Информационно-компьютерная экспертиза. Стоимость.
Информационно-компьютерная экспертиза – представляет собой один из видов судебных компьютерно-технических исследований. Предметом данного анализа являются цифровые данные – то есть информация, содержащаяся в компьютерной системе. Информационно-компьютерная экспертиза по праву считается ключевым исследованием в данной группе, так как дает возможность подытожить следственные мероприятия, так как окончательно отвечает на большинство вопросов, связанных с цифровыми данными. В процессе осуществления этой экспертизы специалист ставит перед собой цели поиска, сбора, исследования и экспертной оценки обнаруженной информации. Данная информация была собрана и сохранена пользователем или порождена действиями специального программного обеспечения для сопровождения рабочих процессов в исследуемой компьютерной системе.
Изучение информационного содержимого дает весьма разнообразные результаты, так как исследует совершенно разные данные. Анализ информации позволяет выявить следы работы программ и приложений, определить транзакции, совершенные посредством информационных сетей, а также отследить деятельность и намерения пользователя компьютера на основании сохраненных (или даже удаленных) им файлов в персональном компьютере.
Для оценки содержания обнаруженной информации и ее квалификации как относящейся к определенной группе могут быть привлечены соответствующие специалисты – лингвисты, культурологи, психологи и так далее. Например, на исследуемом носителе могут содержаться данные, которые можно рассматривать как порнографические, разжигающие межнациональную рознь, содержащие высказывания, унижающие чьи-либо честь и достоинство и так далее.
Тем не менее, работа с информацией требует глубоких познаний в сфере информационных технологий и способов компьютерного хранения данных, так как содержимое накопителей информации необходимо сначала обнаружить и извлечь, то есть перевести в формат, доступный для восприятия специалистов. Опыт сотрудника организации, проводящей информационно-компьютерную экспертизу, а также уровень его профессиональной компетенции играет важнейшую роль в получении исчерпывающего и достоверного исследования и достижении целей, которые преследует инициатор проведения анализа.
Задачи, решаемые при производстве информационно-компьютерной экспертизы
Информационно-компьютерная экспертиза предназначения для исследования весьма широкого круга проблем, основывающегося на разнообразии изучаемых данных. Кроме того, эксперт выполняет большой объем мероприятий, связанных с получением и обработкой информации, а не только с анализом извлеченных данных. Экспертиза способна решать следующие задачи:
- Определение способа форматирования носителя информации и способа записи данных на него.
- Выявление специфических характеристик физического размещения информации на исследуемом накопителе данных.
- Выявление специфических характеристик логического размещения информации на исследуемом накопителе данных.
- Выявление основной атрибутики данных, содержащихся на исследуемом накопителе данных (в данной компьютерной системе) – размеры файлов, общий объем данных, имена и типы файлов, даты их создания и изменения, прочие характеристики.
- Определение вида информации, размещенной на исследуемом носителе информации – архив, удаленная, скрытая или явная информация.
- Определение типа обнаруженных файлов и программ, с помощью которых они были созданы и могут быть просмотрены или обработаны.
- Установление способа организации доступа к имеющимся на носителе данным, а также его характеристик.
- Выявление наличия в исследуемой компьютерной системе средств защиты хранящейся информации, а также установление возможных путей взлома данных механизмов.
- Выявление наличия в исследуемой компьютерной системе средств защиты от копирования или несанкционированного доступа.
- Установление содержания защищенной информации, хранящейся на носителе.
- Установление текущего состояния обнаруженных данных, а также определение соответствия этого состояния типовому на соответствующих носителях.
- Выявление несоответствий состояния данных и определение их типа – несоответствие формата, нарушение целостности, наличие вредоносных включений и так далее.
- Установление предназначения данных и его пользовательских свойств.
- Выявление наличия в компьютерной системе данных, предназначенных для решения определенных пользовательских задач.
- Выявление присутствия в персональном компьютере (компьютерной системе) данных, содержащих сведения и факты, относящиеся к расследуемому делу.
- Поиск данных о собственнике (пользователе) персонального компьютера (компьютерной системы) имеются на представленных для исследования накопителях информации.
- Установление совпадений данных в компьютере и в представленных на экспертизу документах.
- Установление степени соответствия между предписанными правилами использования компьютерной системы и хронологией предпринятых пользователем действий.
Процедура проведения информационно-компьютерной экспертизы
Информационно компьютерная экспертиза представляет собой довольно сложный вид исследования, так как собственно анализ информации предваряется кропотливой и, зачастую, продолжительной работой по извлечению данных из имеющихся носителей. Подобная экспертиза может быть проведена по постановлению следствия, судебных органов, а также по инициативе физического или юридического лица. Судебная информационно-компьютерная экспертиза проводится как в государственных экспертных бюро, так и в негосударственных экспертных центрах.
Для того, чтобы инициировать проведение информационно-компьютерной экспертизы, необходимо заключить договор с экспертным центром на оказание услуги по осуществлению исследования. Договор заключается после предварительной консультации, в течение которой определяется разновидность требующегося исследования, объем предстоящей работы, цели экспертизы, поставленные перед экспертом сроки проведения и стоимость исследования. Все эти данные в обязательном порядке вносятся в договор, подписываемый перед началом работы эксперта.
После оформления договора, инициатор экспертизы представляет для анализа имеющийся у него материал для исследования:
- Персональный компьютер или компьютерную систему.
- Накопители информации.
- Документы, имеющие отношение к делу.
Получив все необходимые материалы, специалист приступает к выполнению требующихся экспертных мероприятий. На этом этапе данные извлекаются и тщательно изучаются. Кроме того, изучается техническая сторона вопроса – особенности хранения данных, хронология изменения файлов, способ организации хранения информации и так далее.
По окончании работы специалист формулирует экспертное заключение. Оно представляет собой результат проделанной исследователем работы, а также основной смысл проведения анализа. Экспертное заключение обладает доказательной силой и может быть предъявлено в ходе судебного заседания в качестве аргумента одной из сторон. Экспертное заключение содержит описание всех произведенных экспертом действий, описание представленных на анализ материалов (при необходимости – с фотографиями объектов), копии изученных документов. Кроме этого, в заключение вносятся выводы эксперта и ответы на поставленные перед ним в начале исследования вопросы.
Случаи, в которых необходимо проведение информационно-компьютерной экспертизы
- На накопителе данных содержится информация, способная нанести урон жизни или правам человека.
- Компьютер (компьютерная система, накопитель данных) принадлежит человеку, совершившему преступление, для раскрытия которого необходима информация из данного компьютера (компьютерной системы, накопителя данных).
- Информационное содержимое компьютера представляет собой предмет спора сторон – например, данные, защищенные авторским правом, патентными свидетельствами и пр.
- Если человек покончил жизнь самоубийством и предполагается. Что в его компьютере (или ином вместилище данных) содержится информация о причинах подобного поступка.
- Расследование преступлений. Совершенных посредством применения компьютерных систем.
- Если необходимо отследить хронологию манипуляций, совершавшихся с данными на данном персональном компьютере (данной компьютерной системе).
- Если требуется извлечь информацию и установить ее содержимое.
Правовая база для проведения информационно-компьютерной экспертизы
Эксперт, проводящий исследование, несет за полученный результат личную ответственность, так как ставит свою подпись под экспертным заключением. Кроме того, специалист по осуществлению информационно-компьютерной экспертизе может быть привлечен к даче показаний в суде с целью разъяснения сделанных им выводов. Любой эксперт несет уголовную ответственность за обнародование в процессе суда заведомо ложной информации, равно как и за составление заведомо ложного экспертного заключения. Данная ответственность эксперта закреплена в статье 307 Уголовного кодекса РФ.
Вопросы, которые ставятся перед экспертом, осуществляющим информационно-компьютерную экспертизу
Список вопросов напрямую зависит от характера представленных для проведения экспертизы объектов, а также от предмета и цели исследования. Вследствие чего, перечень вопросов формируется индивидуально для каждого случая проведения исследования на этапе предварительной консультации и подготовки договора на осуществление экспертизы. В общем случае, вопросы, адресованные специалисту по выполнению информационно-компьютерной экспертизы, формулируются следующим образом:
- Какова степень совпадения действий пользователя и специальных правил эксплуатации данного персонального компьютера (компьютерной системе)?
- Содержит ли данный носитель информации какие-либо данные?
- В каком формате содержатся данные на носителе?
- Файлы какого типа содержатся на представленном для анализа носителе данных?
- Имеются ли на данном накопителе данных какие-либо средства защиты от копирования или несанкционированного доступа?
- Присутствуют ли на анализируемых носителях зашифрованные, скрытые, защищенные паролем или удаленные данные?
- Какова хронология действий пользователя относительно определенного процесса?
- Какие программные продукты, предназначенные для решения определенной задачи, присутствуют в представленном персональном компьютере (компьютерной системе)?
- Имеется ли связь между определенными операциями с данными (удаление, изменение, ввод данных) и произошедшим событием, например, сбои в работе компьютерной системы, отключение электричества и пр.?
- Каким образом механизм выполнения данной задачи отображен в зафиксированных на носителе данных?
