компьютерная

Вопросы для назначения компьютерной экспертизы

КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА

Предмет, объекты и задачи экспертизы

Судебная компьютерно-техническая экспертиза (СКТЭ) — самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимый в целях: определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним ее исследованием.
Родовой предмет — факты (обстоятельства), имеющие значение для уголовного либо гражданского дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств и систем, обеспечивающих реализацию информационных процессов.
Специальные познания СКТЭ составляют следующие научные направления: автоматизация, информационные системы и процессы, электроника, электротехника, радиотехника и связь, вычислительная техника (в том числе программирование) и др.
Видовая классификация организуется на основе обеспечивающих компонент любого компьютерного средства [аппаратного (технического), программного и информационного обеспечения] и используется в виде, соответствующем процессам разработки и эксплуатации компьютерных систем. Поэтому выделяются следующие виды экспертизы: аппаратно-компьютерная; программно-компьютерная; информационно-компьютерная (экспертиза данных). Кроме того, достаточно оправданным представляется выделение еще одного вида — компьютерно-сетевой экспертизы. Такое деление на виды наиболее полно охватывает технологические особенности, эксплуатационные свойства объектов экспертизы, предъявляемых для исследования. Данная классификация позволяет уже на ранних этапах становления экспертизы дифференцированно подойти к разработкам методов и методик экспертного исследования. Кратко рассмотрим каждый из видов.
Сущность аппаратно-компьютерной экспертизы заключается в проведении исследования (в основном, диагностического) технических (аппаратных) средств компьютерной системы. К аппаратным средствам относятся: электрические, электронные и механические схемы, блоки, приборы и устройства, составляющие материальную часть компьютерной системы. Предметом данного вида экспертизы являются факты и обстоятельства, имеющие значение для уголовного либо гражданского дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации аппаратных средств компьютерной системы — материальных носителей информации о факте или событии уголовного либо гражданского дела.
Для проведения экспертного исследования программного обеспечения предназначен такой вид экспертизы как программно-компьютерная. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или гражданскому делу. Задачами экспертизы данного вида является изучение функционального предназначения и характеристик реализуемого алгоритма, структурных особенностей и текущего состояния системного и прикладного программного обеспечения компьютерной системы.

Информационно-компьютерная экспертиза 

Информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Задачами этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Компьютерно-сетевая экспертиза 

Компьютерно-сетевая экспертиза в отличие от предыдущих основывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому факты и обстоятельства, связанные с использованием сетевых и телекоммуникационных технологий и устанавливаемые по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу составляют видовой предмет компьютерно-сетевой экспертизы. Она выделена в отдельный вид в связи с тем, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в судебной компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с Интернет-технологиями. Объект применения специальных познаний КТЭ может быть довольно разным — от компьютеров пользователей, подключенных к Интернет, до различных ресурсов поставщика сетевых услуг (провайдера) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, www-сервис и пр.). В связи со стремительным развитием современных телекоммуникаций и связи, обособлением предмета исследований в компьютерно-сетевой экспертизе можно выделить как подвид телематическую экспертизу. Предметом телематической экспертизы являются фактические данные, устанавливаемые на основе применения специальных научных познаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии какого-либо уголовного либо гражданского дела.
Практический опыт показывает, что в настоящее время рассмотренные выше основные виды СКТЭ при производстве большинства экспертных исследований применяются комплексно и, чаще всего, последовательно. Экспертная деятельность зачастую связана с необходимостью исследования целостной компьютерной системы или ее части — персонального компьютера, электронного органайзера, сотового телефона и т.д. При этом, как правило, изучение начинается с аппаратных средств, далее — программных, и в заключении — работа с данными. Именно информационно-компьютерная экспертиза как вид СКТЭ позволяет в итоге построить целостное представление об исследуемом объекте, имеющее доказательственное значение. В результате проведения такого комплекса исследований, использования всего имеющегося родового экспертного инструментария достигается решение наиболее существенных экспертных задач — поиск, обнаружение, анализ и оценка криминалистически значимой компьютерной информации. Название такого комплексного исследования должно совпадать с родовым названием — компьютерно-техническая экспертиза. Поэтому, в настоящее время, в постановлении на производство судебной экспертизы целесообразно указывать родовое наименование экспертизы, т.е. «произвести судебную компьютерно-техническую экспертизу».
Кроме того, в ходе таких пограничных исследований иногда возникает потребность привлекать специальные познания и из других смежных научных областей (например, криптографии и защиты информации). В экспертной практике уже намечены реальные перспективы развития комплексных экспертиз с использованием специальных познаний в СКТЭ и в следующих экспертизах: судебно-экономические экспертизы, технико-криминалистическая экспертиза документов, видеофоноскопическая, товароведчекая и другие экспертизы.
Родовой (видовой) объект — определенная категория предметов, обладающих общими признаками и относящихся к компьютерным средствам. Одной из важных особенностей объекта СКТЭ является его составной характер. Конкретный объект экспертизы — определенное компьютерное средство, исследуемое в процессе данной экспертизы, обладающее признаками индивидуальности и неповторимости, что и определяет специфику конкретного исследования.

