Наверх

Компьютерно-технические экспертизы.

 

Объекты:

  1.  Класс аппаратные объекты, включающий в себя виды:
    •  персональные компьютеры (настольные, портативные);
    •  периферийные устройства;
    •  сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.);
    •  запоминающие устройства и носители информации (накопители на жестких магнитных дисках (НЖМД), оптические (CD/DVD) диски, дискеты, флэш накопители и карты памяти и другие устройства);
    •  мобильные телефоны, видеорегистраторы, цифровые фото-, видеокамеры, диктофоны (в части исследования информационного содержимого их памяти и обстоятельств их работы).
  2.  Класс программные объекты, включающий в себя виды:
    • системное программное обеспечение (подвиды: операционная система; вспомогательные программы – утилиты; средства разработки и отладки программ; служебная системная информация);
    •  прикладное программное обеспечение (подвиды: приложения общего назначения -текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д. ; приложения специального назначения - для решения задач в определенной области науки, техники, экономики и т.д.).
  3.  Класс информационные объекты (данные), включающий в себя виды:
    •  текстовые и графические документы в электронной форме;
    •  программные (исполняемые) файлы;
    •  данные в форматах мультимедиа;
    •  информация в форматах баз данных и др. имеющая прикладной характер и т.п.

Задачи:

 

 1. Определение конфигурации представленного оборудования и установление его работоспособности.

Вопросы:

  •  Какова конфигурация представленного системного блока компьютера и соответствует ли она сведениям, имеющимся на представленных документах (счете, товарной накладной, спецификации).
  •  Имеет ли представленный системный блок компьютера (либо отдельные комплектующие, периферийные устройства и т.п.)   дефекты (указывается перечень дефектов)/сбои в работе ? Если да, то какова  причина их образования? Имеют ли они производственный либо эксплуатационный характер?

 2. Анализ установленного программного обеспечения в том числе с «признаками контрафактности» (поскольку «контрафактность»  является юридическим понятием, вопросы по установлению «контрафактности», а также наличия «признаков контрафактности» программного обеспечения, не решаются).

Вопросы -вариант 1. (исследуются только установленные /используемые/ программы).

  • Установлены ли в операционной системе представленного системного блока компьютера программы, имеющие наименования: *** (согласно информации из файлов справки, описаний, заголовков окон, заставок и т.п.)?
  •  Установлены ли в операционной системе представленного системного блока компьютера программы, в качестве правообладателя которых указана фирма *** (согласно информации из файлов справки, описаний, заголовков окон, заставок и т.п.)?
  • Если да, то имеют ли данные программы какие-либо различия с их "лицензионными" аналогами?
  • Имеются ли какие-либо следы использования данных программ?

(Для решения указанных вопросов в обязательном порядке требуется предоставление эксперту "лицензионных" аналогов исследуемых программ (предоставляться должны программы, соответствующие по номеру версии и номеру сборки исследуемым программам). Под "лицензионным" аналогом понимается оригинальное программное обеспечение от того же производителя и с тем же наименованием, которые указаны в исследуемом программном обеспечении. В случае, если  "лицензионные" образцы не будут представлены - составляется сообщение о невозможности дать заключение. При невозможности предоставления образцов вопросы должны ставиться в формуллировках, приведенных ниже).

  •  Установлены ли в операционной системе представленного системного блока компьютера программы, имеющие наименования: *** (согласно информации из файлов справки, описаний, заголовков окон, заставок и т.п.)?
  •  Установлены ли в операционной системе представленного системного блока компьютера программы, в качестве правообладателя которых указана фирма *** (согласно информации из файлов справки, описаний, заголовков окон, заставок и т.п.)?
  •  Имеются ли среди них программы со следами нарушения систем защиты от несанкционированного копирования/использования либо со следами установки из дистрибутивов, не соответствующих описаниям из файлов справки (по структуре файлов, процедуре установки)?
  • Имеются ли какие-либо следы использования данных программ?

 

Вопросы - вариант 2. (исследуются дистрибутивы программ и программы, не требующие установки ).

  •  Имеются ли на представленных носителях программы, имеющие наименования: *** (согласно информации из файлов справки, описаний, заставок и т.п.)?
  •  Имеются ли на представленных носителях программы, в качестве правообладателя которых указана фирма *** (согласно информации из файлов справки, описаний, заставок и т.п.)?
  •   Имеются ли среди них программы, структура файлов или процедура установки которых не соответствует информации из файлов справки (при их наличии)?
  •  Имеют ли данные экземпляры программных продуктов, какие-либо средства (программные, текстовые описания или рекомендации, иная информация), применение которых приводит к нарушению систем защиты от их несанкционированного копирования/ использования?

