Дзяржаўны камітэт судовых экспертыз
Рэспублікі Беларусь

Аб'ектыўнасць. Гонар. Айчына.

Афіцыйны сайт

Камп’ютарна-тэхнічная экспертыза

Аб’екты

  • персанальныя камп’ютары;
  • любыя машынныя носьбіты інфармацыі, перыферыйныя прылады, сеткавыя апаратныя сродкі, інтэграваныя сістэмы, любыя камплектуючыя ўсіх названых кампанентаў (апаратныя блокі, машынныя носьбіты інфармацыі, платы пашырэння і інш.), праграмы для ЭВМ, алгарытмы, зыходныя тэксты праграм, тэкставыя і графічныя дакументы (у электроннай форме), вырабленыя з выкарыстаннем камп’ютарных сродкаў, даныя ў фарматах мультымедыя;
  • інфармацыя ў фарматах баз даных, журналы (пратаколы) працы спецыялізаваных праграм, іншых дадаткаў ужытковага характару.

Задачы

  • вызначэнне статусу аб’екта як камп’ютарнага сродку, выяўленне і вывучэнне яго ролі ў падзеі, якая цікавіць, а таксама атрыманне доступу да інфармацыі на носьбітах даных з наступным усебаковым яе даследаваннем;
  • вызначэнне віду (тыпу, маркі), уласцівасцяў апаратнага сродку, а таксама яго тэхнічных і функцыянальных характарыстык;
  • вызначэнне фактычнага стану і спраўнасці апаратнага сродку, наяўнасці фізічных дэфектаў;
  • вызначэнне асноўных характарыстык аперацыйнай сістэмы;
  • выяўленне і даследаванне функцыянальных уласцівасцяў, а таксама наладак праграмнага забеспячэння, часу яго інсталяцыі;
  • вызначэнне фактычнага стану праграмнага аб’екта, складу файлаў, якія яму адпавядаюць, і іх параметраў (аб’ёмы, даты стварэння, атрыбуты), спосабаў уводу-вываду інфармацыі, наяўнасці ці адсутнасці якіх-небудзь адхіленняў ад тыпавых параметраў (напрыклад, недакументаваных функцый);
  • дыягнаставанне алгарытму праграмнага прадукту, відаў выкарыстаных пры яго распрацоўцы інструментальных сродкаў;
  • вызначэнне першапачатковага стану праграмы (напрыклад, пры пачатковай інсталяцыі) і выяўленне магчымых наступных змен;
  • выяўленне структуры механізму падзеі па выніках працы праграмнага забеспячэння і ў дынаміцы;
  • вызначэнне прычыннай сувязі паміж дзеяннямі карыстальніка камп’ютарнай сістэмы ў дачыненні да праграмнага забеспячэння і надышоўшымі наступствамі;
  • ідэнтыфікацыйныя задачы, звязаныя з індывідуальным атаясамленнем арыгінала праграмы (інсталяцыйнай версіі) і яе копіі на носьбітах даных камп’ютарнай сістэмы;
  • атаясамленне зместу файла з данымі ў копіі файла, які даследуецца, або ў прадстаўленым дакуменце (у т. л. у папяровай копіі ў комплексе з тэхніка-крыміналістычным даследаваннем дакументаў).

Патрабаванні да матэрыялаў, якія накіроўваюцца на экспертызу

Пры пастаноўцы пытанняў неабходна выкарыстоўваць сталы паняццевы апарат, які выключае жаргонныя і паўпрафесійныя тэрміны («вінчэстар», «логі», «узлом» і інш.). У выпадку адсутнасці тэрмінаў, вызначаных заканадаўчымі ці нарматыўнымі актамі, неабходна выкарыстоўваць тыя тэрміны, якія ўжываюць распрацоўшчыкі тэхнічных сродкаў, праграмных прадуктаў у дакументацыі, апісаннях, даведках і інш.

Фармуліроўка пытання не павінна тычыцца этапаў даследавання інфармацыі (апісанне характарыстык носьбітаў інфармацыі і асаблівасцяў размяшчэння інфармацыі на іх, аднаўленне і даследаванне інфармацыі сярод выдаленых файлаў з’яўляюцца абавязковым этапам даследавання інфармацыі).

Пошук «інфармацыі»

Пошук на камп’ютарным носьбіце дакументаў, выяў, паведамленняў і іншай інфармацыі, якая цікавіць, у тым ліку ў невідавочным (выдаленым, схаваным, зашыфраваным) выглядзе.

