).

Результаты осмотра информации, хранившейся на машинном носителе, описываются в протоколе следующим образом:

размер области носителя, занятой под информацию и свобод­ной от записи; наличие и объем сбойных участков на диске¹²;

тип операционной системы, файловой системы, примененной для форматирования носителя и создания информации;

сведения о программах - список установленных программ и их реквизиты (папки-каталоги расположения, размер, дата и вре­мя создания); по реестру или остаточным данным; указать ранее устанавливающиеся, но удаленные программы;

сведения о файлах документов - список файлов документов; по каждому файлу документа - тип информации (текстовые, таб­личные, графические, аудио-, видеодокументы, базы данных и

др.); местонахождение (расположение) файла на носителе - путь к файлу на логическом диске через папки-каталоги; размер хра­нимой информации в килобайтах, дата и время создания и (или) время изменения (прил. 8);

атрибуты файла (архивный, скрытый, системный, только для чтения, нет атрибутов);

статистика текста (формат, количество страниц, абзацев, строк, слов, символов или байт, наличие выделений отдельных слов или предложений);

дополнительные комментирующие свойства (при наличии) -тема, автор, создавший или изменивший информацию, название организации, где она была создана или изменена, ключевые слова;

в случае обнаружения вредоносных программ в протоколе указывается их название (если оно было установлено в результате юстирования);

название, версия и лицензионность программы, диагностиро-Мвшей вредоносную программу, место запуска (диск того же компьютера, другого компьютера, дискета, компакт-диск);

какая именно информация, откуда и каким способом и куда бы- щ скопирована, количество копий, применялась ли и как зафикси­рована идентификация копий (например контрольная сумма);

обозначение (номер) носителей (дисков, дискет), на которые производилось копирование зараженных файлов, вредоносных программ, интересующих следствие.

Об информации, ранее удаленной, поврежденной, скрытой I iu-циальными средствами (но восстановленной), защищенной паролем (но расшифрованной), указывается тип сокрытия (уда-it иис файла, шифрование с паролем, стеганографическое при­прятывание и др.), какими программными средствами, с какого» компьютера, носителя, при каких условиях удалось извлечь, вос-I I.нюнить информацию¹, какова степень восстановления (пол-IIIи, частичная), определены ли программы, в которых она была подготовлена и записана.

В случае обнаружения программ особого назначения (крипто-i р.н||ических, подбора паролей, сканирования уязвимостей сис-

¹² См.: Криминалистическая методика расследования отдельных видов преступле­ний/Под ред. А.П. Резвана, М.В. Субботиной. М, 2002. Ч. 2. С. 106.

¹' См.: Козлов В.Е. Указ. соч. С. 212; Баев О.Я. Тактика уголовного преследования и нрпфсссиопальной защиты от него. Следственная тактика. М, 2003. С. 128.

тем, перехвата данных, сокрытия данных и проч.) и вредоносных программ в протоколе указывается перечень их.названий, испол­няемые функции, частота, время и направленность использования (если это удастся установить); название, версия и лицензионность примененной программы диагностики вирусов, место запуска (с диска того же компьютера, с исследовательского компьютера, дискеты, компакт-диска).

При осмотре информации, содержащейся на машинных носи­телях, предварительно указьшаются характеристики аппаратуры и программного обеспечения, которые использовались в этих це­лях. Следует уточнить, в каком компьютере проведен осмотр ин­формации на носителе: в котором носитель был установлен изна­чально, или в специальном исследовательском. Для исследова­тельского компьютера указывают тип, вид, марку, название, за­водской или регистрационный номер, для его программного обеспечения - тип, вид, сведения о производителе, фирменное название, номер версии, регистрационный номер, другие рекви­зиты программы, с помощью которой исследовалась компьютер­ная информация.

Наименование файлов и каталогов, содержащихся на дискете, указывается по аналогии с описанной выше процедурой для же­сткого диска. Если содержание файлов копировалось, отмечается, каким способом это было сделано, количество изготовленных копий.