(По аналогии с исследованием установленных программ, при предоставлении эксперту "лицензионных" аналогов исследуемого программного обеспечения, последние два вопроса, из числа указанных выше могут быть поставлены в следующей формуллировке: "Имеют ли данные программы какие-либо различия с их "лицензионными" аналогами?")

 

Вопросы - вариант 3. (диагностика ПО).

  • Реализованы ли в полном объеме в представленном экземпляре программы (указывается ее наименование) все требования, указанные в техническом задании на ее разработку?
  • Имеются ли сбои в работе представленной программы (указывается ее наименование) при определенных условиях (перечисляются конкретные условия)? Если да, чем они вызваны?

3. Поиск на устройствах хранения данных определенного вида информации

Вопросы:

  •  Имеются ли на представленных носителях информации файлы (перечисляются имена файлов либо указывается на необходимость сравнения с файлами-образцами, представленнымы на исследование) - в т.ч. и среди удаленных файлов?
  • Имеются ли на представленных носителях информации текстовые файлы, содержащие слова/фразы: «…» (в т.ч. и среди удаленных файлов)?
  • Имеются ли на представленных носителях информации файлы, содержащие документы в электронном виде соответствующие по оформлению и содержанию представленным документам (в т.ч. и среди удаленных файлов)?
  • Имеются ли на представленных носителях информации файлы с изображением оттисков печати (указывается наименование организации)/денежных знаков (указывается вид валюты, достоинство купюр) и т.п. (в т.ч. и среди удаленных файлов)?
  • Имеются ли на представленных носителях информации файлы графических либо видеоформатов (указывается  диапазон дат создания либо на необходимость сравнения с файлами-образцами и т.п.) - в т.ч. среди удаленных файлов?
  • Имеются ли на представленных носителях информации файлы, имеющие дату создания/изменения с (дата) по (дата)?
  • Возможно ли восстановить информационное содержимое носителя (НЖМД, USB Flah-накопителя, памяти мобильного телефона, цифровой фотокамеры и т.п.), утраченное в результате выхода его из строя, воздействия вредоносных программ,ошибочного удаления  информации и т.п. ?

Кроме того, могут ставиться  и иные вопросы об обстоятельствах создания, редактирования, использования и удаления выявленных файлов, а также отдельных записей (например, в файлах баз данных) - возможность получения подобной информации и конкретные формулировки вопросов будут зависеть от типов файлов, подлежащих исследованию.

 

 4. Установление обстоятельств работы пользователя в сети Интернет.

Вопросы:

  •  Имеются ли в операционной системе, установленной на НЖМД системного блока компьютера, следы работы в глобальной сети Интернет в период времени (указать интересующий период), если да, то с использованием каких параметров (IP-адрес подключения, имя пользователя и пароль и т.п.) осуществлялась работа?
  •  Осуществлялся ли с использованием представленного системного блока компьютера доступ к Интернет ресурсам (указать наименование ресурсов)?
  •  Имеется ли на НЖМД представленного системного блока компьютера информация о переписке локального пользователя с использованием сервисов обмена мгновенными сообщениями/электронной почты и т.п. с конкретным абонентом (указывается уникальный идентификатор абонента, адрес электронной почты и т.п.) ?
  •  Имеется ли на НЖМД представленного системного блока компьютера, в переписке пользователя с использованием сети Интернет информация (указывается конкретная тематика, ключевые слова и фразы для поиска)? Если да, то с кем из абонентов сети (идентификатор, электронный адрес и т.п.) осуществлялась такая переписка?
  •  Имеется ли на НЖМД представленного системного блока компьютера файлы (перечисляются имена файлов либо указывается на необходимость сравнения с файлами-образцами, представленнымы на исследование)? Если да, то предоставлен ли общий доступ к данным файлам для сетевых/удаленных пользователей и имеются ли на НЖМД представленного системного блока компьютера следы обращения/копирования данных файлов  сетевыми/удаленными пользователями?
  •  Имеется ли на НЖМД представленного системного блока компьютера файлы (перечисляются имена файлов либо указывается на необходимость сравнения с файлами-образцами, представленнымы на исследование)? Если да, то не загружен ли данный файл с какого-либо из Интернет-ресурсов?

5. Установление факта и способа использования и распространения «вредоносных» программ.

Вопросы:

  •  Имеются ли на НЖМД системного блока компьютера вредоносные программы (указывается перечень программ, факт распространения которых подлежит доказыванию) и следы их использования и распространения?
  •  Каков принцип действия (последствия применения) вредоносной программы (указывается ее наименование), имеющейся ли на НЖМД системного блока компьютера?

6. Установление факта и способа доступа к компьютерной информации (в т.ч. несанкционированного).

