Отдел компьютерно — технической экспертизы

Объекты:

  • персональные компьютеры;
  • любые машинные носители информации, периферийные устройства, сетевые аппаратные средства, интегрированные системы, любые комплектующие всех указанных компонентов (аппаратные блоки, машинные носители информации, платы расширения и др.), программы для текстовые и графические документы (в электронной форме), изготовленные с использованием компьютерных средств, данные в форматах мультимедиа;
  • информация в форматах баз данных, журналы (протоколы) работы специализированных программ, других приложений прикладного характера;
  • мобильные телефоны, устройства для работы с программным обеспечением, планшеты, смартфоны;

Задачи:

  • определение вида (типа, марки), свойств аппаратного средства, а также его технических и функциональных характеристик;
  • определение фактического состояния и исправности аппаратного средства, наличия физических дефектов; работоспособности определение технических характеристик и способа изготовления электронного устройства;
  • определение структуры, механизма, обстоятельства события по его результатам за счет использования аппаратных средств;
  • определение условий применения аппаратных средств, восстановление хронологической последовательности их использования, места действия и функционирования;
  • установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения;
  • определение основных характеристик операционной системы;
  • в случае исследования нескольких объектов или комплекса устройств устанавливается возможность их совместной работы;
  • идентификационные задачи, связанные с индивидуальным отождествлением оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;
  • обнаружение необходимой информации в памяти мобильных устройств;

Требования к материалам, направляемым на экспертизу

  • При постановке вопросов необходимо использовать устоявшийся понятийный аппарат, исключающий полупрофессиональные термины («винчестер», «логи», «взлом» и др.). В случае отсутствия терминов, необходимо использовать те термины, которые употребляют разработчики технических средств, программных продуктов в документации, описаниях, справках и др;
  • Исследование мобильных телефонов возникает необходимость просмотра, копирования и восстановления удаленной информации, которая содержится во встроенной памяти телефона, либо устанавливаемых в него карте памяти и SIM-карте. Так как сохраненная информация в памяти телефона, карте памяти и SIM-карте зачастую взаимосвязана между собой, то при изъятии мобильного телефона необходимо;
  • Поиск «информации:

    • Поиск на компьютерном носителе документов, изображений, сообщений и иной интересующей информации, в том числе в неявном (удаленном, скрытом, зашифрованном) виде;
    • В связи с большим объемом информации, как правило, невозможно распечатать и приложить к заключению все имеющиеся на носителе текстовые и графические файлы, содержимое баз данных с тем, чтобы потом орган назначающие экспертизу решил, что из найденного относится к делу. Поэтому необходимо определять критерии поиска – ключевые слова, или ограничивать рамки поиска типом файлов;
    • Примечание:

      • При исследовании информации в памяти мобильных телефонов (SIM-карт и карты памяти) производится ее копирование, а так же восстановление удаленной информации. Орган назначающие экспертизу всегда представляется наиболее полное содержание памяти исследуемого устройства, однако следует учесть, что из-за большого спектра существующих мобильных телефонов оборудование, имеющееся в распоряжении экспертов, не всегда может восстановить удаленную и/или скопировать находящуюся в памяти мобильного телефона информацию;
      • не нарушать комплектность телефона (не извлекать из него SIM-карту и карту памяти);
      • не выключать мобильный телефон, если неизвестен PIN-код;
      • при наличии установленного пользовательского пароля в мобильном телефоне попытаться выяснить его у владельца и сообщить эксперту;
      • при изъятии неустановленных в телефон SIM-карт не пытаться самостоятельно просмотреть информацию с помощью каких-либо устройств чтения SIM-карт или мобильных телефонов, т.к. это может привести к изменению и утрате части пользовательской информации;

      Вопросы, решаемые компьютерно-технической экспертизой в данной области :

      • имеются ли на носителе представленного на исследование системного блока персонального компьютера файлы, в том числе удаленные, содержащие информацию о (указать конкретные ключевые слова для поиска – названия организаций, фамилии;
      • имеются ли на носителе представленного на исследование системного блока персонального компьютера графические файлы, в том числе удаленные, содержащие изображения денежных билетов, купюр;
      • находятся ли данные предметы (устройства) в работоспособном состоянии? Если да, то каковы их основные технические характеристики;
      • прошу представить информацию из баз данных программного обеспечения, предназначенного для связи абонентов посредством сети Интернет;
      • при наличии технической возможности прошу скопировать информацию (в том числе ранее удаленную), содержащуюся в памяти мобильного телефона, а так же находящихся в нем SIM-карты и карты памяти;
      • определение причины возникновения неисправности, дефекта или недостатка;
      • совпадает ли номер IMEI на корпусе представленного для исследования телефона с номером IMEI, находящимся в памяти данного телефона;
      • так же зачастую проблематично скопировать и/или восстановить информацию, которая касается работы в сети Интернет при помощи различных приложений;

