Объекты:
- персональные компьютеры;
- любые машинные носители информации, периферийные устройства, сетевые аппаратные средства, интегрированные системы, любые комплектующие всех указанных компонентов (аппаратные блоки, машинные носители информации, платы расширения и др.), программы для текстовые и графические документы (в электронной форме), изготовленные с использованием компьютерных средств, данные в форматах мультимедиа;
- информация в форматах баз данных, журналы (протоколы) работы специализированных программ, других приложений прикладного характера;
- мобильные телефоны, устройства для работы с программным обеспечением, планшеты, смартфоны;
Задачи:
- определение вида (типа, марки), свойств аппаратного средства, а также его технических и функциональных характеристик;
- определение фактического состояния и исправности аппаратного средства, наличия физических дефектов; работоспособности определение технических характеристик и способа изготовления электронного устройства;
- определение структуры, механизма, обстоятельства события по его результатам за счет использования аппаратных средств;
- определение условий применения аппаратных средств, восстановление хронологической последовательности их использования, места действия и функционирования;
- установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения;
- определение основных характеристик операционной системы;
- в случае исследования нескольких объектов или комплекса устройств устанавливается возможность их совместной работы;
- идентификационные задачи, связанные с индивидуальным отождествлением оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;
- обнаружение необходимой информации в памяти мобильных устройств;
Требования к материалам, направляемым на экспертизу
- При постановке вопросов необходимо использовать устоявшийся понятийный аппарат, исключающий полупрофессиональные термины («винчестер», «логи», «взлом» и др.). В случае отсутствия терминов, необходимо использовать те термины, которые употребляют разработчики технических средств, программных продуктов в документации, описаниях, справках и др;
- Исследование мобильных телефонов возникает необходимость просмотра, копирования и восстановления удаленной информации, которая содержится во встроенной памяти телефона, либо устанавливаемых в него карте памяти и SIM-карте. Так как сохраненная информация в памяти телефона, карте памяти и SIM-карте зачастую взаимосвязана между собой, то при изъятии мобильного телефона необходимо;
Поиск «информации:
Примечание:
Вопросы, решаемые компьютерно-технической экспертизой в данной области :
Поиск «цифровых» следов
- Поиск на компьютерном носителе документов, изображений, сообщений и иной интересующей информации, в том числе в неявном (удаленном, скрытом, зашифрованном) виде;
-
В связи с большим объемом информации, как правило, невозможно распечатать и приложить к заключению все имеющиеся на носителе текстовые и графические файлы, содержимое баз данных с тем, чтобы потом орган назначающие экспертизу решил, что из найденного относится к делу. Поэтому необходимо определять критерии поиска – ключевые слова, или ограничивать рамки поиска типом файлов;
- При исследовании информации в памяти мобильных телефонов (SIM-карт и карты памяти) производится ее копирование, а так же восстановление удаленной информации. Орган назначающие экспертизу всегда представляется наиболее полное содержание памяти исследуемого устройства, однако следует учесть, что из-за большого спектра существующих мобильных телефонов оборудование, имеющееся в распоряжении экспертов, не всегда может восстановить удаленную и/или скопировать находящуюся в памяти мобильного телефона информацию;
- не нарушать комплектность телефона (не извлекать из него SIM-карту и карту памяти);
- не выключать мобильный телефон, если неизвестен PIN-код;
- при наличии установленного пользовательского пароля в мобильном телефоне попытаться выяснить его у владельца и сообщить эксперту;
- при изъятии неустановленных в телефон SIM-карт не пытаться самостоятельно просмотреть информацию с помощью каких-либо устройств чтения SIM-карт или мобильных телефонов, т.к. это может привести к изменению и утрате части пользовательской информации;
- имеются ли на носителе представленного на исследование системного блока персонального компьютера файлы, в том числе удаленные, содержащие информацию о (указать конкретные ключевые слова для поиска – названия организаций, фамилии;
- имеются ли на носителе представленного на исследование системного блока персонального компьютера графические файлы, в том числе удаленные, содержащие изображения денежных билетов, купюр;
- находятся ли данные предметы (устройства) в работоспособном состоянии? Если да, то каковы их основные технические характеристики;
- прошу представить информацию из баз данных программного обеспечения, предназначенного для связи абонентов посредством сети Интернет;
- при наличии технической возможности прошу скопировать информацию (в том числе ранее удаленную), содержащуюся в памяти мобильного телефона, а так же находящихся в нем SIM-карты и карты памяти;
- определение причины возникновения неисправности, дефекта или недостатка;
- совпадает ли номер IMEI на корпусе представленного для исследования телефона с номером IMEI, находящимся в памяти данного телефона;
- так же зачастую проблематично скопировать и/или восстановить информацию, которая касается работы в сети Интернет при помощи различных приложений;