Система объектов СКТЭ по классификационному основанию видового деления выглядит следующим образом:

а) класс аппаратные объекты, включающий в себя виды: персональные компьютеры (настольные, портативные), периферийные устройства, сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.), интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.), встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.), любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и т.п.). Указанные виды могут охватывать различные сочетания подвидов.
В криминалистическом аспекте наиболее важен подвид запоминающих устройств и носителей данных — включает все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты, карты и т.п.;
б) класс программные объекты, включающий в себя виды: системное программное обеспечение (подвиды: операционная система, вспомогательные программы-утилиты, средства разработки и отладки программ, служебная системная информация); прикладное программное обеспечение – подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.) и подвид приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т.д.)];
в) класс информационные объекты (данные), включающий в себя виды: текстовых и графических документов, изготовленных с использованием компьютерных средств; данных в форматах мультимедиа; информации в форматах баз данных и других приложений, имеющей прикладной характер.

Методы экспертизы

Современные методы СКТЭ находятся пока в своем становлении. Поэтому на данном этапе развития экспертизы целесообразно рассматривать систему методов по основным классам объектов экспертизы: методы исследования аппаратных средств, методы исследования программных средств и методы исследования информации (данных). Кратко остановимся на их примерном содержании. В основе функционирования аппаратных средств любой компьютерной системы положен целый ряд комплексов специальных методов такой научной области как радиотехника, а также смежных с ней — аудиовизуальной техники, радиоэлектронной аппаратуры, радиоэлектронных систем и др. Так, одним из таких комплексов являются методы проектирования и исследования цифровых устройств и микропроцессоров. К ним относятся:
• методы алгебры логики и методы переключательных функций;
• методы функционирования асинхронных и синхронных автоматов;
• методы синтеза цифровых узлов;
• архитектурные методы микропроцессоров;
• методы построения БИС и БИС памяти;
• микропроцессорные методы проектирования и анализа микроконтроллеров и др.
Другие комплексы аппаратных методов, которые могут найти широкое применение при решении диагностических задач СКТЭ, ориентированы на анализ сигналов, их генерирование и формирование, прием и обработку, запись и воспроизведение т.п. Отдельными категориями выделяются следующие методы:
• схемотехнические методы аналоговых и цифровых электронных устройств;
• методы сверхвысоких частот;
• оптические методы;
• методы обработки аудио— и видеосигналов и другие.
С помощью указанных методов можно эффективно решать задачи по выявлению свойств аппаратных средств, их технических характеристик, установлению соответствия выявленных характеристик типовым, определение фактического состояния и исправности, наличия физических дефектов, установлению фактов несоблюдения эксплуатационных режимов, обстоятельств использования недокументированных сервисных возможностей и т.п. В целом, представляется, что указанные методы являются базовыми (определяющими) специальными методами экспертных исследований аппаратных объектов СКТЭ.
Методы исследования программных средств могут быть классифицированы по виду представления объекта экспертизы:
• методы исследования исходных текстов;
• методы изучения алгоритмов программ;
• методы исследования загрузочных модулей (исполняемых кодов).
В свою очередь, экспертиза загрузочных программных модулей использует в своей практике такие основные методы как дисассемблирование программ, их отладка и мониторинг, при котором отслеживаются все прерывания, вызываемые исследуемой программой. Каждый из названных методов может быть представлен группой методов частно-прикладного характера, свойственных именно типу решаемых экспертных задач. Например, в методах мониторинга, применяемых при решении задач исследования вредоносных программ, различают мониторинг оперативной памяти (проверка контрольных сумм), мониторинг дисковой памяти (анализ файловых сигнатур) и др.
В ходе экспертного исследования криминалистически значимой информации (данных) широко используются методы, реализованные в большинстве стандартных утилит и сервисных программ. По алгоритмам доступа и анализа информации эти методы могут быть классифицированы как:
• методы поиска и доступа к данным (например, метод контекстного поиска, метод конвертирования данных);
• методы манипуляции с данными (копирование, перемещение, редактирование);
• методы восстановления данных (в т.ч. удаленной информации);
• методы архивации, парольной защиты и пр.
Экспертные исследования фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий, предопределяет развитие специальных методов данного вида СКТЭ. Так, в основе методологии экспертиз сетевых информационных технологий должны быть положены:
• методы распределенной обработки данных;
• методы иерархизации протоколов;
• топологические методы и методы доступа;
• методы коммутации и маршрутизации и др.
При решении задач СКТЭ, когда объектами исследования являются средства подвижной связи (сотовой связи, транковой связи, персонального радиовызова, мобильной спутниковой связи, беспроводного телефона), основными методами экспертно исследования являются методы телекоммуникационных технологий. К ним сегодня можно отнести следующие:
• методы протоколирования;
• методы представления, дискретизации и квантования непрерывных сообщений, сигналов и помех;
• аналоговые и цифровые методы передачи сообщений, методы объединения, разделения и коммутации каналов (частотные, временные, кодовые);
• методы модуляции и демодуляции радио— и оптических сигналов;
• методы кодирования и декодирования сообщений;
• методы помехоустойчивого кодирования;
• методы сжатия информации;
• методы защиты информации в сетях и каналах связи и др.

