Сайт работает в тестовом режиме

Государственный комитет судебных экспертиз
Республики Беларусь

Объективность. Честь. Отечество.

Официальный сайт

Компьютерно-техническая экспертиза

Объекты

Объекты: персональные компьютеры; любые машинные носители информации, периферийные устройства, сетевые аппаратные средства, интегрированные системы, любые комплектующие всех указанных компонентов (аппаратные блоки, машинные носители информации, платы расширения и др.), программы для ЭВМ, алгоритмы, исходные тексты программ, текстовые и графические документы (в электронной форме), изготовленные с использованием компьютерных средств, данные в форматах мультимедиа; информация в форматах баз данных, журналы (протоколы) работы специализированных программ, других приложений прикладного характера.

Задачи

  • определение статуса объекта как компьютерного средства, выявление и изучение его роли в интересующем событии, а также получение доступа к информации на носителях данных с последующим всесторонним ее исследованием;
  • определение вида (типа, марки), свойств аппаратного средства, а также его технических и функциональных характеристик;
  • определение фактического состояния и исправности аппаратного средства, наличия физических дефектов;
  • определение основных характеристик операционной системы;
  • выявление и исследование функциональных свойств, а также настроек программного обеспечения, времени его инсталляции;
  • определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров (объемы, даты создания, атрибуты), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций);
  • диагностирование алгоритма программного продукта, видов использованных при его разработке инструментальных средств;
  • установление первоначального состояния программы (например, при начальной инсталляции) и выявление возможных последующих изменений;
  • выявление структуры механизма события по результатам работы программного обеспечения и в динамике;
  • установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями;
  • идентификационные задачи, связанные с индивидуальным отождествлением оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;
  • отождествление содержания файла с данными в копии исследуемого файла либо в представленном документе (в т.ч. в бумажной копии в комплексе с технико-криминалистическим исследованием документов).

Требования к материалам, направляемым на экспертизу

При постановке вопросов необходимо использовать устоявшийся понятийный аппарат, исключающий жаргонные и полупрофессиональные термины («винчестер», «логи», «взлом» и др.). В случае отсутствия терминов, определенных законодательными или нормативными актами, необходимо использовать те термины, которые употребляют разработчики технических средств, программных продуктов в документации, описаниях, справках и др.

Формулировка вопроса не должна касаться этапов исследования информации (описание характеристик носителей информации и особенностей размещения информации на них, восстановление и исследование информации среди удаленных файлов являются обязательным этапом исследования информации).

Поиск «информации»

Поиск на компьютерном носителе документов, изображений, сообщений и иной интересующей информации, в том числе в неявном (удаленном, скрытом, зашифрованном) виде.

В связи с большим объемом информации, как правило, невозможно распечатать и приложить к заключению все имеющиеся на носителе текстовые и графические файлы, содержимое баз данных с тем, чтобы потом заказчик экспертизы решил, что из найденного относится к делу. Поэтому необходимо определять критерии поиска – ключевые слова, или ограничивать рамки поиска типом файлов.

Вопросы, решаемые компьютерно-технической экспертизой в данной области
  • Имеются ли на носителе представленного на исследование системного блока персонального компьютера файлы, в том числе удаленные, содержащие информацию о ... (указать конкретные ключевые слова для поиска – названия организаций, фамилии и др.)?
  • Имеются ли на носителе представленного на исследование системного блока персонального компьютера графические файлы, в том числе удаленные, содержащие изображения денежных билетов, купюр и др.?

Поиск «цифровых» следов

Когда компьютер используется как средство доступа к информации, находящейся в ином месте, и когда доступ к информации осуществляется на этом компьютере, в обоих случаях остаются «цифровые» следы, следы в виде компьютерной информации. Компьютерно-техническая экспертиза может определить, когда, при каких условиях и каким образом осуществлялся доступ. Кто его осуществлял экспертиза определить не может. Лишь в некоторых случаях эксперту удается обнаружить некоторые сведения о пользователе исследуемого компьютера.

Действия, которые оставляют следы на компьютере или на носителе информации, включают: доступ к информации, ее просмотр, ввод, изменение, удаление, любую другую обработку или хранение, а также удаленное управление этими процессами.

