6. Использовались ли для ограничения доступа к информации пароли, скрытые файлы, программы защиты и пр.? Каково содержание скрытой информации? Не предпринимались ли попытки подбора паролей, взлома защитных средств и иные попытки несанкционированного доступа?

7. Возможно ли восстановление стертых файлов? Возможно ли восстановление дефектных магнитных носителей информации? Каково содержание восстановленных файлов?

8. Каков механизм утечки информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных?

9. Имеются ли сбои в функционировании компьютера, работе отдельных программ? Каковы причины этих сбоев? Не вызваны ли сбои в работе компьютера влиянием вируса (какого)? Распространяется ли негативное влияние вируса на большинство программ или он действует только на определенные программы? Возможно ли восстановить в полном объеме функционирование данной программы (текстового файла), поврежденного вирусом?

10. Каково содержание информации, хранящейся на пейджере, в электронной записной книжке и пр.? Имеется ли в книжке скрытая информация и каково ее содержание?

11. Когда производилась последняя корректировка данного файла или инсталляция данного программного продукта?

12. Каков был уровень профессиональной подготовки в области программирования и работы с компьютерной техникой лица, произведшего данные действия с компьютером и программным обеспечением?

3. Вопросы идентификационного характера, разрешаемые компьютерно-технической экспертизой:

1. Имеют ли комплектующие компьютера (печатные платы, магнитные носители, дисководы и пр.) единый источник происхождения?

2. Не написана ли данная компьютерная программа определенным лицом (решается комплексно при производстве компьютерно-технической и автороведческой экспертиз)?

Кроме приведенного выше перечня вопросов, разрешаемых компьютерно-технической экспертизой, для использования на практике, в зависимости от объекта исследования и конкретной обстановки, можно привести дополнительные примеры, расширяющие перечень вопросов, подлежащих выяснению при исследовании таких объектов, как носители информации, программное обеспечение, базы данных и аппаратное обеспечение ЭВМ.

8.3.3 Перечень вопросов, разрешаемых при исследовании носителей

машинной информации

При исследовании носителей машинной информации разрешаются следующие вопросы:

1. Каков тип носителя, его технические характеристики (на каких типах ЭВМ может быть использован, максимально допустимая емкость записи и пр.)?

2. Имеет ли носитель механические повреждения?

3. Как размечен носитель, в каком формате информация записана на него?

4. Какая информация записана на данный носитель?

5. Как информация физически размещена на носителе (для лент - последовательность записи, для дисков - сектора, дорожки, цилиндры и пр.)?

6. Как информация размещена логически на носителе (файлы, каталоги, логические диски)?

7. Имеются ли повреждения информации (плохие сектора, потерянные блоки и пр.)?

8. Возможна ли коррекция информации на носителе?

9. Имеется ли на носителе компьютерный вирус, если да, то какой, какие изменения вносит и возможна ли его нейтрализация без ущерба для информации?

10. Являются ли изменения на носителе результатом действия вируса?

11. Возможно ли копирование информации с данного носителя и возможно ли физическое копирование носителя в целом?

12. При повреждении носителя возможно ли восстановление информации?

13. Какая информация ранее была записана на данный носитель (отмечена как стертые файлы) и возможно ли ее восстановление?

14. Какой объем занимает вся информация на носителе, ее отдельные части и сколько имеется свободного места?

15. Какое время занимает копирование данной информации с учетом типа ЭВМ?

16. Требуются ли для работы с информацией на носителе специальные аппаратные или программные средства дешифрации и перекодировки?

17. Нет ли на носителе специальных программ, уничтожающих информацию в случае несанкционированного доступа, отсутствия ключей и паролей или использования на другом компьютере, стоит ли счетчик возможных инсталляций и другие средства защиты, возможен ли их обход и каким образом?

8.3.4 Перечень вопросов, разрешаемых при исследовании

программного обеспечения

Под программным обеспечением (программами для ЭВМ) понимается совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата.

Программное обеспечение обычно хранится на магнитных, оптических или электронных (непосредственно установлено в микросхемах памяти компьютера) носителях машинной информации и управляет работой вычислительной системы. Кроме того, коды программ, входные, выходные и промежуточные данные могут находиться на бумажном носителе (перфолента, перфокарта). Вся информация, относящаяся к программному обеспечению, независимо от формы носителя, является объектом экспертизы и должна быть представлена эксперту.

При исследовании программного обеспечения разрешаются следующие вопросы:

1. Каково назначение данного программного обеспечения?

2. Кто разработчик данного обеспечения?

3. Каким образом данное программное обеспечение распространяется, кто является владельцем данной копии, имеется ли лицензия или разрешение на использование данного продукта. Каков серийный номер данной копии программного обеспечения?

4. С какими входными и выходными данными оно работает, каким образом и в какой форме эти данные вводятся в ЭВМ, создаются ли (а если создаются, то где) временные файлы и файлы статистики и их содержание, в какой форме выдается, где хранится или куда передается выходная информация?

5. Требует ли данная программа при своей работе ввода паролей и наличия ключей (дискет, заглушек и пр.). Если требует, то каким образом они хранятся и кодируются, имеется ли возможность прочитать файл с паролем с помощью простейших редакторов?

6. Возможен ли обход паролей при запуске программы через отладчик?

7. Имеются ли на машинном носителе исходные коды программ на языке программирования?

8. Когда последний раз вносились изменения в программу (например, по дате и времени создания или внесения изменений в файлы)?