Возможности экспертизы

Современный методический и организационный уровень СКТЭ характеризуется как этап становления нового рода судебной экспертизы. В связи с этим большинство экспертных задач могут решаться пока при разработке специальных экспертных методик для каждого частного случая. Причем, в каждой конкретной судебно-следственной ситуации рекомендуется предварительно согласовать возможность проведения необходимого исследования, а также круг задач и вопросов, ставящихся на разрешение эксперта.
В уголовном судопроизводстве применительно к типичным объектам рассматриваемого рода экспертизы возможности судебно-экспертного исследования компьютерных средств и систем отражены в следующем методическом подходе, отражающем сущность современной СКТЭ.

Исследование системного блока персонального компьютера проводится путем:

• визуального осмотра внутренних аппаратных компонентов системного блока;
• извлечения из системного блока жесткого диска;
• подключения к системному блоку монитора, клавиатуры и манипулятора «мышь» и прерывания его загрузки для определения установок программы SETUP BIOS;
• определения системной даты, времени компьютера, других конфигурационных установок в программе SETUP BIOS;
• загрузки операционной системы с системной дискеты эксперта и диагностирования соответствующими программными средствами аппаратных компонентов системного блока (все выполняется без жесткого диска).

Исследование носителей компьютерной информации проводится путем:

• определения класса носителя (например, для компакт-дисков: CD-ROM, CD-R, CD-RW и др.);
• определения интерфейса, состояния перемычек и переключателей (для НЖМД);
• определения назначения носителя;
• подключения к стендовому компьютеру исследуемого жесткого диска в качестве дополнительного диска;
• определения основных технических параметров (номеров цилиндров, сторон (головок), секторов, количества секторов, размеров секторов и емкости);
• выявления таблицы разделов диска с определением их основных характеристик (начало и конец раздела, тип файловой системы, идентификаторы и метки разделов, размер и количество кластеров);
• определения логической адресации системных областей разделов (загрузочной записи, таблиц FAT и корневого каталога);
• поиска признаков повреждения целостности структуры данных (несоответствие заявленных параметров раздела фактическим, наличие сбойных, потерянных и др. кластеров, отличия фак¬тического размера файлов от размеров, записанных в каталоге, некорректно сохраненные имена каталогов и файлов и т.п.).