У сувязі з вялікім аб’ёмам інфармацыі, як правіла, немагчыма надрукаваць і прыкласці да заключэння ўсе наяўныя на носьбіце тэкставыя і графічныя файлы, змест баз даных з тым, каб пасля заказчык экспертызы вырашыў, што са знойдзенага належыць да справы. Таму неабходна вызначаць крытэрыі пошуку – ключавыя словы, ці абмяжоўваць рамкі пошуку тыпам файлаў.

Пытанні, якія вырашаюцца камп’ютарна-тэхнічнай экспертызай у дадзенай вобласці
  • Ці ёсць на носьбіце прадстаўленага на даследаванне сістэмнага блока персанальнага камп’ютара файлы, у тым ліку выдаленыя, якія змяшчаюць інфармацыю пра ... (пазначыць канкрэтныя ключавыя словы для пошуку – назвы арганізацый, прозвішчы і інш.)?
  • Ці ёсць на носьбіце прадстаўленага на даследаванне сістэмнага блока персанальнага камп’ютара графічныя файлы, у тым ліку выдаленыя, якія змяшчаюць выявы грашовых білетаў, купюр і інш.?

Пошук «лічбавых» слядоў

Калі камп’ютар выкарыстоўваецца як сродак доступу да інфармацыі, якая знаходзіцца ў іншым месцы, і калі доступ да інфармацыі ажыццяўляецца на гэтым камп’ютары, у абодвух выпадках застаюцца «лічбавыя» сляды, сляды ў выглядзе камп’ютарнай інфармацыі. Камп’ютарна-тэхнічная экспертыза можа вызначыць, калі, пры якіх умовах і якім чынам ажыццяўляўся доступ. Хто яго ажыццяўляў экспертыза вызначыць не можа. Толькі ў некаторых выпадках у эксперта атрымліваецца выявіць некаторыя звесткі пра карыстальніка камп’ютара, які даследуецца.

Дзеянні, якія пакідаюць сляды на камп’ютары ці на носьбіце інфармацыі, уключаюць: доступ да інфармацыі, яе прагляд, увод, змену, выдаленне, любую іншую апрацоўку ці захоўванне, а таксама аддаленае кіраванне гэтымі працэсамі.

Пытанні, якія вырашаюцца камп’ютарна-тэхнічнай экспертызай у дадзенай вобласці
  • Ці ўсталяваныя на запамінальнай прыладзе праграмы, прызначаныя для шыфравання інфармацыі?
  • Ці ёсць інфармацыя, якая цікавіць, на аб’ектах даследавання (у тым ліку ў невідавочным, выдаленым, схаваным ці зашыфраваным выглядзе)?
  • Ці магчымы з дапамогай прадстаўленых для даследавання аб’ектаў даследавання выхад у сетку Інтэрнэт?
  • Ці ёсць на запамінальнай прыладзе прадстаўленага на даследаванне сістэмнага блока інфармацыя аб рэквізітах для доступу да рэсурсаў сеткі Інтэрнэт?
  • Ці ёсць на носьбіце прадстаўленага на даследаванне сістэмнага блока персанальнага камп’ютара журналы працы праграм, прызначаных для прагляду сайтаў у сетцы Інтэрнэт? Калі, так то спасылкі на якія сайты ў сетцы Інтэрнэт у іх ёсць?
  • Ці ёсць на носьбітах інфармацыі прадстаўленых на даследаванне сістэмных блокаў ПЭВМ журналы працы праграм абмену паведамленнямі ў сетцы Інтэрнэт? Калі так, то якія паведамленні ў іх змяшчаюцца?

Аналіз праграм

Аналіз праграм для ЭВМ з мэтай вызначэння іх функцыянальнасці і слядоў іх выкарыстання, прынцыпу дзеяння, магчымай іх крыніцы, паходжання звестак аб аўтары, наяўнасці шкодных прыкмет, іх прыналежнасці да сродкаў пераадолення тэхнічных сродкаў абароны аўтарскага права (ТСААП) і інш.

Часта пры гэтым неабходна глыбейшае даследаванне праграм. Гэта значыць даследаванне не проста іх уласцівасцяў і функцыянальнасці, а паходжання, асаблівасцяў узаемадзеяння з іншымі праграмамі, працэсу стварэння, супастаўленне версій. Такое глыбокае даследаванне мяркуе пад сабой дызасэмбляванне праграмы, запуск пад наладчыкам (пакрокавае выкананне), даследаванне структуры даных. У такім разе рэкамендуецца замовіць правядзенне дзвюх асобных экспертыз: першая вывучае тое, што знаходзіцца на камп’ютарных носьбітах, а другая – асаблівасці выяўленых праграм.

