8 800 775 06 75 Единый федеральный номер
(звонок по России бесплатный)

Компьютерно-техническая экспертиза

21.1. Исследование информационных компьютерных средств

Компьютерно-технические экспертизы производятся в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на носителях данных с последующим всесторонним ее исследованием.

Компьютерно-техническая экспертиза подразделяется на следующие виды:

  • аппаратно-компьютерная экспертиза;
  • программно-компьютерная экспертиза;
  • информационно-компьютерная экспертиза (данных);
  • компьютерно-сетевая экспертиза.

Данная классификация может быть эффективно использована при назначении комплексных экспертиз и решении большого перечня задач.

Сущность судебной аппаратно-компьютерной экспертизы заключается в проведении исследования технических (аппаратных) средств компьютерной системы. Предметом данного вида экспертиз являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы — материальных носителей информации о факте или событии гражданского либо уголовного дела.

Объектами судебной аппаратно-компьютерной экспертизы являются персональные компьютеры (настольные, портативные); периферийные устройства; сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.); интегрированные системы (органайзеры); пейджеры; мобильные телефоны и т.п.; встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и проч.); любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и др.). В судебно-экспертном аспекте наиболее важны такие объекты, как запоминающие устройства и носители данных, включая все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты, флэш-карты.

Примерными вопросами, разрешаемыми судебной аппаратно-компьютерной экспертизой являются следующие.

  • Относится ли представленное устройство к аппаратным компьютерным средствам?
  • К какому типу (марке, модели) относится аппаратное средство? Каковы его технические характеристики и параметры?
  • Каково функциональное предназначение аппаратного средства?
  • Какова роль и функциональные возможности данного аппаратного средства в конкретной компьютерной системе?
  • Относится ли данное аппаратное средство к представленной компьютерной системе?
  • Используется ли данное аппаратное средство для решения конкретной функциональной задачи?
  • Какое первоначальное состояние (конфигурацию, характеристики) имело аппаратное средство?
  • Каково фактическое состояние (исправен, неисправен) представленного аппаратного средства? Имеются ли в нем отклонения от типовых (нормальных) параметров, в том числе и физические дефекты?
  • Какие эксплуатационные режимы установлены на данном аппаратном средстве?
  • Является ли неисправность данного средства следствием нарушения определенных правил эксплуатации?
  • Каковы причины изменения функциональных (потребительских) свойств в начальной конфигурации представленного аппаратного средства?
  • Является ли представленное аппаратное средство носителем информации?
  • Каков вид (тип, модель, марка) представленного носителя информации?
  • Какое запоминающее устройство предназначено для работы с данным накопителем информации? Имеется ли в составе представленной компьютерной системы запоминающее устройство для работы с этим носителем информации?
  • Каковы параметры (форм-фактор, емкость, среднее время доступа к данным, скорость передачи данных и др.) носителя информации? Какой метод хранения данных реализован на представленном носителе?
  • Доступен ли для чтения представленный носитель информации?
  • Каковы причины отсутствия доступа к носителю информации?

Для осуществления экспертного исследования программного обеспечения предназначена судебная программно-компьютерная экспертиза. Ее предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по гражданскому или уголовному делу. Целью судебной программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения компьютерной системы.

Объектами программно-компьютерной экспертизы являются:

  • системное программное обеспечение (операционные системы);
  • вспомогательные программы — утилиты;
  • средства разработки и отладки программ;
  • служебная системная информация;
  • прикладное программное обеспечение (приложения общего назначения: текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.; приложения специального назначения для решения задач в определенной области науки, техники, экономики и т.д.).

На разрешение судебных экспертиз этого рода ставятся следующие вопросы.

