Камп’ютарна-тэхнічная экспертыза
Аб’екты
- персанальныя камп’ютары;
- любыя машынныя носьбіты інфармацыі, перыферыйныя прылады, сеткавыя апаратныя сродкі, інтэграваныя сістэмы, любыя камплектуючыя ўсіх названых кампанентаў (апаратныя блокі, машынныя носьбіты інфармацыі, платы пашырэння і інш.), праграмы для ЭВМ, алгарытмы, зыходныя тэксты праграм, тэкставыя і графічныя дакументы (у электроннай форме), вырабленыя з выкарыстаннем камп’ютарных сродкаў, даныя ў фарматах мультымедыя;
- інфармацыя ў фарматах баз даных, журналы (пратаколы) працы спецыялізаваных праграм, іншых дадаткаў ужытковага характару.
Задачы
- вызначэнне статусу аб’екта як камп’ютарнага сродку, выяўленне і вывучэнне яго ролі ў падзеі, якая цікавіць, а таксама атрыманне доступу да інфармацыі на носьбітах даных з наступным усебаковым яе даследаваннем;
- вызначэнне віду (тыпу, маркі), уласцівасцяў апаратнага сродку, а таксама яго тэхнічных і функцыянальных характарыстык;
- вызначэнне фактычнага стану і спраўнасці апаратнага сродку, наяўнасці фізічных дэфектаў;
- вызначэнне асноўных характарыстык аперацыйнай сістэмы;
- выяўленне і даследаванне функцыянальных уласцівасцяў, а таксама наладак праграмнага забеспячэння, часу яго інсталяцыі;
- вызначэнне фактычнага стану праграмнага аб’екта, складу файлаў, якія яму адпавядаюць, і іх параметраў (аб’ёмы, даты стварэння, атрыбуты), спосабаў уводу-вываду інфармацыі, наяўнасці ці адсутнасці якіх-небудзь адхіленняў ад тыпавых параметраў (напрыклад, недакументаваных функцый);
- дыягнаставанне алгарытму праграмнага прадукту, відаў выкарыстаных пры яго распрацоўцы інструментальных сродкаў;
- вызначэнне першапачатковага стану праграмы (напрыклад, пры пачатковай інсталяцыі) і выяўленне магчымых наступных змен;
- выяўленне структуры механізму падзеі па выніках працы праграмнага забеспячэння і ў дынаміцы;
- вызначэнне прычыннай сувязі паміж дзеяннямі карыстальніка камп’ютарнай сістэмы ў дачыненні да праграмнага забеспячэння і надышоўшымі наступствамі;
- ідэнтыфікацыйныя задачы, звязаныя з індывідуальным атаясамленнем арыгінала праграмы (інсталяцыйнай версіі) і яе копіі на носьбітах даных камп’ютарнай сістэмы;
- атаясамленне зместу файла з данымі ў копіі файла, які даследуецца, або ў прадстаўленым дакуменце (у т. л. у папяровай копіі ў комплексе з тэхніка-крыміналістычным даследаваннем дакументаў).
Патрабаванні да матэрыялаў, якія накіроўваюцца на экспертызу
Пры пастаноўцы пытанняў неабходна выкарыстоўваць сталы паняццевы апарат, які выключае жаргонныя і паўпрафесійныя тэрміны («вінчэстар», «логі», «узлом» і інш.). У выпадку адсутнасці тэрмінаў, вызначаных заканадаўчымі ці нарматыўнымі актамі, неабходна выкарыстоўваць тыя тэрміны, якія ўжываюць распрацоўшчыкі тэхнічных сродкаў, праграмных прадуктаў у дакументацыі, апісаннях, даведках і інш.
Фармуліроўка пытання не павінна тычыцца этапаў даследавання інфармацыі (апісанне характарыстык носьбітаў інфармацыі і асаблівасцяў размяшчэння інфармацыі на іх, аднаўленне і даследаванне інфармацыі сярод выдаленых файлаў з’яўляюцца абавязковым этапам даследавання інфармацыі).
Пошук «інфармацыі»
Пошук на камп’ютарным носьбіце дакументаў, выяў, паведамленняў і іншай інфармацыі, якая цікавіць, у тым ліку ў невідавочным (выдаленым, схаваным, зашыфраваным) выглядзе.
У сувязі з вялікім аб’ёмам інфармацыі, як правіла, немагчыма надрукаваць і прыкласці да заключэння ўсе наяўныя на носьбіце тэкставыя і графічныя файлы, змест баз даных з тым, каб пасля заказчык экспертызы вырашыў, што са знойдзенага належыць да справы. Таму неабходна вызначаць крытэрыі пошуку – ключавыя словы, ці абмяжоўваць рамкі пошуку тыпам файлаў.
