Глава 2. Назначение и производство компьютерно–технической экспертизы
2.1. Предмет и цели, задачи компьютерно- технической экспертизы:
Компьютерно– техническая экспертиза производится в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на носителях данных с последующим всесторонним исследованием.
Родовыми предметами компьютерно-технической экспертизы являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств, обеспечивающих реализацию «информационных процессов», которые зафиксированы в материалах уголовного дела.
Приведенная нами в параграфе 2.1. классификация компьютерно-технической экспертизы позволяет представить предмет и задачи экспертизы в структурированном виде.
Аппаратно-компьютерная экспертиза.
Данный подвид экспертизы предназначен для исследования ЭВМ, а именно для определения модели, технический показателей устройства, тип, модель устройства. Так же при помощи аппаратно – компьютерной экспертизы можно установить «параметры функционального предназначения и функциональных возможностей конкретного компьютерного устройства в сети или в системе,первоначальное техническое состояния и конфигурации аппаратного средства, а также состояния и конфигурации на момент исследования»20.
Предметом данного вида экспертизы являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации компьютерной системы – материальных носителей информации о факте или событии уголовного дела.
На сегодняшний день судебная аппаратно-компьютерная экспертиза решает следующий круг задач:
определение вида (типа, марки), свойств, аппаратного средства, а также его технических и функциональных характеристик для решения определенных функциональных задач;
определение фактического состояния и исправности аппаратного средства, наличия физических дефектов;
определение структуры механизма и обстоятельства события по его результатам за счет использования выявленных аппаратных средств, как по отдельности, так и в комплексе в составе компьютерной системы;
установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения;
определение условий (обстановки) применения аппаратных средств, восстановление хронологической последовательности их использования, места действия и функционирования.
2. Программно- компьютерная экспертиза исследует программное обеспечение ЭВМ. Данная экспертиза исследует программное обеспечение с целью определения:
общей характеристики программного обеспечения и его компонентов;
реквизиты разработчиков и законного владельца;
даты создания, объем программы;
аппаратных требований, совместимости программы с программной оболочками и иными программами на конкретном компьютере, работоспособность программы;
вносились ли исследуемую программу изменения, время, цели, состав изменений, новые свойства, которые приобрела программа после изменений, и т.д;
является ли программа вредоносной, каковы последствия ее использования.
«Предметом являются закономерности разработки и использования программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному делу».21
Решаемыми задачами программно-компьютерной экспертизы являются:
Индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы; Установление групповой принадлежности программного обеспечения по общим признакам; Выявление частных признаков программы, позволяющих впоследствии идентифицировать ее авторство; Выявление частных признаков программы, позволяющих впоследствии выявить взаимосвязь с информационным обеспечении исследуемой компьютерной системы; Определение основных характеристик операционной системы; Выявление и исследование функциональных свойств, а также настроек программного обеспечения, времени его инсталляции (установки на машинный носитель); Определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров (объем, дата создания, атрибуты), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций); Диагностирование алгоритма программного продукта (представленного как в виде программного продукта, так и графического или текстового файла); Установление видов инструментальных средств, использованных при разработке программного продукта (алгоритма); Установление типов аппаратно-программных платформ, поддерживаемых программным продуктом; Установление первоначального состояния программы (например, при начальной инсталляции) и выявление возможных последующих изменений (обновлений, изменений состава); Определение целей и условий изменения свойств и состояния программного обеспечения (преднамеренное изменение каких-либо функций, конфигурирование на конкретную аппаратную среду); Установление способа осуществления изменений в программе (например, воздействие вредоносной программы, ошибки программной среды, несанкционированный доступ); Определение свойств и состояния программы по ее отображению в обрабатываемых данных (по содержанию служебных, системных файлов), по обеспечивающим аппаратным средствам; Выявление структуры механизма события по результатам работы программного обеспечения и в динамике; Установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями.
3.Информационно- компьютерная экспертиза является ключевым видом компьютерно- технической экспертизы. Именно данный вид экспертизы дает возможность завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Данный вид экспертизы исследует пользовательскую информацию и информацию, созданную программами.
Целью этого рода экспертиз является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
В ходе информационно- компьютерной экспертизы определяются:
вид записи данных на носителе;
физическое и логическое размещение данных;
свойства, характеристики, вид и параметры данных на носителе;
доступность данных, наличие средств защиты, признаков преодоления защиты;
содержание информации, ее первоначальное состояние, произведенные с данными операции, а именно копирование, модификация, блокирование, стирание, хронология данных операций.
4. Компьютерно-сетевая экспертиза в отличие от предыдущих основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Предметом компьютерно-сетевой экспертизы являются факты и обстоятельства, связанные с использованием сетевых и телекоммуникационных технологий.
Компьютерно- сетевая экспертиза производится для решения следующих задач:
Определение свойств и характеристик аппаратного средства и программного обеспечения; установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства — в отношении к сетевой операционной системе; для аппаратного средства — отношение к серверу, рабочей станции, активному сетевому оборудованию и т.д.);
Выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организация доступа к данным;
Принадлежности средства к серверной или клиентской части приложений;
Определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа;
Установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и пр.);
Определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом; установление факта нарушения режимов эксплуатации сети; фактов (следов) использования внешних («чужих») программ и т.п.);
Определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, raid-массивы, жесткие диски, флоппи-диски, CD-rom, zip-накопители и т.п.) и пр.;
Определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т.д.);
Установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.
Проанализировав судебную практику, мы пришли к выводу о том, что на сегодняшний день основными задачами программно-компьютерной экспертизы являются:
общая диагностика и установление функций программного средства;
диагностирование алгоритма программного продукта с целью выявления в его теле возможности выполнения действий (модификации, блокирования, копирования) без соответствующей санкции на них пользователя;
установление признаков вредоносности программ;
установление общего источника происхождения программного продукта.
Следует отметить, что для решения приведенных нами задач компьютерно-технической экспертизы необходимо обладать специальными знаниями в области программирования, алгоритмизации, построения баз данных, классификации ПО, и тому подобное.
|
