134 А * > S' экспертиза машинных данных и программного обеспечения. Осуществляется в целях изучения информации, хранящейся в компьютере и на магнитных носителях, в том числе изучение программных методов защиты компьютерной информации; экспертиза программного обеспечения и данных, используемых в компьютерной сети. Проводится в целях изучения информации, которая обрабатывается с помощью компьютерных сетей, эксплуатируемых на данном предприятии, организации, учреждении, фирме или компании. Задачи, разрешаемые путем экспертизы: Первой группой задач диагностического характера, относящихся главным образом, к машинным носителям информации являются: а) определение наиболее важных свойств и признаков, в том числе функциональных, объекта с целью установления является ли он машинным носителем информации, и если да, то в чем именно заключается его функция или их совокупность ввод, хранение, передача, обработка информации и т.п.; б) оценка свойств и признаков машинного носителя для установления их существенных для расследуемого события качественных характеристик: состояния (например, исправен не исправен), назначения (например, является ли это ЭВМ, сетью или системой ЭВМ) и особенностей (например, предназначено ли устройство для работы в сети ЭВМ), соответствия нормативным требованиям (например, совпадает ли конфигурация устройства прилагаемой к нему документации). Для ЭВМ характерны следующие статические свойства, совокупность которых дает возможность для ее программной и аппаратной идентификации: тип микропроцессора в совокупности с разрядностью шины данных; тип сопроцессора; тактовая частота микропроцессора; длинна очереди микропроцессора; тип ЭВМ; дата регистрации BIOS; сигнатура производителя BIOS и ее адрес в памяти; размер основной и расширенной оперативной памяти; размер дополнительной отображаемой памяти; размер видеобуфера; тип клавиатуры; тип ви |
тировать полученные объекты, и предостеречь от ошибок касающихся их хранения и использования. Проблема производства криминалистических экспертных исследований в данной специализированной предметной области существует и связана прежде всего с отсутствием научно-проработанных и апробированных методик ее проведения. Проблемы определения задач исследования, объектов экспертизы, идентификационного поля, идентификационных признаков' и подобные являются темой отдельного специального исследования. Недостаточно изучены и новые объекты криминалистических исследований — документированная и компьютерная информация для тех случаев, когда она находится на машинных носителях. Эти вопросы, разработка которых, на наш взгляд, только начинается, не дают нам оснований присоединиться к той или иной точке зрения по поводу дискуссии относительно названия новой экспертизы. Речь идет о так называемых «программно-технических»2 или «компьютерно-технических» экспертизах3 . Тем не менее, результаты настоящего исследования позволяют на базе сформулированных в нем определений и описаний следовой картины отдельных видов криминальной деятельности в сфере информации построить предва' Криминалистика социалистических стран. М., 1986. С. 259. В настоящее время эти экспертизы выполняются только в ИП ГУВД Московской области. За 1994 г. проведено около 30 экспертиз, а за первые три месяца 1995 г. свыше 10 (см. подробнее: Катков С.А., старший преподаватель кафедры криминалистики и уголовного процесса Московского института МВД России, Собецкии И.В., инженер ВЦ ИЦ ГУВД Московской обл., Федоров А.Л., начальник отдела разработки программного обеспечения ВЦ ИЦ ГУВД Московской обл.Подготовка и назначение программно-технической экспертизы. Методические рекомендации). 3 Катков С.А., Собецкий И. В., Федоров А.Л. Подготовка и назначение программно-технической экспертизы. Методические рекомендации//Бюллетень ГСУ России. 1995. № 4; Российская Е.Р. Судебная экспертиза в уголовном, гражданском арбитражном процессе. М., 1996. С. 173-179; Касаткин А.В. Тактика собирания и использования компьютерной информации при расследовании преступлений: Дис... канд. юриД-наук. М., 1997. рительную классификацию задач криминалистических исследований, решаемых, и том числе и экспертным путем. Весьма существенной для криминалистических идентификационных исследований является совокупность свойств машинных носителей информации и самой информации идентификационных свойств, которые могли бы использоваться для установления тождества идентифицируемых объектов. Рассмотрим их относительно предлагаемой классификации задач. * ' Задачи, разрешаемые путем экспертизы Первой группой задач диагностического характера, относящихся главным образом, к машинным носителям информации являются: а) определение наиболее важных свойств и признаков, в том числе функциональных, объекта с целью установления является ли он машинным носителем информации, и если да, то в чем именно заключается его функция или их совокупность — ввод, хранение, передача, обработка информации и т.