Пытанні, якія вырашаюцца камп’ютарна-тэхнічнай экспертызай у дадзенай вобласці- Ці ёсць на носьбіце прадстаўленага на даследаванне сістэмнага блока персанальнага камп’ютара файлы, у тым ліку выдаленыя, якія змяшчаюць інфармацыю пра ... (пазначыць канкрэтныя ключавыя словы для пошуку – назвы арганізацый, прозвішчы і інш.)?
- Ці ёсць на носьбіце прадстаўленага на даследаванне сістэмнага блока персанальнага камп’ютара графічныя файлы, у тым ліку выдаленыя, якія змяшчаюць выявы грашовых білетаў, купюр і інш.?
Пошук «лічбавых» слядоў
Калі камп’ютар выкарыстоўваецца як сродак доступу да інфармацыі, якая знаходзіцца ў іншым месцы, і калі доступ да інфармацыі ажыццяўляецца на гэтым камп’ютары, у абодвух выпадках застаюцца «лічбавыя» сляды, сляды ў выглядзе камп’ютарнай інфармацыі. Камп’ютарна-тэхнічная экспертыза можа вызначыць, калі, пры якіх умовах і якім чынам ажыццяўляўся доступ. Хто яго ажыццяўляў экспертыза вызначыць не можа. Толькі ў некаторых выпадках у эксперта атрымліваецца выявіць некаторыя звесткі пра карыстальніка камп’ютара, які даследуецца.
Дзеянні, якія пакідаюць сляды на камп’ютары ці на носьбіце інфармацыі, уключаюць: доступ да інфармацыі, яе прагляд, увод, змену, выдаленне, любую іншую апрацоўку ці захоўванне, а таксама аддаленае кіраванне гэтымі працэсамі.
Пытанні, якія вырашаюцца камп’ютарна-тэхнічнай экспертызай у дадзенай вобласці- Ці ўсталяваныя на запамінальнай прыладзе праграмы, прызначаныя для шыфравання інфармацыі?
- Ці ёсць інфармацыя, якая цікавіць, на аб’ектах даследавання (у тым ліку ў невідавочным, выдаленым, схаваным ці зашыфраваным выглядзе)?
- Ці магчымы з дапамогай прадстаўленых для даследавання аб’ектаў даследавання выхад у сетку Інтэрнэт?
- Ці ёсць на запамінальнай прыладзе прадстаўленага на даследаванне сістэмнага блока інфармацыя аб рэквізітах для доступу да рэсурсаў сеткі Інтэрнэт?
- Ці ёсць на носьбіце прадстаўленага на даследаванне сістэмнага блока персанальнага камп’ютара журналы працы праграм, прызначаных для прагляду сайтаў у сетцы Інтэрнэт? Калі, так то спасылкі на якія сайты ў сетцы Інтэрнэт у іх ёсць?
- Ці ёсць на носьбітах інфармацыі прадстаўленых на даследаванне сістэмных блокаў ПЭВМ журналы працы праграм абмену паведамленнямі ў сетцы Інтэрнэт? Калі так, то якія паведамленні ў іх змяшчаюцца?
Аналіз праграм
Аналіз праграм для ЭВМ з мэтай вызначэння іх функцыянальнасці і слядоў іх выкарыстання, прынцыпу дзеяння, магчымай іх крыніцы, паходжання звестак аб аўтары, наяўнасці шкодных прыкмет, іх прыналежнасці да сродкаў пераадолення тэхнічных сродкаў абароны аўтарскага права (ТСААП) і інш.
Часта пры гэтым неабходна глыбейшае даследаванне праграм. Гэта значыць даследаванне не проста іх уласцівасцяў і функцыянальнасці, а паходжання, асаблівасцяў узаемадзеяння з іншымі праграмамі, працэсу стварэння, супастаўленне версій. Такое глыбокае даследаванне мяркуе пад сабой дызасэмбляванне праграмы, запуск пад наладчыкам (пакрокавае выкананне), даследаванне структуры даных. У такім разе рэкамендуецца замовіць правядзенне дзвюх асобных экспертыз: першая вывучае тое, што знаходзіцца на камп’ютарных носьбітах, а другая – асаблівасці выяўленых праграм.