- Каково было первоначальное состояние данных?
- Какие данные, содержащиеся в представленных для проведения экспертизы документах, находятся в компьютерной системе?
- Каковы потребительские свойства данных, обнаруженных в представленных накопителях информации?
- Каково их функциональное предназначение?
- Присутствуют ли признаки имевших место попыток преодоления защитной системы компьютера?
- Каково содержание закодированных (защищенных паролем) файлов?
- Каким образом организован механизм доступа к содержащимся на носителе данным?
- Каков перечень имеющихся в исследуемом компьютере (компьютерной системе) файлов?
sudexpa.ru
1 антивирусное программное обеспечение: Специализированное программное обеспечение для обнаружения нежелательных программ, восстановления измененных такими программами файлов, а также для предотвращения изменения такими программами файлов или операционной системы. | anti-virus software |
1.1 компьютерный вирус: Программа, обладающая способностью к самораспространению по локальным ресурсам средства вычислительной техники, не использующая сетевых сервисов. | computer virus, virus |
1.2 троянская программа: Программа, не обладающая возможностью самораспространения, маскирующаяся под легитимный файл. | trojan |
1.3 червь: Программа, обладающая способностью к самораспространению в компьютерных сетях через сетевые ресурсы. | worm |
2 аппаратное средство (техническое средство): Совокупность технических устройств средств вычислительной техники либо их частей. | hardware |
3 базовая система ввода/вывода: Набор программ управления основными функциями и устройствами средства вычислительной техники. | basic input/output system; BIOS |
4 вычислительная сеть: Совокупность средств вычислительной техники, соединенных между собой, обеспечивающих передачу данных посредством телекоммуникационной связи. | computer network |
5 средство вычислительной техники; СВТ: Совокупность технических устройств и программ, обеспечивающих их функционирование, способных функционировать самостоятельно или в составе других систем. | computer |
6 интерфейс: Совокупность возможностей одновременного совместного действия двух линейно не связанных систем либо системы и человека. | interface |
7 кластер: Объединение нескольких однородных элементов, которое может рассматриваться как самостоятельная единица, обладающая определенными свойствами. | cluster |
8 оперативная память (основная память): Память, предназначенная для временного хранения данных и команд. | main memory, random access memory; RAM |
9 операционная система; ОС: Комплекс взаимосвязанных программ, предназначенных для управления ресурсами средств вычислительной техники и организации взаимодействия с пользователем. | operating system; OS |
10 прошивка: Программа, записанная на микросхеме постоянного запоминающего устройства и управляющая работой аппаратного средства. | firmware |
11 электронная почта: Корреспонденция в виде сообщений, передаваемая между пользователями через вычислительную сеть. | e-mail |
12 авторизация: Предоставление определенному лицу или группе лиц прав на выполнение определенных действий, а также процесс подтверждения данных прав при попытке выполнения этих действий. | authorization |
13 адрес: Уникальный в пределах конкретного пространства код, присваиваемый устройству, объекту для операций с ним. | address |
14 активация: Приведение объекта в состояние готовности к действию или использованию. 15 | activation |
алгоритм: Конечное упорядоченное множество точно определенных правил для решения конкретной задачи. ГОСТ Р 52292-2004, ст.7.1.2. | algorithm |
16 архивирование: Преобразование данных в компактную форму без потери содержащейся в них информации с помощью специализированной программы с целью экономии места на носителе информации и/или повышения эффективности передачи данных. | archiving |
17 архивный файл: Файл, полученный в результате архивирования одного или нескольких файлов. | archived file |
18 разархивирование: Извлечение файлов из архивного файла. | unpack |
19 атрибуты файла: Характеристики файла, определяемые операционной системой и прикладным программным обеспечением. | file attributes |
20 аутентификация пользователя: Процедура проверки подлинности пользователя путем сравнения введенного им пароля с паролем, сохраненным в базе данных пользователей. | user authentification |
21 аутентификация электронного письма: Подтверждение подлинности электронного письма путем проверки цифровой подписи письма по открытому ключу отправителя. | e-mail authentification |
22 аутентификация файла: Проверка контрольной суммы файла на соответствие сумме, заявленной автором этого файла. | file authentification |
23 база данных; БД: Совокупность взаимосвязанных данных, организованных в соответствии со структурой и правилами обеспечения целостности данных таким образом, чтобы с ними мог работать пользователь. | database; DB |
24 межсетевой экран (брендмауэр; файерволл): Комплекс аппаратных и/или программных средств в вычислительной сети, осуществляющий контроль и фильтрацию проходящей через него информации в соответствии с заданными правилами. Примечание — Основной задачей сетевого экрана является защита сети или отдельных ее узлов от воздействия со стороны внешних вычислительных сетей. | firewall |
25 браузер (броузер): Программа для поиска и просмотра информации из вычислительной сети. | browser |
26 виртуальная машина: Программная среда, которая внутри одной программной и/или аппаратной системы эмулирует работу другой программной и/или аппаратной системы. | virtual machine |
27 восстановление поврежденного файла: Процесс восстановления структуры файла с целью получения доступа к информации. | file recovery |
28 восстановление удаленного файла: Процесс получения доступа к информации, размещенной на машинном носителе в областях, ранее определенных файловой системой как конкретный файл. | file undelete |
29 временный файл: Файл, создаваемый программой на ограниченное время. | temporary file, tempfile |
30 дистрибутив: Форма распространения программного обеспечения. Примечание — Как правило, содержит набор файлов, составляющих программу, инструкции по установке, зависимости от других программ и автоматизированный установщик. | distributive |
31 динамический анализ программного кода: Определение функциональных возможностей программного обеспечения экспериментальным путем. | dynamic program analysis |
32 имя пользователя: Имя учетной записи пользователя, которое может представлять собой как подлинные фамилию и имя или инициалы пользователя, так и псевдоним. | user name |
33 инсталляция: Установка программного обеспечения в вычислительной системе с дистрибутива. | installation, setup |
34 исполняемый файл: Файл, содержащий готовую к исполнению программу. | executable file |
35 исходный код (исходный текст): Текст программы на каком-либо языке программирования или языке разметки. | source code |
36 каталог: Список объектов файловой системы с указанием их месторасположения в разделе. | directory, folder |
37 меню: Список параметров, из которого пользователь может выбрать параметр для выполнения требуемого действия. | menu |
38 метаданные файла: Атрибуты файла, определяемые прикладным программным обеспечением. | metadata |
39 повреждение файла: Нарушение структуры файла. | file damage |
40 структура файла: Соглашение о внутреннем устройстве файла, в соответствии с которым размещается и интерпретируется его содержание. | file structure |
41 прикладная программа: Программа, предназначенная для решения конкретных задач пользователя, использующая для управления ресурсами средств вычислительной техники операционную систему. | application program |
42 программа: Последовательность инструкций, определяющих решение конкретной задачи вычислительной системой. | program |
43 протокол работы программы: Файл с записями о событиях в хронологическом порядке. | journal, log |
44 раздел: Часть машинного носителя либо кластера машинных носителей, логически выделенная для удобства работы. | partition |
45 куст реестра (ветвь реестра): Группа разделов, подразделов и параметров реестра с набором вспомогательных файлов, содержащих резервные копии этих данных. | hive |
46 раздел реестра (ключ реестра): Заголовок реестра, обеспечивающий структуру для хранения конфигурационных значений и другой информации, которая необходима ОС Windows и установленным в ней приложениям. | registry key |
47 свойства файла: Атрибуты файла, определяемые операционной системой. | file properties |
48 сигнатура файла: Уникальная цепочка байт или формализованное описание признаков, указывающие на тип файла. | file signature |
49 системный реестр: Иерархически построенная база данных для хранения сведений, необходимых для настройки операционной системы, для работы с пользователями, программными продуктами и устройствами, в большинстве операционных систем ОС Windows. | Windows Registry |
50 статический анализ программного кода: Определение функциональных возможностей программного обеспечения путем изучения составных частей, элементов исходного или машинного кода. | static code analysis |
51 удаление файла: Изменение состояния объекта с использованием стандартных средств операционной системы, при котором его дальнейшее использование становится невозможным. | file delete |
52 удаленный доступ: Процесс получения доступа к средствам вычислительной техники посредством вычислительной сети с использованием другого средства вычислительной техники. | remote access |