■

■

Заключение

Осмотр мест происшествия по преступлениям в сфере компью­терной информации отличается от других исследований тем, что нередко выполняется специфическими, нетрадиционными спосо­бами. Сравним, например, с осмотром обнаруженной на стоянке украденной автомашины. В этом случае процедура осмотра срав­нительно проста и предсказуема. Следователь вправе рассчиты­вать, что объект останется на месте, пока будет идти осмотр, что удастся быстро провести идентификацию по марке, документам или номеру похищенного транспортного средства. После того как будет получена необходимая информация, составлен протокол ос­мотра места происшествия, можно изъять автомобиль.

Осмотр электронно-вычислительных машин - компьютеров и их информации - отличается значительно большей сложностью. Компьютерная информация хранится и передается в цифровом ниде электрическими сигналами, поэтому ее можно быстро пере­местить в любую точку земного шара. Следователь заранее не шает, где и в какой форме хранятся компьютерные файлы (на дискете, диске в скрытом каталоге рабочего или портативного компьютера подозреваемого или на удаленном сервере за тысячи километров). Файлы могут быть зашифрованы, переименованы, храниться в необычных форматах, находиться среди миллионов других и даже среди защищенных законным образом файлов. Та­кая неопределенность усложняет планирование и подготовку ос­мотра. Поэтому, чтобы получить необходимые сведения и дока­зательства, надо представлять технические пределы различных методов осмотра, тщательно планировать осмотр и возможность его корректировки.

Успеху осмотра способствуют четыре мероприятия.

1. Заблаговременная подготовка состава группы: подбор спе­циалистов, понятых. Специалист объясняет технические особен­ности осмотра следователю и понятым, участвует в подготовке плана осмотра места происшествия, обсуждении вариантов дей­ствий в процессе осмотра. Следователь руководит действиями участников осмотра, вносит коррективы по ходу производства данного следственного действия, составляет протокол.

2. Получение предварительных сведений о компьютерной сис­
теме, которую предстоит осматривать, разработка в соответствии
с полученными предварительными сведениями стратегии осмотра.
Потребность в детальной и точной информации о компьютерной
системе вытекает из практических соображений. Не зная, какие
компьютеры и операционные системы используются, трудно под­
готовиться к извлечению информации, которую система содержит,
и даже найти информацию. Компьютеры и компьютерные сети
могут иметь такие отличия в аппаратных и программных средст­
вах, операционных системах и конфигурации, которые могут су­
щественно изменить ход осмотра. Методика, справедливая для ос­
мотра сети с операционной системой Linux, может не работать с
сетевой операционной системой Windows NT.

Предварительные сведения особенно важны для осмотра большой компьютерной сети (не отдельного ПК). Тот факт, что в офисе стоят компьютеры, еще не означает, что они содержат по­лезную информацию. Она может храниться на удаленных сете­вых серверах, расположенных за километр (и даже в других ре­гионах). По этим соображениям специалист сможет предложить следователю варианты стратегий осмотра, если будет осведомлен о параметрах компьютерной системы, предполагаемой к осмотру: аппаратные средства, программное обеспечение, операционная система и конфигурация сети и отдельных компьютеров.

На практике следователь может варьировать тактику осмотра. В некоторых случаях он опрашивает администратора системы, сети (в отдельной комнате), получает от него информацию, необ­ходимую для осмотра. Когда это невозможно или нежелательно, эффективной оказывается стратегия постепенных шагов осмотра, протяженностью в несколько дней.

3. Формулировка плана, стратегии проведения осмотра
(включая резервирование информации) на основе известных све­
дений о компьютерной системе может определяться и по прибы­
тии на место. Осмотреть ли весь компьютер (все компьютеры) в
помещениях или просто отключить, подготовить к выемке ин­
формацию или изъятию аппаратные средства? Копировать ли от­
дельные файлы или делать точные копии всего жесткого диска,
делать ли это на каждом компьютере? Что делать, если первона­
чальный план не удается выполнить, поскольку аппаратные сред-

ства или программное обеспечение компьютеров значительно отличается от ожидавшихся? Решения этих вопросов определят последовательность практических действий. В большинстве слу­чаев группа осмотра должна остановиться на основной стратегии осмотра, но в то же время запланировать запасные стратегии, ес­ли основная стратегия нереализуема.