  • Какова общая характеристика представленного программного обеспечения, из каких компонент (программных средств) оно состоит?
  • Какую классификацию имеют конкретные программные средства (системные или прикладные) представленного программного обеспечения? Обладают ли они признаками контрафактности?
  • Каково наименование, тип, версия, вид представления (явный, скрытый, удаленный) программного средства?
  • Каковы реквизиты разработчика и владельца данного программного средства?
  • Каков состав соответствующих файлов программного обеспечения, каковы их параметры (объемы, даты создания, атрибуты)?
  • Какое общее функциональное предназначение имеет программное средство?
  • Имеются ли на носителях информации программные средства для реализации определенной функциональной задачи?
  • Какие требования предъявляет данное программное средство к аппаратным средствам компьютерной системы?
  • Какова совместимость конкретного программного средства с программным и аппаратным обеспечением компьютерной системы?
  • Используется ли данное программное средство для решения определенной функциональной задачи?
  • Каково фактическое состояние программного средства, его работоспособность по реализации отдельных (конкретных) функций?
  • Каким образом организован ввод и вывод данных в представленном программном средстве?
  • Имеются ли в программном средстве отклонения от нормальных параметров типовых программных продуктов (например, свойства инфицирования, недокументированных функций)?
  • Имеет ли программное средство защитные возможности (программные, аппаратно-программные) от несанкционированного доступа и копирования?
  • Каким образом организованы защитные возможности программного средства?
  • Каков общий алгоритм данного программного средства?
  • Какие программные инструментальные средства (языки программирования, компиляторы, стандартные библиотеки) использовались при разработке данного программного средства?
  • Имеются ли на носителях информации тексты (коды) с первоначальным состоянием программы?
  • Подвергался ли алгоритм программного средства модификации по сравнению с исходным состоянием? В чем это нашло отражение?
  • Какой вид имело программное средство до его последней модификации?
  • Использованы ли в алгоритме программы и ее тексте какие-либо специфические (нестандартные) приемы алгоритмизации и программирования?
  • С какой целью было произведено изменение каких-либо функций в программном средстве?
  • Направлены ли внесенные изменения в программное средство на преодоление его защиты?
  • Достигается ли решение определенных задач после внесения изменений в программное средство?
  • Каким способом были произведены изменения в программе (преднамеренно, воздействием вредоносной программы, ошибками программной среды, аппаратным сбоем и др.)?
  • Какова хронология внесения изменений в программном средстве?
  • Какова хронология использования программного средства (начиная с ее инсталляции)?
  • Имеются ли в программном средстве враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной системы?
  • Каковы последствия дальнейшей эксплуатации определенного программного средства?

Судебная информационно-компьютерная экспертиза (данных) является ключевым видом компьютерно-технической экспертизы, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства вопросов, связанных с компьютерной информацией. Целью этого вида является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Объектами судебной информационно-компьютерной экспертизы (данных) являются файлы, подготовленные с использованием указанных выше и других программных средств — с расширениями текстовых форматов (.txt, .doc...), графических форматов (.bmp, .jpg, .tif, .cdr...), форматов баз данных (. dbf, . mdb...), электронных таблиц (.xls, .cal...) и др.

Судебная информационно-компьютерная экспертиза (данных) производится для разрешения следующих вопросов.

  • Как отформатирован носитель информации и в каком виде на него записаны данные?
  • Каковы характеристики физического размещения данных на носителе информации?
  • Каковы характеристики логического размещения данных на носителе информации?
  • Какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные на носителе информации?
  • Какого вида (явный, скрытый, удаленный, архив) информация имеется на носителе?
  • К какому типу относятся выявленные (определенные) данные (текстовые, графические, база данных, электронная таблица, мультимедиа, запись пластиковой карты, данные ПЗУ и др.) и какими программными средствами они обеспечиваются?
  • Каким образом организован доступ (свободный, ограниченный и проч.) к данным на носителе информации и каковы его характеристики?
  • Какие свойства, характеристики имеют выявленные средства защиты данных и какие пути ее преодоления возможны?
  • Какие признаки преодоления защиты (либо попыток несанкционированного доступа) имеются на носителе информации?
  • Каково содержание защищенных данных?
  • Каково фактическое состояние выявленных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных?
  • Какие несоответствия типовому представлению имеются в выявленных данных (нарушение целостности, несоответствие формата, вредоносные включения и проч.)?
  • Каковы пользовательские (потребительские) свойства и предназначение данных на носителе информации?
  • Какие данные для решения определенной функциональной (потребительской) задачи имеются на носителе информации?
  • Какие данные с фактами и обстоятельствами конкретного дела находятся на представленном носителе информации?
  • Какие данные о собственнике (пользователе) компьютерной системы (в том числе имена, пароли, права доступа и проч.) имеются на носителях информации?
  • Какие данные с представленных на экспертизу документов (образцов) и в каком виде (целостном, фрагментарном) находятся на носителе информации?
  • Каково первоначальное состояние данных на носителе (в каком виде, какого содержания и с какими характеристиками, атрибутами находились определенные данные до их удаления или модификации)?
  • Каким способом и при каких обстоятельствах произведены действия или операции (блокирование, модификация, копирование, удаление) определенных данных на носителе информации?
  • Какой механизм (последовательность действий) по решению конкретной задачи отражен в определенных данных на носителе информации?
  • Какая хронологическая последовательность действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денежных знаков, ценных бумаг, оттисков печатей т.п.)?
  • Какая причинная связь имеется между действиями (вводом, модификацией, удалением и проч.) с данными и имевшим место событием (например, нарушением в работе компьютерной системы, в том числе сбои в программном и аппаратном обеспечении)?
  • Какова степень соответствия (или несоответствия) действий с конкретной информацией специальному регламенту или правилам эксплуатации определенной компьютерной системы?