53 учетная запись: Совокупность данных о пользователе, необходимая для его аутентификации и предоставления доступа к его личным данным и настройкам. | account |
54 файл: Поименованный набор данных, расположенный на машинном носителе информации. | file |
55 файловая система: Описание способа хранения, распределения, наименования и обеспечения доступа к информации, хранящейся на машинном носителе информации. Примечание — Определяет правила наименования файлов и каталогов, ограничения на максимальные размеры файла и раздела, длину имени файла, максимальный уровень вложенности каталогов и др. | file system |
56 хеш-функция: Функция, выполняющая по определенному алгоритму преобразование входящих данных сколь угодно большого размера в битовую строку фиксированной длины. | hash function |
57 хеш-код (хеш-значение): Битовая строка фиксированной длины, являющаяся результатом преобразования входящих данных хеш-функцией. Примечание — Для одного и того же объекта хеш-код всегда одинаков; для одинаковых объектов хеш-коды одинаковы; если хеш-коды равны, то входные объекты не всегда равны; если хеш-коды не равны, то и объекты не равны. | hash code |
58 эмуляция: Имитация работы одной системы средствами другой без потери функциональных возможностей и искажений результатов. | emulation |
59 эмулятор: Программа или микросхема, позволяющая осуществлять эмуляцию. | emulator |
60 ярлык: Специальный вид файла, служащий указателем на объект, программу или команду и содержащий в себе полный путь до объекта, на который ссылается. | shortcut |
61 адаптер: Приспособление, устройство или деталь, предназначенные для соединения устройств, не имеющих совместимого способа соединения. | adapter |
62 драйвер устройства: Программа, предоставляющая возможности для управления определенным типом устройства операционной системе и прикладным программам. | driver |
63 коммутатор: Устройство, объединяющее различные сетевые устройства в единый сегмент сети и передающее информацию конкретному устройству. | switch |
64 концентратор: Устройство, объединяющее различные сетевые устройства в единый сегмент сети и передающее информацию всем устройствам. | hub |
65 маршрутизатор: Специализированный сетевой компьютер, имеющий два или более сетевых интерфейса и пересылающий пакеты данных между различными сегментами сети. | router |
авторизация | 12 |
адаптер | 61 |
адрес | 13 |
активация | 14 |
алгоритм | 15 |
анализ программного кода динамический | 31 |
анализ программного кода статический | 50 |
архивирование | 16 |
атрибуты файла | 19 |
аутентификация пользователя | 20 |
аутентификация файла | 22 |
аутентификация электронного письма | 21 |
база данных | 23 |
БД | 23 |
браузер | 25 |
брендмауэр | 24 |
броузер | 25 |
ветвь реестра | 45 |
вирус компьютерный | 1.1 |
восстановление поврежденного файла | 27 |
восстановление удаленного файла | 28 |
дистрибутив | 30 |
доступ удаленный | 52 |
драйвер устройства | 62 |
запись учетная | 53 |
имя пользователя | 32 |
инсталляция | 33 |
интерфейс | 6 |
каталог | 36 |
кластер | 7 |
ключ реестра | 46 |
код исходный | 35 |
коммутатор | 63 |
концентратор | 64 |
куст реестра | 45 |
маршрутизатор | 65 |
машина виртуальная | 26 |
меню | 37 |
метаданные файла | 38 |
обеспечение программное антивирусное | 1 |
ОС | 9 |
память оперативная | 8 |
память основная | 8 |
повреждение файла | 39 |
почта электронная | 11 |
программа | 42 |
программа прикладная | 41 |
программа троянская | 1.2 |
протокол работы программы | 43 |
прошивка | 10 |
разархивирование | 18 |
раздел | 44 |
раздел реестра | 46 |
реестр системный | 49 |
свойства файла | 47 |
СВТ | 5 |
сеть вычислительная | 4 |
сигнатура файла | 48 |
система ввода/вывода базовая | 3 |
система операционная | 9 |
система файловая | 55 |
средство аппаратное | 2 |
средство техническое | 2 |
средство вычислительной техники | 5 |
структура файла | 40 |
текст исходный | 35 |
удаление файла | 51 |
файерволл | 24 |
файл | 54 |
файл архивный | 17 |
файл временный | 29 |
файл исполняемый | 34 |
хеш-значение | 57 |
хеш-код | 57 |
хеш-функция | 56 |
червь | 1.3 |
экран межсетевой | 24 |
эмулятор | 59 |
эмуляция | 58 |
ярлык | 60 |
account | 53 |
activation | 14 |
adapter | 61 |
address | 13 |
algorithm | 15 |
anti-virus software | 1 |
application program | 41 |
archived file | 17 |
archiving | 16 |
authorization | 12 |
basic input/output system | 3 |
BIOS | 3 |
browser | 25 |
cluster | 7 |
computer | 5 |
computer network | 4 |
computer virus | 1.1 |
database | 23 |
DB | 23 |
directory | 36 |
distributive | 30 |
driver | 62 |
dynamic program analysis | 31 |
e-mail | 11 |
e-mail authentification | 21 |
emulation | 58 |
emulator | 59 |
executable file | 34 |
file | 54 |
file attributes | 19 |
file authentification | 22 |
file damage | 39 |
file delete | 51 |
file properties | 47 |
file recovery | 27 |
file signature | 48 |
file structure | 40 |
file system | 55 |
file undelete | 28 |
firewall | 24 |
firmware | 10 |
folder | 36 |
hardware | 2 |
hash code | 57 |
hash function | 56 |
hive | 45 |
hub | 64 |
installation | 33 |
interface | 6 |
journal | 43 |
log | 43 |
main memory | 8 |
menu | 37 |
metadata | 38 |
operating system | 9 |
OS | 9 |
partition | 44 |
program | 42 |
RAM | 8 |
random-access memory | 8 |
registry key | 46 |
remote access | 52 |
router | 65 |
setup | 33 |
shortcut | 60 |
source code | 35 |
static code analysis | 50 |
switch | 63 |
tempfile | 29 |
temporary file | 29 |
trojan | 1.2 |
unpack | 18 |
user authentification | 20 |
user name | 32 |
virtual machine | 26 |
virus | 1.1 |
Windows Registry | 49 |
worm | 1.3 |
УДК 006.72:006.354 | ОКС 01.040.01 |
Ключевые слова: компьютерно-техническая экспертиза, компьютерная экспертиза, информационное исследование, аппаратное исследование |
docs.cntd.ru
Аппаратно-компьютерная экспертиза. Стоимость.
Аппаратно-компьютерная экспертиза представляет собой одну из разновидностей судебной компьютерно-технической экспертизы. Данное исследование заключается в проведении анализа технических или, как их еще называют, аппаратных средств компьютерных систем. Предметом аппаратно-компьютерной экспертизы является установление факта или обстоятельства, связанного с эксплуатацией технических средств.
Основной проблемой назначения данного вида компьютерно-технической экспертизы является отнесение исследуемого объекта к аппаратным средствам. Согласно принятой классификации объектов, подлежащих проведению компьютерно-технической экспертизы, к классу аппаратных объектов относятся следующие виды устройств:
- Настольные и портативные персональные компьютеры.
- Аппаратные средства, предназначенные для организации сетевой работы – серверы, активное оборудование, рабочие станции, сетевые кабели и пр.
- Периферийные устройства, предназначенные для работы с персональным компьютером – клавиатуры, манипуляторы, аудиосистемы, внешние накопители информации и пр.
- Встроенные аппаратные системы, произведенные на базе микропроцессорных контроллеров – транспондеры, круиз-контроллеры, иммобилайзеры.
- Интегрированные системы – мобильные телефоны, пейджеры, органайзеры, навигаторы и пр.
- Любые детали конструкции перечисленных аппаратных средств, комплектующие и пр.
Случаи, в которых назначается проведение аппаратно-компьютерной экспертизы
Аппаратно-компьютерную экспертизу назначают в спорных ситуациях, возникающих между субъектами гражданско-правовых отношений, а также в ходе расследования и судебного разбирательства по самым разнообразным делам. Чаще всего данный вид исследования применяют в следующих ситуациях:
- Выход из строя аппаратно-технических средств, приобретенных в магазине. В данных случаях задача экспертизы – определить причину поломки и виновную сторону.
- Исследование аппаратных средств в ходе расследований для определения их функционального предназначения, круга решаемых задач, а также факта применения данных аппаратных средств для совершения того или иного преступления.
- Страховые споры, касающиеся вопросов функционирования аппаратных средств, причин поломки и пр.
- Восстановление данных, содержащихся на вышедших из строя носителях информации. Выявление скрытых данных (закамуфлированных программными методами, удаленных и пр.) в интересах следствия или суда.
Задачи, решаемые посредством аппаратно-компьютерной экспертизы
Необходимость в проведении аппаратно-компьютерной экспертизы возникает при урегулировании самых разнообразных споров по гражданским делам. Исследование позволяет установить причины поломки или некорректной работы аппаратного устройства, наличие производственного брака, выявить свидетельства недобросовестного хранения и перевозки аппаратуры, а также использования устройств не по назначению или в условиях, противоречащих требованиям, указанным в сопроводительной документации. К аппаратно-компьютерной экспертизе также относятся мероприятия, проводимые экспертами для извлечения информации из сломанных носителей, отказавших в результате поломки, аварии или стихийного бедствия.
Данный вид исследований также позволяет установить работоспособность прибора, а также имеющиеся неисправности и их влияние на общую пригодность прибора к работе.
Аппаратно-компьютерная экспертиза решает следующие задачи:
- Установление аппаратной природы исследуемого объекта.
- Определение классификационной принадлежности объекта – его марку, модель или тип.
- Установление технических параметров и характеристик компьютеров, представленных для проведения экспертизы.
- Установление функциональной природы исследуемого аппаратного средства.
- Определение роли и функциональной нагрузки исследуемого аппаратного средства в определенной компьютерной системе.