Исследование файлов проводится путем:

• создания «зеркальной» копии всего содержимого носителя информации на вспомогательном носителе (посекторное копирование с фиксацией технических параметров формата носителя, например, используются программы типа Disk Edit (Symantec Norton Utilities);
• при невозможности создания вспомогательного носителя, перед подключением исследуемого жесткого диска к стендовому компьютеру, необходимо отключить все резидентные программы, загружаемые в ОС Windows и производящие операции записи на диск. Исследуемый диск должен быть установлен в системе как дополнительный съемный диск. Все файлы с исследуемого диска копируются на диск стендового компьютер. После отключается исследуемый диск, и проводиться исследование скопированных файлов на рабочем жестком диске стендового компьютера;
• определения основных количественных параметров каталогов и файлов, содержащихся на носителе (с разбиением по логическим дискам);
• определения основных статистических параметров и временных атрибутов каталогов и файлов;
• определения соответствия дат создания и редактирования файлов системному времени компьютера и общей ситуации проведения экспертизы;
• определения перечня программного обеспечения, содержащегося на магнитном носителе (уставленное программное обеспечение и дистрибутивы) с указанием назначения программ, названия программ, типовых расширений файлов, с классифи-кацией по разделам (операционные системы, архиваторы, антивирусы, работа в Интернет, работа с графикой, работа со звуком, языки программирования, работа со сканером и распознавание текста, программы переводчики, игры и т.д.);
• выделения общедоступных и предположительно подготовленных пользователем файлов данных (с указанием каталогов и программ подготовки файлов);
• определения общего объема файлов данных;
• выделения защищенной от несанкционированного доступа информации (зашифрованные диски и файлы, электронные сжатые диски, защищенные паролями архивы и др.);
• поиска удаленных файлов и остаточной информации (например, с помощью программ Unerase, DiskEdit (Symantec Norton Utilities) и т.п.);
• выделения файлов, представляющих интерес для экспертизы;
• определения содержимого и атрибутов файлов операционной системы, характеризующих работу пользователя1 в операционной системе, в локальных и глобальных сетях;
• поиска программ (файлов), содержащих признаки заражения компьютерными вирусами (например, с использованием программ AVP, Dr.Web и пр.).

Поиск признаков выполнения несанкционированных действий или использования специальных программ удаленного администрирования производится путем:

• поиска программ, предназначенных для подбора паролей, и результатов их работы (файлов результатов и файлов настроек программ);
• поиска фактов работы с использованием чужих учетных записей или других системных ресурсов;
• установления содержимого рукописных и печатных материалов, текстовых файлов и файлов электронной почты;
• поиска программ с деструктивными (вредоносными) функциями и их экспериментального исследования на стендах, моделирующих предполагаемые условия их функционирования;
• выявления текстовых файлов, содержащих ключевые слова;
• выявления пользовательских файлов (звуковых, графических, текстовых, исполняемых модулей), имеющих отношение к заданной тематике (обстоятельствам дела);
• уяснения диагностических параметров настройки программ (регистрационные имя пользователя и название организации в программах подготовки документов Microsoft Office или системах программирования);
• исследования защищенных паролями файлов;
• определения особенностей подготовки текстового файла с учетом среды подготовки, регистрационных параметров использовавшегося текстового редактора, времени создания документа, времени редактирования и количества редакций (в режиме автосохранения и по команде пользователя), внесенных изменений, наличия макрокоманд и макровируса в тексте и пр.;
• выявления и определения назначения программ с минимальным пользовательским интерфейсом и не содержащих пояснительных указаний и комментариев (с установлением относящихся к этим программам файлов данных);
• сравнительного исследования нескольких версий программ, конфигурационных файлов (настроек) и файлов данных;
• изучения протоколов работы пользователя (или программ) и интерпретации их действий;
• определения работоспособности и уточнения фактически выполняемых функций программ с рекламируемыми и заявленными свойствами;
• выявления и уточнения назначения программ управления другими аппаратными средствами, подключаемыми и используемыми с представленным компьютером;
• уяснения настройки кодовых таблиц (или переустановки всей операционной системы на стендовом компьютере) для исследования файлов на национальных языках.
Помимо уголовного, непрерывно возрастают потребности в СКТЭ и в других видах судопроизводства. Так, в настоящее время, в связи с глобальной компьютеризацией коммерческой деятельности, возникает большое количество гражданских споров (в т.ч. в арбитражных судах). Кроме того, в административном порядке защиты потребителей проводятся экспертизы в соответствии с нормами КоАП России. К ним относятся экспертизы по фактам нарушения прав потребителей на приобретение компьютеров и компьютерных систем надлежащего качества и безопасности для жизни и здоровья, на получение информации о товарах (компьютерных средствах) и об изготовителях этих средств т.д.
В ходе самозащиты в досудебном споре по заявленному требованию потребителя используются следующие формы специальных знаний в области компьютерных технологий: проверка качества компьютеров и компьютерных систем (работ по их обслуживанию, ремонту и пр.); экспертиза качества компьютеров и компьютерных систем (в т.ч. проектных работ по созданию компьютерных систем и пр.).
Основной задачей СКТЭ в указанных делах является диагностика производственных и эксплуатационных дефектов компьютерных средств с целью установления их стоимости. Решается данная задача с использованием комплексного методического подхода (в т.ч. с использованием товароведческих специальных знаний), посредством которого устанавливаются факты и обстоятельства наличия тех или иных дефектов компьютерных средств (в целом и по комплектующим), изменения их качеств (сущности изменения качества), наименование и количество компьютерных средств, пригодности для использования по назначению и пр. Полученные результаты экспертизы широко используются для установления истины по делу и в совокупности с другими выводами, могут способствовать установлению размеров ущерба и пр.