Судебная компьютерно-сетевая экспертиза, в отличие от предыдущих, основывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Она выделена в отдельный вид в связи с тем, что лишь использование специальных знаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования, связанные с интернет-технологиями

Судебная экспертиза этого рода производится для решения следующих задач:

  • определение свойств и характеристик аппаратного средства и программного обеспечения, установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства — отношение к серверу, рабочей станции, активного сетевого оборудования и т.д.);
  • выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным;
  • определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии, определение принадлежности средства к серверной или клиентской части приложений;
  • определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа;
  • установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и проч.);
  • определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом), установление факта нарушения режимов эксплуатации сети; фактов (следов) использования внешних ("чужих") программ и т.п.;
  • определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, RAID-массивы; жесткие диски, флоппи-диски, CD-ROM, ZIP-накопители и т.п.);
  • определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т.д.);
  • установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.

Как видно, задачи судебной компьютерно-сетевой экспертизы охватывают практически все основные задачи основных родов СКТЭ, т.е. решение аппаратных, программных и информационных аспектов при установлении фактов и обстоятельств дела.

Наиболее часто встречаемыми в практике вопросами являются следующие.

  • Имеются ли признаки работы данного компьютерного средства в сети Интернет?
  • Какие аппаратные средства использовались для подключения к Интернету?
  • Имеются ли заготовленные соединения с узлом сети Интернет и каковы их свойства (номера телефонов провайдера, имена и пароли пользователя, даты создания)?
  • Каково содержание установок программы удаленного доступа к сети Интернет и протоколов соединений?
  • Какие имеются адреса Интернета, по которым осуществлялся доступ с данного компьютерного средства?
  • Имеется ли какая-либо информация о проведении электронных платежей и использовании кодов кредитных карт?
  • Имеются ли почтовые сообщения, полученные (а также отправленные) по электронной почте?
  • Имеются ли сообщения, полученные (отправленные) посредством использования программ персональной связи через Интернет и каково их содержание?
  • Можно сформулировать вопросы комплексного исследования при судебной экспертизе целостной компьютерной системы (устройства).
  • Является ли представленное оборудование компьютерной системой?
  • Является ли представленное оборудование целостной компьютерной системой или же ее частью?
  • К какому типу (марке, модели) относится компьютерная система?
  • Каковы общие характеристики сборки компьютерной системы и изготовления ее компонент?
  • Какой состав (конфигурацию) и технические характеристики имеет компьютерная система?
  • Является ли конфигурация компьютерной системы типовой или расширенной под решение конкретных задач?
  • Какое функциональное предназначение имеет компьютерная система?
  • Имеются ли в компьютерной системе наиболее выраженные функции (потребительские свойства)?
  • Решаются ли с помощью представленной компьютерной системы определенные функциональные (потребительские) задачи?
  • Находится ли компьютерная система в рабочем состоянии?
  • Имеет ли компьютерная система какие-либо отклонения от типовых (нормальных) параметров, в том числе физические (механические) дефекты?
  • Какой перечень эксплуатационных режимов имеется в компьютерной системе?
  • Какие эксплуатационные режимы задействованы (установлены) в компьютерной системе?
  • Существуют ли в компьютерной системе недокументированные (сервисные) возможности, если да, то какие?
  • Какие носители информации имеются в данной компьютерной системе?
  • Реализована ли в компьютерной системе какая-либо система защиты информации?
  • Какая система защиты информации имеется в данной компьютерной системе? Каков тип, вид и характеристики этой системы защиты? Каковы возможности по ее преодолению?