- Установление отношения исследуемого аппаратного средства к интересующей компьютерной системе.
- Определение функционального поля аппаратного средства – использовалось ли оно для решения определенной задачи.
- Установление первоначальных характеристик (первоначального состояния или конфигурации) аппаратного средства, представленного для проведения исследования.
- Установление текущей исправности (или неисправности) исследуемого технического средства (прибора).
- Установление имеющихся в аппаратном средстве физических дефектов и иных отклонений от состояния, предусмотренного исходной конфигурацией и сопровождающими документами.
- Определение установленных на данном аппаратном средстве или компьютере режимов эксплуатации.
- Определение того, лежит ли причина неисправности технического средства в неправильной его эксплуатации.
- Установление причин изменения первоначальных потребительских свойств исследуемого технического средства.
- Установление того, является ли представленный для проведения экспертизы прибор носителем информации.
- Определение классификационной принадлежности компьютера.
- Установление запоминающего устройства, соответствующего данному носителю информации.
- Установление наличия в исследуемом компьютере специализированного запоминающего устройства, предназначенного для работы с конкретным накопителем информации.
- Установление специфических характеристик исследуемого носителя информации – емкость, скорость передачи данных, среднее время обращения к записанным на носитель данным, форм-факторы и пр.
- Установление способа хранения данных на исследуемом носителе.
- Определение доступности для чтения информации, находящейся на носителе.
- Установление причин нарушения доступа к носителю информации.
Процедура проведения аппаратно-компьютерной экспертизы
Аппаратно-компьютерная экспертиза может проводиться по постановлению суда или следственных органов. Кроме того, данный вид исследования может быть осуществлен по инициативе заинтересованных лиц.
Для проведения аппаратно-компьютерной экспертизы необходимо обратиться в экспертный центр для консультации, в результате которой будут определены цели исследования, конкретный вид экспертизы и вопросы, на которые в процессе осуществления анализа будет отвечать эксперт. В процессе предварительной беседы также оговаривается стоимость проведения исследования.
На следующем этапе заключается договор с экспертным центром на осуществление исследования. В договор обязательно вносится предмет и задачи исследования, вопросы к эксперту, сроки и стоимость исследования.
После заключения договора инициатор аппаратно-компьютерной экспертизы представляет эксперту аппаратное средство, а также все имеющиеся у него документы, описывающие спорный прибор – сопровождающая документация, инструкции по эксплуатации, гарантийные бумаги, договор купли-продажи (если имеются), чеки и пр. После получения всех имеющихся материалов, специалист приступает непосредственно к осуществлению экспертных мероприятий.
После проведения исследования, специалист формулирует экспертное заключение, которое является основной целью проведения анализа и его конечным продуктом. Экспертное заключение представляется в суде в качестве доказательства. В него в обязательном порядке входит описание всех предпринятых экспертом действий, копии имеющихся документов, ответы на поставленные вопросы и выводы, сформулированные в процессе выполнения экспертизы.
Методы проведения аппаратно-компьютерной экспертизы
Методология производства аппаратно-компьютерной экспертизы находится в процессе становления. Это обусловлено тем, что аппаратные средства существуют несколько десятков лет, а некоторые – и того меньше. Способы исследования лежат в той же области, что и принципы функционирования аппаратных средств, то есть в области радиотехники, радиоэлектроники, аудио и визуальной техники и пр. Часть методов основывается на изучении сигналов, их формирования и генерирования, обработки, приема, записи и воспроизведения. Основное предназначение методов заключается в выявлении параметров и специфических характеристик исследуемых объектов, а также на определении соответствия обнаруженных свойств типовым, установлении исправности и наличия физических дефектов.
К основным методам исследования аппаратно-компьютерной экспертизы можно отнести следующие технологии анализа:
- Методы исследования схем цифровых и аналоговых электронных приборов.
- Методы, базирующиеся на использовании сверхвысоких частот.
- Методы специальной обработки аудио и видеосигналов.
- Методы оптики.
- Методы архитектурного исследования микропроцессоров.
- Методы исследования синтеза кибернетических узлов.
- Анализ микропроцессоров и методы микропроцессорного проектирования.
- Методы исследования функций автоматов (синхронных и асинхронных).
- Методы переключательных функций.
- Методы, использующие алгебру логики.
Вопросы, которые ставятся перед специалистом по осуществлению аппаратно-компьютерной экспертизы
Конкретный список вопросов формулируется в каждом отдельном случае проведения аппаратно-компьютерной экспертизы. Он зависит от типа исследуемого аппаратного средства, а также от целей, преследуемых инициатором экспертизы. Данный перечень вопросов демонстрирует общий принцип их формулирования и наиболее часто встречающиеся проблемы исследования.
- Является ли исследуемый объект аппаратным средством?
- Находится ли исследуемый объект (мобильный телефон, сервер, системный блок) в рабочем состоянии?
- Какие неисправности имеются у исследуемого объекта (периферийного устройства, пейджера, иммобилайзера и пр.)?
- Являются ли выявленные неисправности производственным браком?
- Были ли данные неисправности вызваны недопустимым способом эксплуатации?
- Имеется ли связь между выходом из строя данного инженерного узла исследуемого объекта и проведением каких-либо мероприятий (установкой дополнительного оборудования, нарушением температурного режима в процессе эксплуатации, механическим повреждением и пр.)?
- Могло ли случиться так, что данный инженерный блок был поврежден в результате образовавшегося заряда статического электричества при самостоятельной замене комплектующих?
- Является ли исследуемый объект носителем информации?
- Что явилось причиной неисправности данного носителя информации?
- Возможно ли восстановить содержащиеся на исследуемом объекте данные?
- Какие данные содержатся на исследуемом носителе информации?
- Является ли причиной неисправности исследуемого объекта недобросовестное соблюдение продавцом или транспортной компанией правил хранения и перевозки данных товаров?
- Какова была первоначальная конфигурация представленного для проведения экспертизы компьютера (сервера, мобильного телефона)?
- Имеется ли в представленном компьютере запоминающее устройство, предназначенное для работы с данным носителем информации?
- Каковы специфические характеристики исследуемого носителя информации?
- Соответствуют ли выявленные характеристики исследуемого объекта типовым?
- Что свидетельствует о несоблюдении эксплуатационного режима?
- Какие физические дефекты вызваны неправильной эксплуатацией (нарушением условий хранения, перевозки)?
sudexpa.ru
Программно-компьютерная экспертиза. Стоимость.
Программно-компьютерная экспертиза представляет собой разновидность судебной компьютерно-технической экспертизы. С развитием компьютерной техники возникло новое направление совершаемых правонарушений, которые получили название преступлений в сфере компьютерной информации. В подобных преступлениях и не только для достижения цели используются средства компьютерной техники и программного обеспечения.
Основной целью программно-компьютерной экспертизы является установление причастности исследуемого программного комплекса к расследуемому преступному деянию. Также в результате анализа могут быть обнаружены следы совершенных противоправных действий. Предметом исследования данной экспертизы являются особенности разработки и применения программных средств компьютерной системы. Анализ может проводиться как по гражданским, так и по уголовным делам.
Объектами программно-компьютерной экспертизы являются следующие компоненты:
- Операционные системы (системное программное обеспечение).
- Утилиты (вспомогательные программы).
- Программные средства для разработки программного обеспечения, а также для его отладки.
- Прикладные программы, предназначенные для выполнения определенных функций – текстовые редакторы, электронные таблицы, программы для работы с двухмерной и трехмерной графикой, программы для создания презентаций, почтовые программы, чертежные редакторы и многое другое.
Поводом для назначения программно-компьютерной экспертизы может быть обоснованное подозрение на некорректную работу программного обеспечения, несовместимость двух и более программ, находящихся в одной цепи выполнения каких-либо операций и так далее.
Программно-компьютерная экспертиза широко применяется при расследовании уголовных дел, однако постепенно возрастает потребность в подобной исследовании и в других видах судопроизводства, что вызвано обширной компьютеризаций всех областей жизни. В настоящее время возникает множество гражданских дел, в том числе решаемых в арбитражных судах. Также большое количество дел связано с защитой прав потребителей, а также с нарушением авторских прав при распространении контрафактной продукции.
Задачи, которые решаются с помощью программно-компьютерной экспертизы
Программно-компьютерная экспертиза решает широкий спектр задач, связанных со специфическими особенностями программно обеспечения, его разработки, внедрения, применения и так далее. Большое разнообразие задач, решаемых с помощью данного исследования, обусловлено тем, что компьютерные системы с соответствующим программным обеспечением применяются практически во всех областях деятельности человека. Основными задачами программно-компьютерной экспертизы являются:
- Установление общих характеристик исследуемого программного обеспечения, анализ его компонентного состава.
- Классификация отдельных системных или прикладных программных средств, входящих в представленное для проведения экспертизы программное обеспечение.
- Установление контрафактности (или наличия таковых признаков) программного обеспечения в целом или его компонентов.
- Установление специфических характеристик исследуемого программного обеспечения. Определяется тип программного обеспечения, его наименование, версия, разработчик, вид представления (удаленный, явный или скрытый).