4. Составление протокола осмотра, отражение в нем всех его аспектов, особенно связанных с осмотром хранящейся информа­ции и сопутствующей документации.

Даже при осмотре системы, о которой многое известно, нередко приходится использовать разные методы, чтобы полностью иссле­довать компьютеры и носители. Иногда для осмотра всей конфи­гурации, всех данных приходится применять разные инструменты и программы диагностики, копирования. Поиск по словам нельзя проводить, пока не выполнен тщательный общий обзор файлов, который может выявить неочевидные подробности того, как ис­пользовалась система, как создавались, передавались и сохраня­лись данные, как к ним выполнялся доступ. Важно иметь в виду такие возможности и учитывать их в разработке стратегии.

Что касается осмотра хранящейся в компьютерах информации, то в этой процедуре можно выделить такие основные действия:

1) осмотр компьютера на месте происшествия, распечатывание копий некоторых файлов и приложение распечаток к протоколу;

2) осмотр компьютера на месте происшествия, создание элек­тронных копий некоторых файлов, изъятие копий и отражение этого в протоколе;

3) создание электронной побитной копии-дубликата всех или части данных на запоминающем устройстве на месте, изъятие и затем восстановление с дубликата новой рабочей копии инфор­мации на другом запоминающем устройстве и компьютере вне места осмотра, продолжение исследования;

4) изъятие оборудования с подключенной периферией, вывоз с места происшествия и изучение содержания «вне места происше­ствия», например в экспертном учреждении.

Какой вариант предпочесть в конкретном случае, зависит от многих факторов. Наиболее важное соображение - роль компью­терных аппаратных средств в преступлении. Надо отметить, что первый способ (распечатка копий некоторых файлов) далеко не

То

всегда достаточен, поскольку приводит к утрате части информа­ции, включая дату и время создания файла, путь к файлу, хроно­логию изменения, комментарии и др.

Компьютерные аппаратные средства играют в уголовном деле различные роли. Во-перщж, аппаратные средства могут рассмат­риваться как носители, где сохранились доказательства преступ­ления по отношению к хранившейся компьютерной информации. Во-вторых, на компьютере можно найти варианты разрабатывае­мых вредоносных программ, данные о том, что с него посещали другие компьютеры и копировали с них материалы, в этом случае компьютер представляется как инструмент совершения преступ­ления. Цель осмотра в этих случаях - найти и зафиксировать сле­ды преступлений, незаконных действий на компьютерных аппа­ратных средствах, определить результат, факт события, которые в дальнейшем использовались бы не только как доказательства, но и для оценки материального ущерба.

Современные персональные компьютеры способны хранить информацию, эквивалентную по объему десяткам миллионов страниц, а компьютерные сети - в сотни раз больше. Эти воз­можности удваиваются раз в полтора года, и на практике может потребоваться несколько дней и недель, чтобы осмотреть компь­ютер в поисках конкретных данных, отдельного файла или набо­ра файлов, найти на компьютере нужную информацию. Даже об­ладая определенной информацией о нужных файлах, следствен­ная группа порой сталкивается с тем, что данные замаскированы, зашифрованы, сохранены в скрытых каталогах или внедрены в особые скрытые «теневые» области диска. Такие обстоятельства требуют изъятия компьютерной аппаратуры и исследования ин­формации вне места осмотра. Извлечение доказательств может потребовать кропотливой судебной экспертизы в лаборатории. В обстоятельствах осмотра в доме подозреваемого или в помеще­ниях важного производственного или банковского цикла проце­дура свыше нескольких часов просто нереализуема.