9. Имеются ли в программе изменения по сравнению с исходной версией, что было изменено, к каким последствиям данные изменения приводят?

10. Имеются ли в программе враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети? Каким образом эти функции осуществляются и к каким последствиям приводят?

11. Возможно ли самопроизвольное распространение данной программы, т.е. является ли данная программа компьютерным вирусом?

12. Возможно ли осуществление копирования информации или требуется инсталляция?

13. Были ли внесены в программу изменения, направленные на преодоление защиты?

14. Количественные (занимаемый объем, требуемое количество дискет, количество файлов и пр.) и качественные (назначение конкретных файлов, требование к оборудованию и пр.) характеристики программы?

15. Соответствие алгоритма работы конкретной программы требованиям, указанным в техническом задании или заявленных в инструкции по эксплуатации?

16. Имеются ли ошибки при проведении расчетов с помощью данной программы (правильно ли происходит округление чисел, правильный ли алгоритм расчета конкретных данных и пр.?

17. Определить тип ЭВМ (системы ЭВМ), совместимый с программным и аппаратным обеспечением данного компьютера, если ее нет, то каким образом это влияет на нормальную работу программы?

18. Имеется ли полная совместимость конкретного программного обеспечения с другими программами, выполняемыми на данном компьютере, если нет, то каким образом это влияет на нормальное функционирование системы?

8.3.5 Перечень вопросов, разрешаемых при исследовании баз данных

Под базами данных понимается форма представления и организации совокупности данных (статей, расчетов и т.д.), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ. С точки зрения организации базы данных могут представлять собой информацию в текстовых файлах и информацию в файлах со специальной структурой, которые обрабатываются специальными программами (системами управления базами данных, сокращенно СУБД), именно их в компьютерной терминологии называют базами данных.

Базы данных обычно хранятся на магнитных, оптических или электронных носителях машинной информации, а также могут быть непосредственно установлены в микросхемах памяти компьютера. Кроме того, коды баз данных, входные, выходные и промежуточные данные могут находиться на бумажном носителе (распечатки исходных текстов программ баз данных, перфолента, перфокарта). Вся информация, относящаяся к базам данных, независимо от формы носителя, является объектом экспертизы и должна быть представлена эксперту.

Перечень вопросов:

1. Каким образом организована база данных?

2. В каком формате записана информация и какие СУБД могут ее обрабатывать?

3. Какая информация записана в данной базе?

4. Информация в базе записана обычным образом или закодирована?

5. Когда последний раз обновлялась информация?

6. Имеются ли в данной базе скрытые (помеченные для удаления) поля и их содержание?

7. Имеются ли повреждения или изменения в записях базы по сравнению с эталоном или резервной копией, если да, то какие?

8. Сколько записей в базе?

9. Имеется ли в данной базе запись конкретного содержания?

10. Возможно ли внести изменение в данную базу с помощью простейших программных средств (например, текстовых редакторов и пр.)?

8.3.6 Перечень вопросов, разрешаемых при исследовании аппаратного

обеспечения ЭВМ

Под аппаратным обеспечением ЭВМ понимается комплекс технических средств, предназначенных для автоматизированной обработки информации, обеспечения хранения и передачи ее по каналам связи, ведения диалога с пользователем и выполнения других функций в составе компьютерной системы. Аппаратное обеспечение в свою очередь подразделяется на следующие устройства:

1. Центральные устройства ЭВМ (центральный процессор; оперативное и постоянное запоминающие устройства; системную шину; другие устройства для обеспечения работы вычислительной системы - контроллеры, таймер, тактовый генератор, различные буферы и пр.).

2. Периферийные устройства (видеоподсистема; накопители различных типов; устройства вывода информации; устройства ввода информации; устройства организации ЛВС и телекоммуникации; другие устройства, сопряженные с компьютером и которые функционируют под его управлением).

3. Вспомогательные устройства (устройства электропитания; различные фильтры - сетевые, экранные и пр.; аппаратура защиты, работающая автономно от центрального процессора - генераторы помех и пр.).

Вопросы, которые необходимо поставить экспертам:

1. Каковы тип устройства и его технические характеристики?

2. Исправно ли данное устройство или нет, тип неисправности (отказ или сбой), как она влияет на работу системы в целом?

3. Полностью ли совместимы между собой компоненты данного устройства, если нет, то как это сказывается на его работе?

4. Полностью ли совместимо данное устройство с каким-либо конкретным устройством, если нет, то как сказывается это на их работе?

5. Имеются ли на устройстве следы ремонта, повреждений, демонтажа микросхем, замены блоков?

6. Соответствует ли комплектация устройства технической документации, если нет, то какие компоненты были изменены, демонтированы?

7. Нет ли в данном устройстве дополнительных блоков (жучков) с враждебными функциями, если есть, то каково их предназначение?

8. Возможно ли на данном оборудовании решать какие-либо конкретные задачи?

9. Какой уровень излучений у данного устройства, возможен ли его прием специальными техническими средствами для последующей расшифровки информации, если возможен, то на каком расстоянии?

10. Возможно ли отключение аппаратных средств защиты и как это влияет на работу системы?

11. Соблюдались ли правила эксплуатации?

12. Могла ли данная проблема возникнуть в результате несоблюдения правил технической эксплуатации?

Следует отметить, что приведенные выше вопросы носят рекомендательный характер. Конкретность их постановки будет зависеть от фабулы преступления.

Контрольные вопросы

1. Какова следовая картина преступлений, сопряженных с использованием компьютерных средств?

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32