Меню
Главная » Экспертизы » Компьютерно-техническая экспертиза

Компьютерно-техническая экспертиза

Компьютерно-техническая экспертиза  – самостоятельный род экспертиз, относящийся к классу инженерно-технических экспертиз, проводимый в целях: определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях  с последующим всесторонним ее исследованием.

Проводится по следующим направлениям: автоматизация, информационные системы и процессы, электроника, электротехника, радиотехника и связь, вычислительная техника (в том числе программирование) и др.

Исследование системного блока персонального компьютера проводится путем:

  • визуального осмотра внутренних аппаратных компонентов системного блока;
  • извлечения из системного блока жесткого диска;
  • подключения к системному блоку монитора, клавиатуры и манипулятора «мышь» и прерывания его загрузки для определения установок программы SETUP BIOS;
  • определения системной даты, времени компьютера, других конфигурационных установок в программе SETUP BIOS;
  • загрузки операционной системы с системной дискеты эксперта и диагностирования соответствующими программными средствами аппаратных компонентов системного блока (все выполняется без жесткого диска).

 

Исследование  носителей компьютерной информации проводится путем:

  • определения класса носителя (например, для компакт-дисков: CD-ROM, CD-R, CD-RW и др.);
  • определения интерфейса, состояния перемычек и переключателей (для НЖМД);
  • определения назначения носителя;
  • подключения к стендовому компьютеру исследуемого жесткого диска в качестве дополнительного диска;
  • определения основных технических параметров (номеров цилиндров, сторон (головок), секторов, количества секторов, размеров секторов и емкости);
  • выявления таблицы разделов диска с определением их основных характеристик (начало и конец раздела, тип файловой системы, идентификаторы и метки разделов, размер и количество кластеров);
  • определения логической адресации системных областей разделов (загрузочной записи, таблиц FAT и корневого каталога);
  • поиска признаков повреждения целостности структуры данных (несоответствие заявленных параметров раздела фактическим, наличие сбойных, потерянных и др. кластеров, отличия фактического размера файлов от размеров, записанных в каталоге, некорректно сохраненные имена каталогов и файлов и т.п.).

 

Исследование файлов проводится путем:

  • создания «зеркальной» копии всего содержимого носителя информации на вспомогательном носителе (посекторное копирование с фиксацией технических параметров формата носителя, например, используются программы типа Disk Edit (Symantec Norton Utilities);
  • при невозможности создания вспомогательного носителя, перед подключением исследуемого жесткого диска к стендовому компьютеру, необходимо отключить все резидентные программы, загружаемые в ОС Windows и производящие операции записи на диск. Исследуемый диск должен быть установлен в системе как дополнительный съемный диск. Все файлы с исследуемого диска копируются на диск стендового компьютер. После отключается исследуемый диск, и проводиться исследование скопированных файлов на рабочем жестком диске стендового компьютера;
  • определения основных количественных параметров каталогов и файлов, содержащихся на носителе (с разбиением по логическим дискам);
  • определения основных статистических параметров и временных атрибутов каталогов и файлов;
  • определения соответствия дат создания и редактирования файлов системному времени компьютера и общей ситуации проведения экспертизы;
  • определения перечня программного обеспечения, содержащегося на магнитном носителе (уставленное программное обеспечение и дистрибутивы) с указанием назначения программ, названия программ, типовых расширений файлов, с классификацией по разделам (операционные системы, архиваторы, антивирусы, работа в Интернет, работа с графикой, работа со звуком, языки программирования, работа со сканером и распознавание текста, программы переводчики, игры и т.д.);
  • выделения общедоступных и предположительно подготовленных пользователем файлов данных (с указанием каталогов и программ подготовки файлов);
  • определения общего объема файлов данных;
  • выделения защищенной от несанкционированного доступа информации (зашифрованные диски и файлы, электронные сжатые диски, защищенные паролями архивы и др.);
  • поиска удаленных файлов и остаточной информации (например, с помощью программ Unerase, DiskEdit (Symantec Norton Utilities ) и т.п.);
  • выделения файлов, представляющих интерес для экспертизы;
  • определения содержимого и атрибутов файлов операционной системы, характеризующих работу пользователя в операционной системе, в локальных и глобальных сетях;
  • поиска программ (файлов), содержащих признаки заражения компьютерными вирусами (например, с использованием программ AVP, Dr.Web и пр.).

 

Поиск признаков выполнения несанкционированных действий или использования специальных программ удаленного администрирования производится путем:

  • поиска программ, предназначенных для подбора паролей, и результатов их работы (файлов результатов и файлов настроек программ);
  • поиска фактов работы с использованием чужих учетных записей или других системных ресурсов;
  • установления содержимого рукописных и печатных материалов, текстовых файлов и файлов электронной почты;
  • поиска программ с деструктивными (вредоносными) функциями и их экспериментального исследования на стендах, моделирующих предполагаемые условия их функционирования;
  • выявления текстовых файлов, содержащих ключевые слова;
  • выявления пользовательских файлов (звуковых, графических, текстовых, исполняемых модулей), имеющих отношение к заданной тематике (обстоятельствам дела);
  • уяснения диагностических параметров настройки программ (регистрационные имя пользователя и название организации в программах подготовки документов Microsoft Office или системах программирования);
  • исследования защищенных паролями файлов;
  • определения особенностей подготовки текстового файла с учетом среды подготовки, регистрационных параметров использовавшегося текстового редактора, времени создания документа, времени редактирования и количества редакций (в режиме автосохранения и по команде пользователя), внесенных изменений, наличия макрокоманд и макровируса в тексте и пр.;
  • выявления и определения назначения программ с минимальным пользовательским интерфейсом и не содержащих пояснительных указаний и комментариев (с установлением относящихся к этим программам файлов данных);
  • сравнительного исследования нескольких версий программ, конфигурационных файлов (настроек) и файлов данных;
  • изучения протоколов работы пользователя (или программ) и интерпретации их действий;
  • определения работоспособности и уточнения фактически выполняемых функций программ с рекламируемыми и заявленными свойствами;
  • выявления и уточнения назначения программ управления другими аппаратными средствами, подключаемыми и используемыми с представленным компьютером;
  • уяснения настройки кодовых таблиц (или переустановки всей операционной системы на стендовом компьютере) для исследования файлов на национальных языках.