Вопросы:

  •  Имеет ли программа (указывается ее наименование), находящаяся на НЖМД представленного системного блока компьютера какую-либо защиту от несанкционированного доступа ?
  •  Имеются ли на НЖМД представленного системного блока компьютера программы, предназначенные для получения удаленного доступа к локальным ресурсам без ведома локального пользователя ?
  •  Имеются ли на НЖМД представленного системного блока компьютера следы доступа к его локальным ресурсам с нарушением имеющейся системы защиты информации от несанкционированного доступа без ведома локального пользователя ? С использованием каких средств и приемов был получен доступ и какие действия были выполнены в процессе данного доступа ?
  • Возможно ли восстановление утраченных паролей на доступ к защищенной информации (указываются конкретные файлы, базы данных программы и т.п.)? Если да, то провести их восстановление?
  • Возможно ли получение доступа к защищенной информации (указываются конкретные файлы, базы данных программы и т.п.)  путем снятия парольной защиты? Если да, то предоставить такой доступ.

(Последний вопрос носит общий характер, для уменьшения сроков производства экспертизы рекомендуется его конкретизировать в плане установления факта осуществления определенных действий, которые должны быть указаны в вопросе постановления).

 

 7. По мобильным телефонам стандарта GSM.

Вопросы:

  •  Заменялся ли IMEI номер представленного мобильного телефона? Если да, то каков его первоначальный IMEI?
  •  Установлено ли в ОС на НЖМД представленного системного блока компьютера программное обеспечение, предназначенное для изменения IMEI мобильных телефонов? Если да, то не использовалось ли оно для изменения IMEI представленного мобильного телефона?
  • Кроме того, по аналогии с изложенными выше, в отношении мобильных телефонов могут быть также поставлены вопросы по поиску конкретных файлов в их памяти, информации о телефонных разговорах и переписке пользователя с конкретным абонентом сети сотовой связи, а также могут ставиться вопросы по установлению идентификаторов - IMSI и ICCID SIM-карт мобильной связи и извлечению информации из их памяти.

Приведенный перечень вопросов является далеко не исчерпывающим, поскольку информационные объекты очень разнообразны, при этом формулировки вопросов и возможности экспертизы будут зависеть от конкретных объектов (вида носителей информации, их логической структуры, форматов файлов и т.п.). Кроме того, многие вопросы, которые могут быть разрешены, носят комплексный характер, составить даже примерный перечень которых не представляется возможным. Поэтому во всех случаях необходимо консультироваться с экспертом для правильной постановки вопросов и обеспечения максимальной эффективности экспертизы по объему работы, срокам производства и полученным результатам.

 

Особенности подготовки материалов.


При осмотре места происшествия необходимо изымать следующие устройства:

  • системный блок компьютера (монитор, мышь, клавиатуру изымать нет необходимости). Изымать системный блок компьютера желательно целиком, лишь при невозможности изъятия извлекать отдельно НЖМД;
  • сменные/внешние носители и накопители информации (внешние НЖМД, USB Flash-накопители, карты Flash-памяти, оптические диски и т.п.), подключенные к системному блоку компьютера на момент проведения осмотра (носители и накопители, не подключенные на момент осмотра могут изыматься  в зависимости от предмета доказывания);
  • в зависимости от задач изымаются так же внешние устройства (принтеры, сканеры, активное сетевое оборудование (xDSL-модемы, мршрутизаторы т.п.).

В любом случае целесообразно зафиксировать наличие и виды имеющихся сетевых подключений и указать эти сведения эксперту в качестве исходных данных в постановлении о назначении экспертизы.

Системный блок целесообразно упаковать в картонную коробку и опечатать ее с соответствии с общими требованиями к упаковке вещественных доказательств. В случае, невозможности упаковки системного блока, следует опечатать его корпус. Опечатывать необходимо разъем для подачи питающего напряжения и места соединений стенок корпуса.

После изъятия указанных выше аппаратных объектов, до назначения компьютерно-технической экспертизы необходимо максимально обеспечить их сохранность - не включать либо  свести к минимуму включения и загрузку изъятых устройств,  носителей и ПО, установленного на них, во избежание изменения состояния/повреждения информационного содержимого носителей. Магнитные носители следует держать вдали от источников электромагнитных излучений, оптические носители – вдали от источников теплового и солнечного воздействия. У оптических носителей также необходимо беречь поверхность от механических повреждений.

 

Консультацию по вопросам возможности производства конкретной экспертизы/проведения конкретного экспертного исследования, ориентировочных сроках - можно получить у руководителей соответствующих экспертных отделов ФБУ Пензенская ЛСЭ Минюста России по телефонам, приведенным на странице "Контакты" главного раздела сайта.

©2011 ФБУ Пензенская ЛСЭ Минюста России. Все права защищены.