Пытанні, якія вырашае камп’ютарна-тэхнічная экспертыза ў дадзенай вобласці- Якія праграмныя прадукты знаходзяцца на прадстаўленых носьбітах?
- Якія звесткі пра назву, распрацоўшчыка і версію яны змяшчаюць?
- Ці адпавядаюць яны прадстаўленаму эталоннаму ўзору?
- Ці ёсць сведчанні выкарыстання ўсталяваных на дыску праграм (створаныя з дапамогай праграм дакументы, наяўнасць інфармацыі ў базах даных, файлы-пратаколы працы і інш.)?
- Ці ёсць прыкметы мадыфікацыі праграмнага забеспячэння для абыходу тэхнічных сродкаў абароны аўтарскага права?
- Якім быў прыкладны час усталявання і мадыфікацыі праграмнага забеспячэння?
- Да якой менавіта інфармацыі ажыццяўляўся доступ? (для далейшага вырашэння пытання, ці з’яўляецца яна падахоўнай законам камп’ютарнай інфармацыяй)
- Ці рабіў уладальнік інфармацыі, да якой быў ажыццёўлены доступ, якія-небудзь захады для яе абароны і абмежавання доступу? (для вырашэння пытання пра канфідэнцыяльнасць гэтай інфармацыі)
- Ці з’яўляецца дадзены спосаб доступу агульнапрынятым спосабам для публічных сеткавых рэсурсаў?
Вызначэнне часавай паслядоўнасці
Дзякуючы наяўнасці ў камп’ютара ўнутранага энерганезалежнага гадзінніка і прыпыненню ў розных месцах часавых метак, становіцца магчымым вызначыць, калі і ў якой паслядоўнасці карыстальнік рабіў розныя дзеянні.
Калі ўнутраны гадзіннік камп’ютара быў пераведзены наперад ці назад (у тым ліку неаднаразова), усё адно ёсць магчымасці аднавіць правільны час і правільную паслядоўнасць падзей. Перавод гадзінніка камп’ютара сам сабою пакідае сляды. А калі яшчэ было і сеткавае ўзаемадзеянне, то ёсць магчымасць супаставіць моманты падзей, зафіксаваных дадзеным камп’ютарам, з падзеямі па іншых крыніцах і высветліць зрух унутранага гадзінніка.
Задача выканальная нават у тым выпадку, калі сістэмны блок, які змяшчае ўнутраны гадзіннік, не знаходзіцца ў распараджэнні экспертызы. Толькі па носьбіце інфармацыі можна атрымаць сякія-такія звесткі пра паслядоўнасць падзей. Чым больш інфармацыі на носьбіце, тым паўней будзе адноўлена карціна.
Пытанне, якое вырашаецца камп’ютарна-тэхнічнай экспертызай у дадзенай вобласці- Якія дзеянні ўчыненыя з выкарыстаннем аб’ектаў, іх час і паслядоўнасць?
Вызначэнне слядоў кантрафактнасці
Часта названыя экспертызы з’яўляюцца комплекснымі. Для правядзення даследавання некаторых прадметаў, якія ўваходзяць у камплект пастаўкі праграмнага прадукту, такіх як каробка, картка з тэкстам ліцэнзійнага пагаднення, сертыфікат сапраўднасці, рэгістрацыйная карта, кампакт-дыск з элементамі абароны, дакументацыя ў друкаваным выглядзе, патрабуецца прызначэнне тэхніка-крыміналістычнай экспертызы дакументаў. А часам таксама патрабуецца правядзенне фонаскапічных ці трасалагічных экспертыз.
Пры правядзенні экспертызы, якая тычыцца кантрафакту, заўсёды патрабуецца прадстаўленне эталоннага ўзору праграмнага забеспячэння для параўнальнага даследавання.
Пытанні, якія вырашаюцца камп’ютарна-тэхнічнай экспертызай у дадзенай вобласці- Якія праграмныя прадукты знаходзяцца на прадстаўленых носьбітах?
- Якія звесткі пра назву, распрацоўшчыка і версію яны змяшчаюць?
- Ці адпавядаюць яны прадстаўленаму эталоннаму ўзору?
- Ці ёсць сведчанні выкарыстання ўсталяваных на дыску праграм (створаныя з дапамогай праграм дакументы, наяўнасць інфармацыі ў базах даных, файлы-пратаколы працы інш..)?
- Ці ёсць прыкметы мадыфікацыі праграмнага забеспячэння для абыходу тэхнічных сродкаў абароны аўтарскага права?
- Якім быў прыкладны час усталявання і мадыфікацыі праграмнага забеспячэння?