- Установление данных владельца и разработчика исследуемого программного средства. Для юридических лиц устанавливаются реквизиты организации. Для физических лиц – данные, удостоверяющие личность.
- Определение файлового состава исследуемого программного обеспечения с указанием их параметров – даты создания, типа, размера (объема), прочих атрибутов.
- Установление функционального предназначения исследуемого программного средства.
- Выявление наличия на исследуемой компьютерной системе программного обеспечения, предназначенного для решения определенной задачи.
- Установление технических характеристик аппаратного средства, необходимых для нормального функционирования исследуемого программного обеспечения.
- Определение совместимости программного и аппаратного состава компьютерной системы и исследуемого программного обеспечения.
- Установление принадлежности данного класса задач к функциональным возможностям исследуемого программного обеспечения.
- Установление текущего состояния компьютерной системы, а именно программного обеспечения, уровень работоспособности системы и способность системы к реализации определенных задач.
- Установление конфигурации устройств ввода-вывода в данной компьютерной системе, оснащенной исследуемым программным обеспечением.
- Выявление в исследуемом программном обеспечении отклонения от стандартных параметров (наличие недокументированных функций, инфицирования и пр.).
- Установление наличия в исследуемом программном обеспечении программных или программно-аппаратных средств защиты от копировании и несанкционированного доступа.
- Определение алгоритмов представленного для исследования программного средства.
- Установление способа защиты программного обеспечения.
- Установление инструментов разработки исследуемого программного обеспечения (типов компиляторов, языка программирования, системных библиотек).
- Выявление скрытых кодов с первоначальной версией программы.
- Определение модификаций исходных алгоритмов.
- Установление применения специфических приемов алгоритмизации и программирования.
- Установление хронологии производства изменений в исследуемом программном обеспечении.
- Установление хронологии применения исследуемого программного средства, начиная с момента его установки и активации.
- Установление возможных последствий последующей эксплуатации представленного на экспертизу программного обеспечения.
- Установление возможности выполнения исследуемой программой заданных функций после внесения изменений.
Методы проведения программно-компьютерной экспертизы
Методы исследования программного обеспечения, применяемые в ходе программно-компьютерной экспертизы, принято классифицировать, исходя из типа исследуемого объекта. Различают следующие группы методов:
- Методы анализа исходных кодов.
- Методы исследования программных алгоритмов.
- Методы изучения исполняемых кодов (загрузочных модулей).
Экспертиза загрузочных модулей базируется на исследовании программных средств с помощью основных методов, отслеживающих все прерывания, которые вызываются данной программой. Метод, используемый экспертом, должен точно соответствовать типу решаемой им задачи. Соответственно, для получения достоверного результата исследования, необходимо выбирать эксперта, обладающего высоким уровнем профессиональной компетенции и большим опытом проведения исследований.
При проведении анализа вредоносных программ (вирусов, червей и пр.) используют различные методы мониторинга – анализ файловых сигнатур (метод мониторинга дисковой памяти), сверка контрольных сумм (метод мониторинга оперативной памяти) и так далее.
Порядок проведения программно-компьютерной экспертизы
Процедура проведения программно-компьютерной экспертизы стандартна для всех подобных исследований. На первом этапе проводится консультация эксперта для определения разновидности экспертизы, предмета и задач исследования, а также стоимости и сроков его проведения.
На следующем этапе заключается договор с организацией на проведение экспертизы, после чего инициатор экспертизы передает специалисту программное средство на том носителе, на котором оно установлено, и всю имеющуюся документацию. В договор вносится предмет исследования, имеющиеся задачи исследования, поставленные перед экспертом вопросы, а также предполагаемые сроки окончания выполнения экспертизы. Далее специалист по производству исследования производит необходимые экспертные мероприятия и составляет экспертное заключение, которое является основным результатом проведения исследования и может быть представлено в качестве доказательства в ходе судебного разбирательства. В экспертное заключение вносится описание проведенного исследования, копии представленных документов и ответы на поставленные перед специалистом вопросы.
Правовая база для проведения программно-компьютерной экспертизы
Глава 28 Уголовного кодекса РФ описывает преступления в сфере компьютерной информации, а также меры наказания, назначаемые за подобные правонарушения. Глава содержит три статьи. Статья 272 регламентирует меры ответственности за незаконный доступ к закрытой компьютерной информации. Статья 273 предусматривает меры наказания за разработку, применение и распространение так называемых вредоносных программ, приводящих к уничтожению или блокированию информации в персональных компьютерах и производственных сетях. Статья 274 предписывает ответственность за несоблюдение техники использования персональных компьютеров, компьютерных систем или компьютерных сетей. Средствами программно-компьютерной экспертизы получается обоснование для вынесения решений по обозначенным в этой главе преступлениям.
Вопросы, которые ставятся перед специалистом по проведению программно-компьютерной экспертизы
Полный список вопросов весьма обширен. В каждом конкретном случае проведения программно-компьютерной экспертизы перечень вопросов формируется в зависимости от конечной цели исследования и разновидности исследуемого программного обеспечения. Вопросы, задаваемые эксперту, базируются на задачах, решаемых в процессе осуществления исследования. В общем случае вопросы выглядят следующим образом:
- Каковы общие характеристики исследуемого программного обеспечения?
- Из каких компонентов состоит данное программное обеспечение?
- Какова классификационная принадлежность исследуемого программного обеспечения?
- Каковы характеристики файлов, составляющих исследуемое программное обеспечение (дата создания, тип, размер и пр.)?
- Как называется данное программное средство? Каков его тип? Кто является разработчиком?
- Какая версия программного обеспечения представлена для проведения экспертизы?
- Какова функциональная особенность исследуемого программного обеспечения?
- Присутствуют ли в данной компьютерной системе программные средства, предназначенные для выполнения конкретной функциональной задачи?
- Каковы должны быть аппаратные характеристики компьютерной системы, необходимые для корректной работы исследуемой программы?
- Совместима ли исследуемая программа с аппаратным состоянием компьютерной системы, а также с уже установленным на нем программным обеспечением?
- Использовалась ли данная программа для выполнения определенных функциональных задач?
- Работоспособно ли исследуемое программное обеспечение? каково его фактическое состояние?
- Как именно организована система ввода-вывода данных в исследуемом программном обеспечении?
- Обнаружены ли в исследуемом программном обеспечении отклонения от стандартных характеристик типовых аналогичных программ?
- Включены ли в структуру программного продукта средства защиты от копирования и несанкционированного доступа?
- Каков алгоритм организации защиты от копирования и несанкционированного доступа?
- Каков основной алгоритм, лежащий в основе исследуемого программного обеспечения?
- Какие основные инструментальные средства использовались при разработке данного программного продукта?
- Каковы реквизиты разработчика (владельца) представленного для проведения экспертизы программного обеспечения?
- Какова хронология внесения модификаций в исследуемое программное обеспечение?
- Какова хронология применения исследуемого программного обеспечения, начиная с момента установки?
- Каковы возможные последствия дальнейшего применения представленного для экспертизы программного продукта?
- Какова причина изменений в программном обеспечении – действия пользователя, влияние вредоносной программы, ошибки программной среды, сбой аппаратуры и пр.?
sudexpa.ru
Компьютерная экспертиза – ошибки традиционного следствия и правила успешного проведения. 1 часть
По сравнению с где-то так называемыми пока что «традиционными преступлениями», преступления, связанные с компьютерной средой, то есть «компьютерные преступления» отличаются во многих аспектах и являются особенными. Соответственно – и их расследование, которое должно пользоваться своими технологиями и методиками.
Компьютерные преступления – это одна из тех сфер, в которых раньше совершалось очень много следственных ошибок, и в которой они совершаются до сих пор. Речь идет о тех случаях, в которых над решением вопросов работают недостаточно квалифицированные лица. В результате – защита получает возможность свободно оперировать разными доводами, и у нее гораздо больше ходов для того, чтобы оправдать подзащитного, даже если следствие и стороны процесса уверены в его виновности или причастности к преступлению.
Как правило, оперативники и работники следствия, дознаватели и другие лица не имеют квалификации для расследования таких дел, что при этом очевидно. Однако на протяжении многих лет и во многих случаях в России компьютерные дела пытались расследовать только их силами. И не только уголовные дела, но и гражданские, и частные спорные ситуации пытались решить с помощью обычных знаний, пытаясь разобраться в ситуации методами традиционной криминалистики и традиционного анализа и расследования. Хорошо, если в этом принимали участие какие-то компьютерные специалисты, занимающиеся хотя бы сервисом и наладкой компьютеров, и приглашенные для рассмотрения дел.
Для разрешения таких случаев и правильной экспертной работы до недавнего времени в распоряжении судов и следствия, в распоряжении граждан и организаций не было достаточных теоретических и практических знаний. Так что уровень этой работы был низок, и верная раскрываемость – где-то там же. Имеются в виду гражданские и уголовные дела, спорные, страховые ситуации и расследования, связанные с компьютерной информацией, компьютерной техникой и программным обеспечением, их использованием, модификацией, созданием, кражами, подделкой, распространением и продажей.