Пытанні, якія вырашае камп’ютарна-тэхнічная экспертыза ў дадзенай вобласці
  • Якія праграмныя прадукты знаходзяцца на прадстаўленых носьбітах?
  • Якія звесткі пра назву, распрацоўшчыка і версію яны змяшчаюць?
  • Ці адпавядаюць яны прадстаўленаму эталоннаму ўзору?
  • Ці ёсць сведчанні выкарыстання ўсталяваных на дыску праграм (створаныя з дапамогай праграм дакументы, наяўнасць інфармацыі ў базах даных, файлы-пратаколы працы і інш.)?
  • Ці ёсць прыкметы мадыфікацыі праграмнага забеспячэння для абыходу тэхнічных сродкаў абароны аўтарскага права?
  • Якім быў прыкладны час усталявання і мадыфікацыі праграмнага забеспячэння?
  • Да якой менавіта інфармацыі ажыццяўляўся доступ? (для далейшага вырашэння пытання, ці з’яўляецца яна падахоўнай законам камп’ютарнай інфармацыяй)
  • Ці рабіў уладальнік інфармацыі, да якой быў ажыццёўлены доступ, якія-небудзь захады для яе абароны і абмежавання доступу? (для вырашэння пытання пра канфідэнцыяльнасць гэтай інфармацыі)
  • Ці з’яўляецца дадзены спосаб доступу агульнапрынятым спосабам для публічных сеткавых рэсурсаў?

Вызначэнне часавай паслядоўнасці

Дзякуючы наяўнасці ў камп’ютара ўнутранага энерганезалежнага гадзінніка і прыпыненню ў розных месцах часавых метак, становіцца магчымым вызначыць, калі і ў якой паслядоўнасці карыстальнік рабіў розныя дзеянні.

Калі ўнутраны гадзіннік камп’ютара быў пераведзены наперад ці назад (у тым ліку неаднаразова), усё адно ёсць магчымасці аднавіць правільны час і правільную паслядоўнасць падзей. Перавод гадзінніка камп’ютара сам сабою пакідае сляды. А калі яшчэ было і сеткавае ўзаемадзеянне, то ёсць магчымасць супаставіць моманты падзей, зафіксаваных дадзеным камп’ютарам, з падзеямі па іншых крыніцах і высветліць зрух унутранага гадзінніка.

Задача выканальная нават у тым выпадку, калі сістэмны блок, які змяшчае ўнутраны гадзіннік, не знаходзіцца ў распараджэнні экспертызы. Толькі па носьбіце інфармацыі можна атрымаць сякія-такія звесткі пра паслядоўнасць падзей. Чым больш інфармацыі на носьбіце, тым паўней будзе адноўлена карціна.

Пытанне, якое вырашаецца камп’ютарна-тэхнічнай экспертызай у дадзенай вобласці
  • Якія дзеянні ўчыненыя з выкарыстаннем аб’ектаў, іх час і паслядоўнасць?

Вызначэнне слядоў кантрафактнасці

Часта названыя экспертызы з’яўляюцца комплекснымі. Для правядзення даследавання некаторых прадметаў, якія ўваходзяць у камплект пастаўкі праграмнага прадукту, такіх як каробка, картка з тэкстам ліцэнзійнага пагаднення, сертыфікат сапраўднасці, рэгістрацыйная карта, кампакт-дыск з элементамі абароны, дакументацыя ў друкаваным выглядзе, патрабуецца прызначэнне тэхніка-крыміналістычнай экспертызы дакументаў. А часам таксама патрабуецца правядзенне фонаскапічных ці трасалагічных экспертыз.

Пры правядзенні экспертызы, якая тычыцца кантрафакту, заўсёды патрабуецца прадстаўленне эталоннага ўзору праграмнага забеспячэння для параўнальнага даследавання.

Пытанні, якія вырашаюцца камп’ютарна-тэхнічнай экспертызай у дадзенай вобласці
  • Якія праграмныя прадукты знаходзяцца на прадстаўленых носьбітах?
  • Якія звесткі пра назву, распрацоўшчыка і версію яны змяшчаюць?
  • Ці адпавядаюць яны прадстаўленаму эталоннаму ўзору?
  • Ці ёсць сведчанні выкарыстання ўсталяваных на дыску праграм (створаныя з дапамогай праграм дакументы, наяўнасць інфармацыі ў базах даных, файлы-пратаколы працы інш..)?
  • Ці ёсць прыкметы мадыфікацыі праграмнага забеспячэння для абыходу тэхнічных сродкаў абароны аўтарскага права?
  • Якім быў прыкладны час усталявання і мадыфікацыі праграмнага забеспячэння?

Тэлефон для сувязі: 8 (017) 308-64-03, 8 (017) 308-64-50, 8 (017) 308-64-60