Вопросы, решаемые компьютерно-технической экспертизой в данной области
  • Имеются ли на запоминающем устройстве установленные программы, предназначенные для шифрования информации?
  • Имеется ли на исследуемых объектах интересующая информация (в том числе в неявном, удаленном, скрытом или зашифрованном виде)?
  • Возможен ли с помощью представленных для исследования объектов исследования выход в сеть Интернет?
  • Имеется ли на запоминающем устройстве представленного на исследование системного блока информация о реквизитах для доступа к ресурсам сети Интернет?
  • Имеются ли на носителе представленного на исследование системного блока персонального компьютера журналы работы программ, предназначенных для просмотра сайтов в сети Интернет? Если, да то ссылки на какие сайты в сети Интернет в них имеются?
  • Имеются ли на носителях информации представленных на исследование системных блоков ПЭВМ журналы работы программ обмена сообщениями в сети Интернет? Если да, то какие сообщения в них содержатся?

Анализ программ

Анализ программ для ЭВМ с целью определения их функциональности и следов их использования, принципа действия, вероятного их источника, происхождения сведений об авторе, наличия вредоносных признаков, их принадлежности к средствам преодоления технических средств защиты авторского права (ТСЗАП) и др.

Часто при этом необходимо более глубокое исследование программ. То есть исследование не просто их свойств и функциональности, а происхождения, особенностей взаимодействия с другими программами, процесса создания, сопоставление версий. Такое глубокое исследование подразумевает дизассемблирование программы, запуск под отладчиком (пошаговое исполнение), исследование структуры данных. В таком случае рекомендуется заказать проведение двух отдельных экспертиз, первая изучает содержимое компьютерных носителей, а вторая – особенности обнаруженных программ.

Вопросы, решаемые компьютерно-технической экспертизой в данной области
  • Какие программные продукты содержатся на представленных носителях?
  • Какие сведения о наименовании, разработчике и версии они содержат?
  • Соответствуют ли они представленному эталонному образцу?
  • Имеются ли свидетельства использования установленных на диске программ (созданные с помощью программ документы, наличие информации в базах данных, файлы-протоколы работы и др.)?
  • Имеются ли признаки модификации программного обеспечения для обхода технических средств защиты авторского права?
  • Каково предположительное время установки и модификации программного обеспечения?
  • К какой именно информации осуществлялся доступ? (для последующего решения вопроса, является ли она охраняемой законом компьютерной информацией)
  • Предпринимал ли обладатель информации, к которой был осуществлен доступ, какие-либо меры для ее защиты и ограничения доступа? (для решения вопроса о конфиденциальности этой информации)
  • Является ли данный способ доступа общепринятым способом для публичных сетевых ресурсов?

Установление временной последовательности

Благодаря наличию у компьютера внутренних энергонезависимых часов и приостановлению в различных местах временных меток, становится возможным определить, когда и в какой последовательности пользователь производил различные действия.

Если внутренние часы компьютера были переведены вперед или назад (в том числе неоднократно), все равно имеются возможности восстановить правильное время и правильную последовательность событий. Перевод часов компьютера сам по себе оставляет следы. А если еще было и сетевое взаимодействие, то есть возможность сопоставить моменты событий, зафиксированных данным компьютером, с событиями по иным источникам и выяснить сдвиг внутренних часов.

Задача выполнима даже в том случае, если системный блок, содержащий внутренние часы, не находится в распоряжении экспертизы. Только по носителю информации можно получить кое-какие сведения о последовательности событий. Чем больше информации на носителе, тем полнее будет восстановлена картина.

Вопрос, решаемый компьютерно-технической экспертизой в данной области
  • Какие действия совершены с использованием объектов, их временя и последовательность?

Установление следов контрафактности

Зачастую указанные экспертизы являются комплексными. Для проведения исследования некоторых предметов, входящих в комплект поставки программного продукта, таких как коробка, карточка с текстом лицензионного соглашения, сертификат подлинности, регистрационная карта, компакт-диск с элементами защиты, документация в печатном виде, требуется назначение технико-криминалистической экспертизы документов. А иногда также требуется проведение фоноскопических или трасологических экспертиз.

При проведении экспертизы, касающейся контрафакта, всегда требуется представление эталонного образца программного обеспечения для сравнительного исследования.

Вопросы, решаемые компьютерно-технической экспертизой в данной области
  • Какие программные продукты содержатся на представленных носителях?
  • Какие сведения о наименовании, разработчике и версии они содержат?
  • Соответствуют ли они представленному эталонному образцу?
  • Имеются ли свидетельства использования установленных на диске программ (созданные с помощью программ документы, наличие информации в базах данных, файлы-протоколы работы др.)?
  • Имеются ли признаки модификации программного обеспечения для обхода технических средств защиты авторского права?
  • Каково предположительное время установки и модификации программного обеспечения?