Осмотр компьютерных систем - высокотехнологичный процесс, требующий навыка, опыта и соответствующей технологичной об­становки. Из-за большого числа модификаций компьютерных средств и программного обеспечения специалист может оказаться не готовым к квалифицированному осмотру части (или даже всей)

системы и ее данных. Это увеличивает риск повреждения доказа­тельств при осмотре на месте, например, если на компьютере редкая операционная система или программа, недостаточно известная при­влеченному специалисту. В подобных случаях предстоит сделать выбор относительно дальнейших действий: защитить целостность информации и продолжить осмотр позже; копировать информацию (чтобы позднее восстановить скрытые, удаленные, сжатые, защи­щенные паролем, зашифрованные файлы); изъять носители с ин­формацией, целиком системные блоки с носителями или всю систе­му с периферийным оборудованием, чтобы квалифицированный эксперт продолжил исследование в лаборатории.

Изъятие СКТ для исследования понадобится и в случае, если есть основания полагать, что подготовленный пользователь-преступник снабдил компьютерную систему предупредительны­ми ловушками, которые могут удалить важные доказательства в процессе осмотра. Например, преступник мог написать короткую программу, которая заставит компьютер периодически запраши­вать пароль и, если он не введен в течение 20-30 секунд, вызы­вать автоматическое уничтожение файлов. В подобных ситуаци­ях лучше провести изъятие оборудования и поручить экспертам в лаборатории удалить программу защиты.

Как по уголовным, так и гражданским делам можно поручить специалистам проведение компьютерно-технических (программ­но-технических) экспертиз, в частности:

а) поиск относящейся к делу информации (текстовой, графи­
ческой) на жестком магнитном диске и иных компьютерных но­
сителях информации, в том числе после ее удаления;

б) составление заключения о вредоносности компьютерных
» программ, поиск на компьютерных носителях информации таких

программ или следов их деятельности;

в) установление совершения противоправных действий, свя­
занных с использованием сети Интернет;

г) получение и анализ истории работы компьютерных средств,
заключение по ним о происшедших событиях, корректности ра­
боты систем, фактах несанкционированного доступа;

д) заверение содержимого веб-сайта или иного информацион­
ного ресурса общего доступа, географическое расположение, дос­
тупность из различных точек сети.

Планируя осмотр, следователь должен учитывать вероятность того, что могут вскрыться обстоятельства, делающие локальный осмотр неосуществимым, и потребуется перейти к копированию информации или изъятию оборудования. Выполняя доступный осмотр аппаратных средШтв, программного обеспечения и ресур­сов, можно одновременно определить, удастся ли ограничиться осмотром на месте. Нередко стратегия осмотра зависит от обста­новки, в которой он происходит.

Несомненно способствует осмотру на месте обстановка со­трудничества с администратором системы и сотрудниками орга­низации. Однако доверие должно сопровождаться бдительным отношением к возможным попыткам удалить информацию неза­метно или сославшись на неосторожность и сбой. В то же время необходима особая процедурная тщательность, чтобы минимизи­ровать возможные упреки в том, что осмотр нарушил работоспо­собность аппаратуры, нанес экономический ущерб, нарушил за­щиту персональной или конфиденциальной информации, ее ко­пирование и незащищенное хранение способствовали утечке коммерческих или личных тайн и т.п.

Еще раз отметим, что особенностью компьютерных преступле­ний в современных условиях является не столько латентность, к которой следователи в какой-то степени готовы и с которой встре­чаются в других видах преступлений, сколько вариабельность конфигурации и специализации исследуемых объектов, применен­ных технологий, быстрое развитие модификаций. Такие особенно­сти требуют готовности к корректировке методов осмотра, других следственных действий. Обстоятельность осмотра, тщательность выполнения сложных процедур неизбежно определяются и степе­нью важности, категорией общественной опасности преступления.

Дата добавления: 2015-09-03; просмотров: 126 | Нарушение авторских прав