Судебная компьютерно-техническая экспертиза

Отправлено 21 мая 2012 г., 22:50 пользователем Служу Отечеству

Вопросы для назначения судебной компьютерно-технической экспертизы:

1. Относится ли представленный объект к компьютерным средствам?
2. Является ли объект экспертизы компьютерной системой либо представляет какую-либо его компоненту (аппаратную, программную, информационную)?
3. Каковы тип (марка, модель), конфигурация и общие технические характеристики представленной компьютерной системы (либо ее части)?
4. Решаются ли с помощью представленной компьютерной системы определенные (указываются конкретно, какие) функциональные (потребительские) задачи?
5. Находится ли компьютерная система в рабочем состоянии? Имеются ли какие-либо неисправности в ее работе?
6.  Имеются ли признаки (указывается интересуемой; перечень конкретных признаков) нарушения правил эксплуатации компьютерной системы?
7. Реализована ли в компьютерной системе какая-либо система защиты доступа к информации? Каковы возможности по ее преодолению?
8. Какие носители данных имеются в представленной компьютерной системе?
9. Какой вид (тип, модель, марку) и какие параметры имеет представленный носитель данных?
10. Какое устройство предназначено для работы с представленным носителем данных? Имеется ли в составе представленной компьютерной системы устройство, предназначенное для работы (чтение, запись) с указанным носителем данных?
11. Какую общую характеристику и функциональное предназначение имеет программное обеспечение представленного объекта?
12. Каковы реквизиты разработчика, правообладателя представленного программного средства?
13. Имеет ли программное средство признаки (указывается интересуемый перечень конкретных признаков) контрафактности?
14. Имеется ли на носителях данных программное обеспечение для решения конкретной (потребительской) задачи?
15. Каково функциональное предназначение представленной прикладной программы?
16. Имеются ли программы с признаками (указывается интересуемый перечень конкретных признаков) вредоносности?
17. Какая информация, имеющая отношение к обстоятельствам дела (указывается интересуемый перечень конкретных данных либо ключевых слов), содержится на носителе данных? Каков вид ее представления (явный, скрытый, удаленный, архивный)?
18. Имеется ли на носителе данных информация, аутентичная по содержанию представленным образцам? Каков вид ее представления (явный, скрытый, удаленный, архивный)?
19. К какому формату относятся выявленные данные (текстовые документы, графические файлы, базы данных и т. д.) и с помощью каких программных средств они могут обрабатываться?
20. Имеются ли в компьютерной системе признаки (указывается интересуемый перечень конкретных признаков) неправомерного доступа к данным?
21. Какие сведения о собственнике (пользователе) компьютерной системы (в том числе имена, пароли, права доступа и пр.) имеются на носителях данных? 
22. Имеются ли признаки функционирования данного компьютерного средства в составе локальной вычислительной сети? Каково содержание установленных сетевых компонент?
23. Имеются ли признаки работы представленного компьютерного средства в сети «Интернет»? Каково содержание установок удаленного доступа и протоколов соединений?
24. Какая информация содержится на магнитной полосе пластиковой карты, представленной на исследование? Подвергалась ли информация, содержащаяся на магнитной полосе (в памяти микропроцессора), несанкционированному изменению?
25. Какие данные (файлы) были стерты (уничтожены), скопированы, изменены (модифицированы)? Как изменялось их содержание, дата создания (уничтожения, изменения)?
26. Существует ли причинно-следственная связь между имевшими место манипуляциями с компьютерной информацией, имеющейся в памяти микропроцессора, платежной картой и изменением функций программного обеспечения банкомата?

1-1 of 1