Логичные и современные требования к расследованиям компьютерных преступлений
Здесь требуется квалификация, совмещающая в себе специальные знания в разной области, знание и правильное использование специальных программных и аппаратных средств, и специальные экспертные методики для работы в указанных областях, отработанные и систематизированные.
Для правильного проведения таких расследований необходимо соблюдать и другие требования. Совмещать работу квалифицированных специалистов и использование специальных знаний и инструментов лучше всего с условиями специальной лаборатории, где проводятся все исследовательские работы.
Нужно очень внимательно обращаться с вещественными доказательствами и всеми элементами, подвергающимися исследованию, чтобы не допустить ошибок и незапланированного изменения состояния объектов в ходе исследования и при подготовке к нему. Также и процесс изъятия и перевозки вещественных доказательств должен быть регламентирован специальными правилами. Эти правила, как и в случае многих других экспертных исследований, гарантируют неприкосновенность вещественных доказательств, и верный и результативный ход работы экспертов.
Появление, роль и помощь российской независимой экспертизы
Представьте себе, что совершено компьютерное преступление, и что перед ним оказывается обычное или необычное, но «традиционное» следственное учреждение, пусть даже высокого уровня. Работники высокой, но традиционной квалификации – что они будут делать с ситуацией, в которой речь идет о компьютерной технике, компьютерной информации, или ПО, то есть программном обеспечении, и специальных манипуляциях с ним или с компьютерной техникой?
В первую очередь, как часто случается и случалось, при решении «компьютерных» дел важно немедленно провести грамотное изъятие доказательств. Для этого используются обычные оперативные работники, если под рукой нет прямо готовых к действию специалистов. Ими же, оперативными работниками, проводится осмотр места, где изымается информация и техника, ими же пакуются, перевозятся и оставляются на хранение вещдоки. Выбор объектов для изъятия, упаковка, перевозка, обращение с вещдоками этого типа – на этих стадиях тоже есть риск совершения ошибок.
А затем наступает время самого расследования. И важной проблемой расследований компьютерных преступлений во все времена, до появления специальных служб, было нахождение нужных специалистов для проведения экспертизы. Сроки проведения исследований в результате поиска нужных специалистов затягивались, и при этом очень хорошо если удавалось верно решить проблему.
Такая ситуация была печально-статичной, пока не начали появляться специальные работники сперва государственной, а потом уже и независимой постоянно работающей компьютерной экспертизы. До 2008 года мы могли пользоваться услугами квалифицированных компьютерных экспертов только из государственной экспертной системы. После 2008-го стало возможно проведение негосударственной и независимой сертифицированной экспертизы, и в ней стали работать специалисты, занимающиеся «компьютерными делами».
На протяжении нескольких лет, прошедших с этого времени, уровень работы и подготовки некоторых независимых экспертных компаний вырос настолько, что они могут решать очень многие, можно сказать любые проблемы, связанные с ПО, компьютерной техникой и информацией. Мы говорим «некоторых», так как независимые эксперты работают на открытом рынке и делают в соответствии с собственной инициативой – и уровень, и профиль, масштаб и отношение к работе у разных организаций бывают разными.
Есть общие требования к экспертам, а есть вопросы, в которых по-разному подбираются, готовятся, аттестируются и работают специалисты разных компаний. Поэтому важно сотрудничать с организациями, которые пользуются самыми современными возможностями, от которых выступают как можно более квалифицированные специалисты. Этими экспертами в частности используются специальные средства и комплексы, программные и аппаратные, и специальные экспертные методики на всех стадиях процессов расследования.
Ошибки старого «традиционного» подхода и верные экспертные методы КТЭ
Самые распространенные ошибки такого следствия – это обращение с изъятой у подозреваемых или где-то еще во время следственных действий компьютерной техникой. Согласно ст. 190 КПК изъятие такой техники может проводиться не только во время следственного осмотра. Но и при «выемке», при обысках, в процессе восстановления обстановки или обстоятельств, в которых произошло какое-то происшествие. Это статьи 178, 179 и 194 КПК.
Соответственно, компьютеров в связи с некоторыми делами изымается много. И работа с ними является для следствия надеждой на то, что будут раскрыты дела, будут найдены доказательства, какая-то информация. Конечно, ведь все работают с помощью этой техники, и на ней действительно могут храниться важные данные. Но в попытках их обнаружить кроются самые распространенные ошибки традиционного «некомпьютерного» следствия, относящиеся к работе с техникой, которая была изъята в целях его проведения.
Правила фиксации информации и техники на момент изъятия
Самая лучшая ситуация – если изъятие техники происходит по всем правилам, и при этом присутствуют понятые. Если изъятие техники можно произвести при свидетелях, то можно при свидетелях снять копии с жестких дисков и затем опечатать компьютеры или другую технику как вещественное доказательство. В подтверждение того, что с ними не будет производиться никаких действий. Дело в том, что на суде представленные доказательства в виде информации с жестких дисков компьютеров могут быть оспорены защитой на основании возможности ее модификации работниками следствия или экспертами. Нужна защита и подтверждение неприкосновенности оригиналов вещественных доказательств.
Это называется так же фиксацией состояния техники и информации на момент проведения следственных действий. Существуют и некоторые новые пути для решения этой проблемы, и некоторые эксперты могут доказать идентичность информации, представляемой как улики, той, что изначально находилась на изъятом компьютере. Но классический способ такой: делается копия для исследования, сам компьютер полностью опечатывается как вещественное доказательство. Затем изучается копия, и после этого на суде в присутствии суда и свидетелей нужная информация извлекается и демонстрируется.
Правило не использования компьютера, который был изъят
Раньше повсеместно нарушалось одно самое главное правило, а сейчас оно нарушается часто – правило запрета на работу с компьютерами, которые были изъяты для ведения следствия или специальных расследований. Включать эти компьютеры, работать с ними, открывать программы и файлы – нельзя. Такие объекты должны быть неприкосновенно переданы в руки сертифицированным специалистам компьютерной экспертизы.
Современные эксперты вынимают информацию из компьютеров, полностью сохраняя ее специальными средствами. Избавляют ее от влияния систем, на которых она использовалась, изолируют ее от возможных защит от проникновения и других специальных систем, и только тогда работают с ней, полностью независимо от того, какие условия использования информации наложил на нее ее прошлый пользователь.
Существуют самые разные средства защиты информации, которыми пользуются злоумышленники, хакеры, предприниматели разного уровня и вообще современные пользователи компьютеров. В специальных и криминогенных случаях эти защиты могут достигать высокого уровня, так как и на них, как и на обеспечение бизнеса, тратятся большие деньги.
Защита информация может заключаться в ее удалении при вводе пароля, в невозможности обычного включения техники, в невозможности безопасного открытия файлов, программ или проведения любых других действий. При попытке доступа информация может удаляться, меняться, или могут куда-то отправляться какие-то сигналы. Бывает, что изменение условий содержания уже так влияет на технику, что с ней что-то происходит, или с нее уже нельзя обычным способом получить информацию. Поэтому обращаться с техникой следует очень аккуратно, и для извлечения данных нужны внимательные действия экспертов, использующих специальные технологии.
В программных файлах операционной системы, например, можно так изменить команду отображения директорий, чтобы ее внешнее имя вызывало форматирование жесткого диска, удаление информации. После таких удалений информации у защиты появляется гораздо больше возможностей для опровержения подозрений и доводов обвинения.
Правило не допуска к компьютеру других лиц и средства защиты в этом случае
Еще одна распространенная ошибка – это допущение к изъятой компьютерной технике лиц, у которых эта техника была изъята. Или лиц, которые работали на ней ранее, или которые являются ее владельцами. Да и вообще любых лиц, не имеющих отношения к работе следствия.
Мы вроде бы только что говорили о том, что компьютер никто вообще не должен трогать до прихода квалифицированного эксперта. Как тогда может случиться такая вот ситуация? Во время следствия и во время ведения дознавательной деятельности, когда подозреваемый или другое лицо, которое помогает следствию, дает ему информацию, подвергается допросам, предлагает совершить какие-то действия с компьютером, чтобы помочь следствию.
Многие такие случаи уже известны – лица предлагают следствию помощь в том, чтобы разобраться с изъятой техникой, помочь получить важную информацию, включить, настроить, и так далее. В результате эти лица прямо в присутствии работников следствия и полиции могли удалить, модифицировать или зашифровать нужную информацию. О таких случаях затем узнавалось по рассказам самих злоумышленников.
Как видите, психологические и логические ловушки, на которых можно обмануть следствие, остаются, даже если мы и пользуемся всеми правилами, и их помним. Преступники предлагают «другие» причины для того, чтобы нарушить правила, они предлагают помочь и создают ситуации, в которых «ну это же можно и вам нужно».
Средством от таких акций является предварительная работа сертифицированных специалистов над изъятой компьютерной техникой. Вся информация должны быть сперва скопирована специальными средствами, и только затем к ней можно допускать посторонних лиц. Более того, этот ход дает возможности узнать, какие мотивы были у тех, кто получил доступ к изъятой технике. Так как специалисты могут увидеть, что сделали допущенные лица с информацией. Если заранее подготовиться к такой ситуации, то эксперты без труда докажут впоследствии факты совершения любых действий с информацией и техникой.