- Когда компьютер используется как средство доступа к информации, находящейся в ином месте, и когда доступ к информации осуществляется на этом компьютере, в обоих случаях остаются «цифровые» следы, следы в виде компьютерной информации. Компьютерно-техническая экспертиза может определить, когда, при каких условиях и каким образом осуществлялся доступ. Кто его осуществлял экспертиза определить не может. Лишь в некоторых случаях эксперту удается обнаружить некоторые сведения о пользователе исследуемого компьютера;
-
Действия, которые оставляют следы на компьютере или на носителе информации, включают: доступ к информации, ее просмотр, ввод, изменение, удаление, любую другую обработку или хранение, а также удаленное управление этими процессами;
Вопросы, решаемые компьютерно-технической экспертизой в данной области:
- Имеются ли на запоминающем устройстве установленные программы, предназначенные для шифрования информации;
- Имеется ли на исследуемых объектах интересующая информация (в том числе в неявном, удаленном, скрытом или зашифрованном виде);
- Возможен ли с помощью представленных для исследования объектов исследования выход в сеть Интернет;
- Имеется ли на запоминающем устройстве представленного на исследование системного блока информация о реквизитах для доступа к ресурсам сети Интернет;
- Имеются ли на носителе представленного на исследование системного блока персонального компьютера журналы работы программ, предназначенных для просмотра сайтов в сети Интернет? Если, да то ссылки на какие сайты в сети Интернет в них имеются;
- Имеются ли на носителях информации представленных на исследование системных блоков ПЭВМ журналы работы программ обмена сообщениями в сети Интернет? Если да, то какие сообщения в них содержатся;
Анализ программ
Вопросы, решаемые компьютерно-технической экспертизой в данной области
- Анализ программ для ЭВМ с целью определения их функциональности и следов их использования, принципа действия, вероятного их источника, происхождения сведений об авторе, наличия вредоносных признаков, их принадлежности к средствам преодоления технических средств защиты авторского права и др;
-
Часто при этом необходимо более глубокое исследование программ. То есть исследование не просто их свойств и функциональности, а происхождения, особенностей взаимодействия с другими программами, процесса создания, сопоставление версий. Такое глубокое исследование подразумевает дизассемблирование программы, запуск под отладчиком (пошаговое исполнение), исследование структуры данных. В таком случае рекомендуется заказать проведение двух отдельных экспертиз, первая изучает содержимое компьютерных носителей, а вторая – особенности обнаруженных программ;
Установление следов контрафактности
- Какие программные продукты содержатся на представленных носителях;
- Какие сведения о наименовании, разработчике и версии они содержат;
- Соответствуют ли они представленному эталонному образцу;
- Имеются ли свидетельства использования установленных на диске программ (созданные с помощью программ документы, наличие информации в базах данных, файлы-протоколы работы и др.);
- Имеются ли признаки модификации программного обеспечения для обхода технических средств защиты авторского права;
- Является ли данный способ доступа общепринятым способом для публичных сетевых ресурсов;
- установление признаков преодоления защиты представленных на экспертизу информационно-программных продуктов;
- установление способа осуществления изменений в программе (например, воздействие вредоносной программы, ошибки программной среды, несанкционированный доступ);
- установление авторства программного обеспечения (программы);
-
определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров (объем, дата создания, атрибуты), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций);
- Зачастую указанные экспертизы являются комплексными. Для проведения исследования некоторых предметов, входящих в комплект поставки программного продукта, таких как коробка, карточка с текстом лицензионного соглашения, сертификат подлинности, регистрационная карта, компакт-диск с элементами защиты, документация в печатном виде, требуется назначение технико-криминалистической экспертизы документов. А иногда также требуется проведение фоноскопических или трасологических экспертиз.
-
При проведении экспертизы, касающейся контрафакта, всегда требуется представление эталонного образца программного обеспечения для сравнительного исследования.
Поиск «информации:
Анализ программ
-
В связи с тем, что в обращении постоянно появляются все новые и новые аппаратные и программные средства, современный методический и организационный уровень СКТЭ позволяет решать большинство возникающих задач только при разработке специальных экспертных методик для каждого экспертного случая. При этом в каждой конкретной судебно-следственной ситуации рекомендуется предварительно согласовать возможность проведения необходимого исследования, а также круг задач и вопросов, ставящихся на разрешение эксперта.
-
В связи с тем, что в обращении постоянно появляются все новые и новые аппаратные и программные средства, современный методический и организационный уровень СКТЭ позволяет решать большинство возникающих задач только при разработке специальных экспертных методик для каждого экспертного случая. При этом в каждой конкретной судебно-следственной ситуации рекомендуется предварительно согласовать возможность проведения необходимого исследования, а также круг задач и вопросов, ставящихся на разрешение эксперта.