Отдел компьютерно — технической экспертизы

Объекты:

  • персональные компьютеры;
  • любые машинные носители информации, периферийные устройства, сетевые аппаратные средства, интегрированные системы, любые комплектующие всех указанных компонентов (аппаратные блоки, машинные носители информации, платы расширения и др.), программы для текстовые и графические документы (в электронной форме), изготовленные с использованием компьютерных средств, данные в форматах мультимедиа;
  • информация в форматах баз данных, журналы (протоколы) работы специализированных программ, других приложений прикладного характера;
  • мобильные телефоны, устройства для работы с программным обеспечением, планшеты, смартфоны;

Задачи:

  • определение вида (типа, марки), свойств аппаратного средства, а также его технических и функциональных характеристик;
  • определение фактического состояния и исправности аппаратного средства, наличия физических дефектов; работоспособности определение технических характеристик и способа изготовления электронного устройства;
  • определение структуры, механизма, обстоятельства события по его результатам за счет использования аппаратных средств;
  • определение условий применения аппаратных средств, восстановление хронологической последовательности их использования, места действия и функционирования;
  • установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения;
  • определение основных характеристик операционной системы;
  • в случае исследования нескольких объектов или комплекса устройств устанавливается возможность их совместной работы;
  • идентификационные задачи, связанные с индивидуальным отождествлением оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;
  • обнаружение необходимой информации в памяти мобильных устройств;

Требования к материалам, направляемым на экспертизу

  • При постановке вопросов необходимо использовать устоявшийся понятийный аппарат, исключающий полупрофессиональные термины («винчестер», «логи», «взлом» и др.). В случае отсутствия терминов, необходимо использовать те термины, которые употребляют разработчики технических средств, программных продуктов в документации, описаниях, справках и др;
  • Исследование мобильных телефонов возникает необходимость просмотра, копирования и восстановления удаленной информации, которая содержится во встроенной памяти телефона, либо устанавливаемых в него карте памяти и SIM-карте. Так как сохраненная информация в памяти телефона, карте памяти и SIM-карте зачастую взаимосвязана между собой, то при изъятии мобильного телефона необходимо;
  • Поиск «информации:

    • Поиск на компьютерном носителе документов, изображений, сообщений и иной интересующей информации, в том числе в неявном (удаленном, скрытом, зашифрованном) виде;
    • В связи с большим объемом информации, как правило, невозможно распечатать и приложить к заключению все имеющиеся на носителе текстовые и графические файлы, содержимое баз данных с тем, чтобы потом орган назначающие экспертизу решил, что из найденного относится к делу. Поэтому необходимо определять критерии поиска – ключевые слова, или ограничивать рамки поиска типом файлов;
    • Примечание:

      • При исследовании информации в памяти мобильных телефонов (SIM-карт и карты памяти) производится ее копирование, а так же восстановление удаленной информации. Орган назначающие экспертизу всегда представляется наиболее полное содержание памяти исследуемого устройства, однако следует учесть, что из-за большого спектра существующих мобильных телефонов оборудование, имеющееся в распоряжении экспертов, не всегда может восстановить удаленную и/или скопировать находящуюся в памяти мобильного телефона информацию;
      • не нарушать комплектность телефона (не извлекать из него SIM-карту и карту памяти);
      • не выключать мобильный телефон, если неизвестен PIN-код;
      • при наличии установленного пользовательского пароля в мобильном телефоне попытаться выяснить его у владельца и сообщить эксперту;
      • при изъятии неустановленных в телефон SIM-карт не пытаться самостоятельно просмотреть информацию с помощью каких-либо устройств чтения SIM-карт или мобильных телефонов, т.к. это может привести к изменению и утрате части пользовательской информации;

      Вопросы, решаемые компьютерно-технической экспертизой в данной области :

      • имеются ли на носителе представленного на исследование системного блока персонального компьютера файлы, в том числе удаленные, содержащие информацию о (указать конкретные ключевые слова для поиска – названия организаций, фамилии;
      • имеются ли на носителе представленного на исследование системного блока персонального компьютера графические файлы, в том числе удаленные, содержащие изображения денежных билетов, купюр;
      • находятся ли данные предметы (устройства) в работоспособном состоянии? Если да, то каковы их основные технические характеристики;
      • прошу представить информацию из баз данных программного обеспечения, предназначенного для связи абонентов посредством сети Интернет;
      • при наличии технической возможности прошу скопировать информацию (в том числе ранее удаленную), содержащуюся в памяти мобильного телефона, а так же находящихся в нем SIM-карты и карты памяти;
      • определение причины возникновения неисправности, дефекта или недостатка;
      • совпадает ли номер IMEI на корпусе представленного для исследования телефона с номером IMEI, находящимся в памяти данного телефона;
      • так же зачастую проблематично скопировать и/или восстановить информацию, которая касается работы в сети Интернет при помощи различных приложений;