С участием материалов статьи Владимира Голубева «Некоторые вопросы расследования компьютерных преступлений», опубликованной на http://www.crime-research.org/library/Atlanta.html
sudexpa.ru
Программно-компьютерная экспертиза : Top Expert
Программно-компьютерная экспертиза представляет собой разновидность судебной компьютерно-технической экспертизы. С развитием компьютерной техники возникло новое направление совершаемых правонарушений, которые получили название преступлений в сфере компьютерной информации. В подобных преступлениях и не только для достижения цели используются средства компьютерной техники и программного обеспечения.
Основной целью программно-компьютерной экспертизы является установление причастности исследуемого программного комплекса к расследуемому преступному деянию. Также в результате анализа могут быть обнаружены следы совершенных противоправных действий. Предметом исследования данной экспертизы являются особенности разработки и применения программных средств компьютерной системы. Анализ может проводиться как по гражданским, так и по уголовным делам.
Объектами программно-компьютерной экспертизы являются следующие компоненты:
- Операционные системы (системное программное обеспечение).
- Утилиты (вспомогательные программы).
- Программные средства для разработки программного обеспечения, а также для его отладки.
- Прикладные программы, предназначенные для выполнения определенных функций – текстовые редакторы, электронные таблицы, программы для работы с двухмерной и трехмерной графикой, программы для создания презентаций, почтовые программы, чертежные редакторы и многое другое.
Поводом для назначения программно-компьютерной экспертизы может быть обоснованное подозрение на некорректную работу программного обеспечения, несовместимость двух и более программ, находящихся в одной цепи выполнения каких-либо операций и так далее.
Программно-компьютерная экспертиза широко применяется при расследовании уголовных дел, однако постепенно возрастает потребность в подобной исследовании и в других видах судопроизводства, что вызвано обширной компьютеризаций всех областей жизни. В настоящее время возникает множество гражданских дел, в том числе решаемых в арбитражных судах. Также большое количество дел связано с защитой прав потребителей, а также с нарушением авторских прав при распространении контрафактной продукции.
ЗАДАЧИ, КОТОРЫЕ РЕШАЮТСЯ С ПОМОЩЬЮ ПРОГРАММНО- КОМПЬЮТЕРНОЙ ЭКСПЕРТИЗЫ
Программно-компьютерная экспертиза решает широкий спектр задач, связанных со специфическими особенностями программно обеспечения, его разработки, внедрения, применения и так далее. Большое разнообразие задач, решаемых с помощью данного исследования, обусловлено тем, что компьютерные системы с соответствующим программным обеспечением применяются практически во всех областях деятельности человека. Основными задачами программно-компьютерной экспертизы являются:
- Установление общих характеристик исследуемого программного обеспечения, анализ его компонентного состава.
- Классификация отдельных системных или прикладных программных средств, входящих в представленное для проведения экспертизы программное обеспечение.
- Установление контрафактности (или наличия таковых признаков) программного обеспечения в целом или его компонентов.
- Установление специфических характеристик исследуемого программного обеспечения. Определяется тип программного обеспечения, его наименование, версия, разработчик, вид представления (удаленный, явный или скрытый).
- Установление данных владельца и разработчика исследуемого программного средства. Для юридических лиц устанавливаются реквизиты организации. Для физических лиц – данные, удостоверяющие личность.
- Определение файлового состава исследуемого программного обеспечения с указанием их параметров – даты создания, типа, размера (объема), прочих атрибутов.
- Установление функционального предназначения исследуемого программного средства.
- Выявление наличия на исследуемой компьютерной системе программного обеспечения, предназначенного для решения определенной задачи.
- Установление технических характеристик аппаратного средства, необходимых для нормального функционирования исследуемого программного обеспечения.
- Определение совместимости программного и аппаратного состава компьютерной системы и исследуемого программного обеспечения.
- Установление принадлежности данного класса задач к функциональным возможностям исследуемого программного обеспечения.
- Установление текущего состояния компьютерной системы, а именно программного обеспечения, уровень работоспособности системы и способность системы к реализации определенных задач.
- Установление конфигурации устройств ввода-вывода в данной компьютерной системе, оснащенной исследуемым программным обеспечением.
- Выявление в исследуемом программном обеспечении отклонения от стандартных параметров (наличие недокументированных функций, инфицирования и пр.).
- Установление наличия в исследуемом программном обеспечении программных или программно-аппаратных средств защиты от копировании и несанкционированного доступа.
- Определение алгоритмов представленного для исследования программного средства.
- Установление способа защиты программного обеспечения.
- Установление инструментов разработки исследуемого программного обеспечения (типов компиляторов, языка программирования, системных библиотек).
- Выявление скрытых кодов с первоначальной версией программы.
- Определение модификаций исходных алгоритмов.
- Установление применения специфических приемов алгоритмизации и программирования.
- Установление хронологии производства изменений в исследуемом программном обеспечении.
- Установление хронологии применения исследуемого программного средства, начиная с момента его установки и активации.
- Установление возможных последствий последующей эксплуатации представленного на экспертизу программного обеспечения.
- Установление возможности выполнения исследуемой программой заданных функций после внесения изменений.
МЕТОДЫ ПРОВЕДЕНИЯ ПРОГРАММНО-КОМПЬЮТЕРНОЙ ЭКСПЕРТИЗЫ
Методы исследования программного обеспечения, применяемые в ходе программно-компьютерной экспертизы, принято классифицировать, исходя из типа исследуемого объекта. Различают следующие группы методов:
- Методы анализа исходных кодов.
- Методы исследования программных алгоритмов.
- Методы изучения исполняемых кодов (загрузочных модулей).
Экспертиза загрузочных модулей базируется на исследовании программных средств с помощью основных методов, отслеживающих все прерывания, которые вызываются данной программой. Метод, используемый экспертом, должен точно соответствовать типу решаемой им задачи. Соответственно, для получения достоверного результата исследования, необходимо выбирать эксперта, обладающего высоким уровнем профессиональной компетенции и большим опытом проведения исследований.
При проведении анализа вредоносных программ (вирусов, червей и пр.) используют различные методы мониторинга – анализ файловых сигнатур (метод мониторинга дисковой памяти), сверка контрольных сумм (метод мониторинга оперативной памяти) и так далее.
ПОРЯДОК ПРОВЕДЕНИЯ ПРОГРАММНО-КОМПЬЮТЕРНОЙ ЭКСПЕРТИЗЫ
Процедура проведения программно-компьютерной экспертизы стандартна для всех подобных исследований. На первом этапе проводится консультация эксперта для определения разновидности экспертизы, предмета и задач исследования, а также стоимости и сроков его проведения.
На следующем этапе заключается договор с организацией на проведение экспертизы, после чего инициатор экспертизы передает специалисту программное средство на том носителе, на котором оно установлено, и всю имеющуюся документацию. В договор вносится предмет исследования, имеющиеся задачи исследования, поставленные перед экспертом вопросы, а также предполагаемые сроки окончания выполнения экспертизы. Далее специалист по производству исследования производит необходимые экспертные мероприятия и составляет экспертное заключение, которое является основным результатом проведения исследования и может быть представлено в качестве доказательства в ходе судебного разбирательства. В экспертное заключение вносится описание проведенного исследования, копии представленных документов и ответы на поставленные перед специалистом вопросы.
ПРАВОВАЯ БАЗА ДЛЯ ПРОВЕДЕНИЯ ПРОГРАММНО-КОМПЬЮТЕРНОЙ ЭКСПЕРТИЗЫ
Глава 28 Уголовного кодекса РФ описывает преступления в сфере компьютерной информации, а также меры наказания, назначаемые за подобные правонарушения. Глава содержит три статьи. Статья 272 регламентирует меры ответственности за незаконный доступ к закрытой компьютерной информации. Статья 273 предусматривает меры наказания за разработку, применение и распространение так называемых вредоносных программ, приводящих к уничтожению или блокированию информации в персональных компьютерах и производственных сетях. Статья 274 предписывает ответственность за несоблюдение техники использования персональных компьютеров, компьютерных систем или компьютерных сетей. Средствами программно-компьютерной экспертизы получается обоснование для вынесения решений по обозначенным в этой главе преступлениям.
ВОПРОСЫ, КОТОРЫЕ СТАВЯТСЯ ПЕРЕД СПЕЦИАЛИСТОМ ПО ПРОВЕДЕНИЮ ПРОГРАММНО-КОМПЬЮТЕРНОЙ ЭКСПЕРТИЗЫ
Полный список вопросов весьма обширен. В каждом конкретном случае проведения программно-компьютерной экспертизы перечень вопросов формируется в зависимости от конечной цели исследования и разновидности исследуемого программного обеспечения. Вопросы, задаваемые эксперту, базируются на задачах, решаемых в процессе осуществления исследования. В общем случае вопросы выглядят следующим образом:
- Каковы общие характеристики исследуемого программного обеспечения?
- Из каких компонентов состоит данное программное обеспечение?
- Какова классификационная принадлежность исследуемого программного обеспечения?