      Поиск «цифровых» следов

    • Когда компьютер используется как средство доступа к информации, находящейся в ином месте, и когда доступ к информации осуществляется на этом компьютере, в обоих случаях остаются «цифровые» следы, следы в виде компьютерной информации. Компьютерно-техническая экспертиза может определить, когда, при каких условиях и каким образом осуществлялся доступ. Кто его осуществлял экспертиза определить не может. Лишь в некоторых случаях эксперту удается обнаружить некоторые сведения о пользователе исследуемого компьютера;
    • Действия, которые оставляют следы на компьютере или на носителе информации, включают: доступ к информации, ее просмотр, ввод, изменение, удаление, любую другую обработку или хранение, а также удаленное управление этими процессами;
      • Вопросы, решаемые компьютерно-технической экспертизой в данной области:

    • Имеются ли на запоминающем устройстве установленные программы, предназначенные для шифрования информации;
    • Имеется ли на исследуемых объектах интересующая информация (в том числе в неявном, удаленном, скрытом или зашифрованном виде);
    • Возможен ли с помощью представленных для исследования объектов исследования выход в сеть Интернет;
    • Имеется ли на запоминающем устройстве представленного на исследование системного блока информация о реквизитах для доступа к ресурсам сети Интернет;
    • Имеются ли на носителе представленного на исследование системного блока персонального компьютера журналы работы программ, предназначенных для просмотра сайтов в сети Интернет? Если, да то ссылки на какие сайты в сети Интернет в них имеются;
    • Имеются ли на носителях информации представленных на исследование системных блоков ПЭВМ журналы работы программ обмена сообщениями в сети Интернет? Если да, то какие сообщения в них содержатся;

    Анализ программ

    • Анализ программ для ЭВМ с целью определения их функциональности и следов их использования, принципа действия, вероятного их источника, происхождения сведений об авторе, наличия вредоносных признаков, их принадлежности к средствам преодоления технических средств защиты авторского права и др;
    • Часто при этом необходимо более глубокое исследование программ. То есть исследование не просто их свойств и функциональности, а происхождения, особенностей взаимодействия с другими программами, процесса создания, сопоставление версий. Такое глубокое исследование подразумевает дизассемблирование программы, запуск под отладчиком (пошаговое исполнение), исследование структуры данных. В таком случае рекомендуется заказать проведение двух отдельных экспертиз, первая изучает содержимое компьютерных носителей, а вторая – особенности обнаруженных программ;
    • Вопросы, решаемые компьютерно-технической экспертизой в данной области

      • Какие программные продукты содержатся на представленных носителях;
      • Какие сведения о наименовании, разработчике и версии они содержат;
      • Соответствуют ли они представленному эталонному образцу;
      • Имеются ли свидетельства использования установленных на диске программ (созданные с помощью программ документы, наличие информации в базах данных, файлы-протоколы работы и др.);
      • Имеются ли признаки модификации программного обеспечения для обхода технических средств защиты авторского права;
      • Является ли данный способ доступа общепринятым способом для публичных сетевых ресурсов;
      • установление признаков преодоления защиты представленных на экспертизу информационно-программных продуктов;
      • установление способа осуществления изменений в программе (например, воздействие вредоносной программы, ошибки программной среды, несанкционированный доступ);
      • установление авторства программного обеспечения (программы);
      • определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров (объем, дата создания, атрибуты), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций);
      • Установление следов контрафактности

        • Зачастую указанные экспертизы являются комплексными. Для проведения исследования некоторых предметов, входящих в комплект поставки программного продукта, таких как коробка, карточка с текстом лицензионного соглашения, сертификат подлинности, регистрационная карта, компакт-диск с элементами защиты, документация в печатном виде, требуется назначение технико-криминалистической экспертизы документов. А иногда также требуется проведение фоноскопических или трасологических экспертиз.
        • При проведении экспертизы, касающейся контрафакта, всегда требуется представление эталонного образца программного обеспечения для сравнительного исследования.
          • В связи с тем, что в обращении постоянно появляются все новые и новые аппаратные и программные средства, современный методический и организационный уровень СКТЭ позволяет решать большинство возникающих задач только при разработке специальных экспертных методик для каждого экспертного случая. При этом в каждой конкретной судебно-следственной ситуации рекомендуется предварительно согласовать возможность проведения необходимого исследования, а также круг задач и вопросов, ставящихся на разрешение эксперта.

             

            QR Code - Take this post Mobile!
            Use this unique QR (Quick Response) code with your smart device. The code will save the url of this webpage to the device for mobile sharing and storage.