п.; б) оценка свойств и признаков машинного носителя для установления их существенных для расследуемого события качественных характеристик: состояния (например, исправен — не исправен), назначения (например, является ли это ЭВМ, сетью или системой ЭВМ) и особенностей (например, предназначено ли устройство для работы в сети ЭВМ), соответствия нормативным требованиям (например, совпадает ли конфигурация устройства прилагаемой к нему документации). Для ЭВМ характерны следующие статические свойства, совокупность которых дает возможность для ее программной и аппаратной идентификации: тип микропроцессора в совокупности с разрядностью шины данных; тип сопроцессора; тактовая частота микропроцессора; длинна очереди микропроцессора; тип ЭВМ; дата регистрации BIOS; сиг натура производителя BIOS и ее адрес в памяти; размер основной и расширенной оперативной памяти; размер дополнительной отображаемой памяти; размер видеобуфера; тип клавиатуры; тип видеоадаптера; тип и интерфейс манипуляторов; число параллельных и последовательных портов; число и тип накопителей на гибких и жестких дисках. Жесткий диск ЭВМ может быть идентифицирован по: серийному номеру и данным об изготовителе; способу форматирования; расположению программ и данных на диске; расположению на диске «плохих» кластеров. Идентификация гибких (флоппи) дисков может быть осуществлена по: данным об изготовителе; наличии внешних надписей, наклеек повреждений (например, царапин); способу форматирования; расположению программ и данных на диске и плотностью их записи; расположению на диске «плохих» кластеров и др.' Второй группой задач диагностического и идентификационного характера, относящихся главным образом к компьютерной и документированной информации являются: а) обнаружение, оценка и определение свойств и признаков состояния и статуса компьютерной и документированной информации (например, является ли информация программой, не является ли программа вредоносной и т.п.), а также установление индивидуальных признаков информации, позволяющих определить ее автора; б) поиск конкретной компьютерной и документированной информации, определение следов и признаков неправомерного воздействия на нее и определение признаков способа и механизма такого воздействия. Ранее говорилось о том, что данные на машинных носителях хранятся главным образом в виде файлов, которые имеют набор индивидуальных свойств и могут быть использованы для решения задач диагностического и идентификационного характера. Для решения данных задач при ' См. подробнее: Правиков Д. И. Ключевые дискеты. Разработка элементов системы защиты от несанкционированного копирования. М., 1995' выводе информации с машинных носителей на бумажные носители могут быть использованы традиционные методы криминалистических исследований как с точки зрения их' содержания', так и с точки зрения механизмов их изготовления. Следует обратить внимание, что компьютерная информация на машинных носителях может являться и файлом, содержащим звуковой ряд — живую речь или иные существенные для расследования звуки. В таких случаях могут быть применены специальные знания в области фо-носкопических экспертиз2 . Важным способом установления механизма действия программ (например, вредоносных) является их декомпиляция для последующего изучения пошагового действия включенных в программу команд. Третьей группой задач являются осуществления разнообразных вспомогательных действий (в том числе и исключительно лабораторного характера) по обнаружению, закреплению и изъятию доказательств: а) вывод компьютерной информации с машинных носителей на бумажные; б) изъятие программ и данных из оперативных запоминающих устройств ЭВМ, средств связи и иных машинных носителей (пейджеров, телефонов, магнитных пластиковых карт и Др.); в) дешифровка данных, снятие паролей защиты и др. * Криминалистика социалистических стран. С. 434-437. * Исследование фонограмм в целях установления личности говорящего. Методические рекомендации ВНИИСЭ МЮ СССР, 1994 г. |