- Каковы характеристики файлов, составляющих исследуемое программное обеспечение (дата создания, тип, размер и пр.)?
- Как называется данное программное средство? Каков его тип? Кто является разработчиком?
- Какая версия программного обеспечения представлена для проведения экспертизы?
- Какова функциональная особенность исследуемого программного обеспечения?
- Присутствуют ли в данной компьютерной системе программные средства, предназначенные для выполнения конкретной функциональной задачи?
- Каковы должны быть аппаратные характеристики компьютерной системы, необходимые для корректной работы исследуемой программы?
- Совместима ли исследуемая программа с аппаратным состоянием компьютерной системы, а также с уже установленным на нем программным обеспечением?
- Использовалась ли данная программа для выполнения определенных функциональных задач?
- Работоспособно ли исследуемое программное обеспечение? каково его фактическое состояние?
- Как именно организована система ввода-вывода данных в исследуемом программном обеспечении?
- Обнаружены ли в исследуемом программном обеспечении отклонения от стандартных характеристик типовых аналогичных программ?
- Включены ли в структуру программного продукта средства защиты от копирования и несанкционированного доступа?
- Каков алгоритм организации защиты от копирования и несанкционированного доступа?
- Каков основной алгоритм, лежащий в основе исследуемого программного обеспечения?
- Какие основные инструментальные средства использовались при разработке данного программного продукта?
- Каковы реквизиты разработчика (владельца) представленного для проведения экспертизы программного обеспечения?
- Какова хронология внесения модификаций в исследуемое программное обеспечение?
- Какова хронология применения исследуемого программного обеспечения, начиная с момента установки?
- Каковы возможные последствия дальнейшего применения представленного для экспертизы программного продукта?
- Какова причина изменений в программном обеспечении – действия пользователя, влияние вредоносной программы, ошибки программной среды, сбой аппаратуры и пр.?
Уточняйте интересующий Вас вопрос по контактному телефону:
+7 (495) 127-09-35
+7 (916) 435-72-27
Консультация специалиста в офисе рядом с м. Охотный ряд осуществляется по предварительной записи с целью выбора наиболее удобного времени для Вас!
С Уважением,
Коллектив ЭКСПЕРТНО-ПРАВОВОГО ЦЕНТРА «TOP EXPERT».
anotopexpert.ru
Независимая экспертиза компьютера | Федерация Судебных Экспертов
Точная стоимость зависит от конкретного случая. Оставьте заявку или уточняйте по телефону.
4.3 / 5 ( голосов: 10 )
Экспертиза компьютера относится к разделу инженерно-технических экспертиз. Целью проведения данной экспертизы является определение статуса компьютера, его исправности и исправности в качестве информационного носителя. Кроме того, эксперт должен выявить, был ли компьютер поврежден покупателем или продавцом.
При проведении экспертизы компьютера учитываются несколько важных моментов, поэтому процедуру проводят в несколько этапов. В частности, вначале проводится визуальный осмотр средства на выявление царапин, вмятин на корпусе. Как правило, такие дефекты возникают при транспортировке и часто появляются по вине покупателя.
Затем эксперт должен выявить такой факт, как наличие заводского брака. То есть, важно выяснить были ли дефекты на корпусе причиной возникновения неполадок. Если экспертиза компьютера проводится в судебном порядке, то эксперт должен еще выявить роль средства в преступлении. Получается, что зависит от типа экспертизы.
Итак, на первом этапе применяется только визуальный осмотр, в ходе которого выявляются дефекты на корпусе. При этом под экспертизой компьютера понимается осмотр системного блока, монитора и прочих составляющих. К полной экспертизе прибегают обычно покупатели при возникновении неполадок сразу после покупки компьютера.
На втором этапе экспертизы компьютера используются технические средства для выявления скрытых дефектов. В этом случае изучаются электрические, механические системы, блоки, приборы и устройства, которые позволяют выявить данные системы в плане возникновения неполадок. Это довольно длительный процесс, так как требует использования нескольких методов.
Сроки
Какие сроки проведения экспертизы компьютера? Обычно все зависит от типа экспертизы. Иногда покупатель сам указывает на неполадку и хочет выявить ее причину. В этом случае на экспертизу уйдет гораздо меньше времени. Если круг вопросов для исследования не очерчивается, то эксперт проводит комплексную экспертизу.
При проведении исследования эксперт обязательно выявляет такой факт, как сроки эксплуатации компьютера и ее интенсивность. В зависимости от этого можно определить все интересующие вопросы, в частности и причины неполадок. Следует знать, что некоторые заводские браки выявляются только после интенсивной эксплуатации, поэтому эксперт в первую очередь должен выяснить этот факт.
Экспертиза компьютера может касаться его программной части. То есть будет рассматриваться программная разработка, которая использовалась в нем. Тестирование программного обеспечения требует выявление причин неполадок в ней. То есть любое исследование компьютера требует установление причины возникновения неисправности.
Диагностика
Диагностика неполадок производится при помощи их выявления и анализа. Например, компьютерно-сетевая диагностика включает проверку сетевых технологий. Экспертиза компьютера в этом случае довольно простая и не требует много времени, так как эксперт может выявить все составляющие неполадок и сбоев в системе. Однако для этого исследования эксперту понадобятся такие данные, как используемые телекоммуникационные и сетевые технологии.
Отдельно следует упомянуть и Интернет технологии. При исследовании этого аспекта может исследоваться компьютер, подключенный к сети Интернет, а также сеть компьютеров. Какими услугами сети пользовались при использовании Интернета, также немаловажный вопрос. Экспертиза компьютера в этом случае более объемна и требует внимания нескольких экспертов.
Все виды экспертизы компьютера сегодня проводятся комплексно, так как это позволяет выявить любые неполадки, которые можно будет отразить в экспертном заключении. В некоторых случаях заключение позволяет покупателю получить свои деньги обратно или провести качественный ремонт. Если экспертиза проводится в судебном порядке, то суд может предложить ряд вопросов для решения. В заключении эксперт указывает все ответы на вопросы.
Компании
В каком экспертном учреждении лучше проводить экспертизу компьютера? Дело в том, что в некоторых случаях суд назначает проведение экспертизы. В этом случае назначается и экспертное учреждение. Конечно, можно обратиться в любой другой центр, так как в государственном центре нужно выждать очередь, а также потратить около месяца на проведение экспертизы.
В независимом экспертном центре экспертиза проводится в момент обращения заказчика, а сроки выполнения всех работ зависит от определенного фронта работ. Если нужно проверить только одну составляющую экспертизы, то на это уходит всего два-три дня. Если экспертиза комплексная, то может потребоваться до недели времени. Но в любом случае эти сроки меньше, чем в государственном экспертном центре.
В нашем экспертном учреждении данный вид экспертизы проводится за сжатые сроки времени. В частности требуется всего семь дней на комплексное обследование компьютера. Для проведения проверки только одной составляющей требуется два дня. То есть сроки значительно меньше при высоком качестве исследования.
В нашем экспертном центре экспертизу компьютера проводит группа экспертов, так как это позволяет сэкономить время на исследование, а также сделать его более объективным. Эксперты делят работы по специализации, а затем суммируют полученные сведения. Такой подход, на наш взгляд, более эффективный и не требующий много времени. Кроме того, каждый специалист работает в своей области, что также улучшает качество исследования.
Таким образом, экспертиза компьютера включает в себя довольно емкое понятие, которое включает массу требований и факторов. Это исследование сегодня проводится комплексно, так как в этом случае повышаются шансы выявить все виды неполадок и неисправностей. Главное для проведения экспертизы — подобрать экспертный центр, где будут задействованы все возможные технические средства, а также будут работать квалифицированные специалисты.
Все статьи по теме «Экспертиза компьютера»
Цены
Экспертиза электробытовой техники | ||
---|---|---|
Экспертиза мобильного телефона | 1 штука | стоимость от 2 500 |
Экспертиза смартфона | стоимость от 2 500 | |
Экспертиза коммуникатора | стоимость от 2 500 | |
Экспертиза планшета | стоимость от 2 500 | |
Экспертиза компьютера | стоимость от 4 000 | |
Экспертиза ноутбука | стоимость от 4 000 | |
Экспертиза телевизора, в т.ч. ЖК, LED | стоимость от 3 000 | |
Экспертиза микроволновой печи СВЧ | стоимость от 3 000 | |
Экспертиза пылесоса | стоимость от 2 500 | |
Экспертиза стиральной машины | стоимость от 3 000 | |
Экспертиза холодильника, морозильной камеры | стоимость от 5 000 | |
Экспертиза фото и видео камеры | стоимость от 4 000 | |
Экспертиза музыкального центра | стоимость от 3 000 | |
Экспертиза посудомоечных машин | стоимость от 3 000 | |
Экспертиза видеомагнитофонов и плееров | стоимость от 2 500 | |
Экспертиза гладильных и сушильных машин | стоимость от 2 500 | |
Экспертиза кондиционеров | стоимость от 5 000 |
ПРИМЕЧАНИЕ:
Цена экспертизы электробытовой техники указана с учетом налогов. Транспортные расходы оплачиваются отдельно.
sud-expertiza.ru