      Поиск «цифровых» следов

    • Когда компьютер используется как средство доступа к информации, находящейся в ином месте, и когда доступ к информации осуществляется на этом компьютере, в обоих случаях остаются «цифровые» следы, следы в виде компьютерной информации. Компьютерно-техническая экспертиза может определить, когда, при каких условиях и каким образом осуществлялся доступ. Кто его осуществлял экспертиза определить не может. Лишь в некоторых случаях эксперту удается обнаружить некоторые сведения о пользователе исследуемого компьютера;
    • Действия, которые оставляют следы на компьютере или на носителе информации, включают: доступ к информации, ее просмотр, ввод, изменение, удаление, любую другую обработку или хранение, а также удаленное управление этими процессами;
      • Вопросы, решаемые компьютерно-технической экспертизой в данной области:

    • Имеются ли на запоминающем устройстве установленные программы, предназначенные для шифрования информации;
    • Имеется ли на исследуемых объектах интересующая информация (в том числе в неявном, удаленном, скрытом или зашифрованном виде);
    • Возможен ли с помощью представленных для исследования объектов исследования выход в сеть Интернет;
    • Имеется ли на запоминающем устройстве представленного на исследование системного блока информация о реквизитах для доступа к ресурсам сети Интернет;
    • Имеются ли на носителе представленного на исследование системного блока персонального компьютера журналы работы программ, предназначенных для просмотра сайтов в сети Интернет? Если, да то ссылки на какие сайты в сети Интернет в них имеются;
    • Имеются ли на носителях информации представленных на исследование системных блоков ПЭВМ журналы работы программ обмена сообщениями в сети Интернет? Если да, то какие сообщения в них содержатся;

    Анализ программ

    • Анализ программ для ЭВМ с целью определения их функциональности и следов их использования, принципа действия, вероятного их источника, происхождения сведений об авторе, наличия вредоносных признаков, их принадлежности к средствам преодоления технических средств защиты авторского права и др;
    • Часто при этом необходимо более глубокое исследование программ. То есть исследование не просто их свойств и функциональности, а происхождения, особенностей взаимодействия с другими программами, процесса создания, сопоставление версий. Такое глубокое исследование подразумевает дизассемблирование программы, запуск под отладчиком (пошаговое исполнение), исследование структуры данных. В таком случае рекомендуется заказать проведение двух отдельных экспертиз, первая изучает содержимое компьютерных носителей, а вторая – особенности обнаруженных программ;
    • Вопросы, решаемые компьютерно-технической экспертизой в данной области

      • Какие программные продукты содержатся на представленных носителях;
      • Какие сведения о наименовании, разработчике и версии они содержат;
      • Соответствуют ли они представленному эталонному образцу;
      • Имеются ли свидетельства использования установленных на диске программ (созданные с помощью программ документы, наличие информации в базах данных, файлы-протоколы работы и др.);
      • Имеются ли признаки модификации программного обеспечения для обхода технических средств защиты авторского права;
      • Является ли данный способ доступа общепринятым способом для публичных сетевых ресурсов;
      • установление признаков преодоления защиты представленных на экспертизу информационно-программных продуктов;
      • установление способа осуществления изменений в программе (например, воздействие вредоносной программы, ошибки программной среды, несанкционированный доступ);
      • установление авторства программного обеспечения (программы);
      • определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров (объем, дата создания, атрибуты), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций);
      • Установление следов контрафактности

        • Зачастую указанные экспертизы являются комплексными. Для проведения исследования некоторых предметов, входящих в комплект поставки программного продукта, таких как коробка, карточка с текстом лицензионного соглашения, сертификат подлинности, регистрационная карта, компакт-диск с элементами защиты, документация в печатном виде, требуется назначение технико-криминалистической экспертизы документов. А иногда также требуется проведение фоноскопических или трасологических экспертиз.
        • При проведении экспертизы, касающейся контрафакта, всегда требуется представление эталонного образца программного обеспечения для сравнительного исследования.
          • В связи с тем, что в обращении постоянно появляются все новые и новые аппаратные и программные средства, современный методический и организационный уровень СКТЭ позволяет решать большинство возникающих задач только при разработке специальных экспертных методик для каждого экспертного случая. При этом в каждой конкретной судебно-следственной ситуации рекомендуется предварительно согласовать возможность проведения необходимого исследования, а также круг задач и вопросов, ставящихся на разрешение эксперта.