|
136 'J> и щественные для расследования звуки. В таких случаях могут быть применены специальные знания в области фоноскопических экспертиз. Важным способом установления механизма действия программ (например, вредоносных) является их декомпиляция для последующего изучения пошагового действия включенных в программу команд. Третьей группой задач являются осуществления разнообразных вспомогательных действий (в том числе и исключительно лабораторного характера) по обнаружению, закреплению и изъятию доказательств: а) вывод компьютерной информации с машинных носителей на бумажные; б) изъятие программ и данных из оперативных запоминающих устройств ЭВМ, средств связи и иных машинных носителей (пейджеров, телефонов, магнитных пластиковых карт и др.); в) дешифровка данных, снятие паролей защиты и др. При технической экспертизе компьютеров ставятся следующие вопросы: 1. Какая модель компьютера представлена на исследование, каковы его технические характеристики, параметры периферийных устройств, вычислительной сети? 2. Имеется ли техническая документация на компьютер и его составные части? Соответствуют ли имеющиеся технические устройства документации? 3. Каковы условия сборки компьютера и его комплектующих: фирменная сборка, сборка из комплектующих в другой фирме или кустарная сборка? Имеются ли в наличии дополнительные устройства, не входящие в базовый комплект поставки (базовый комплект определяется из документации)? 4. Имеет ли место наличие неисправностей отдельных устройств, магнитных носителей информации (выявляются различными тестовыми программами)? 5. Не проводилась ли адаптация компьютера для работы с ним специфических пользователей (левша, слабовидящий и пр.)? |
натура производителя BIOS и ее адрес в памяти; размер основной и расширенной оперативной памяти; размер дополнительной отображаемой памяти; размер видеобуфера; тип клавиатуры; тип видеоадаптера; тип и интерфейс манипуляторов; число параллельных и последовательных портов; число и тип накопителей на гибких и жестких дисках. Жесткий диск ЭВМ может быть идентифицирован по: серийному номеру и данным об изготовителе; способу форматирования; расположению программ и данных на диске; расположению на диске «плохих» кластеров. Идентификация гибких (флоппи) дисков может быть осуществлена по: данным об изготовителе; наличии внешних надписей, наклеек повреждений (например, царапин); способу форматирования; расположению программ и данных на диске и плотностью их записи; расположению на диске «плохих» кластеров и др.' Второй группой задач диагностического и идентификационного характера, относящихся главным образом к компьютерной и документированной информации являются: а) обнаружение, оценка и определение свойств и признаков состояния и статуса компьютерной и документированной информации (например, является ли информация программой, не является ли программа вредоносной и т.п.), а также установление индивидуальных признаков информации, позволяющих определить ее автора; б) поиск конкретной компьютерной и документированной информации, определение следов и признаков неправомерного воздействия на нее и определение признаков способа и механизма такого воздействия. Ранее говорилось о том, что данные на машинных носителях хранятся главным образом в виде файлов, которые имеют набор индивидуальных свойств и могут быть использованы для решения задач диагностического и идентификационного характера. Для решения данных задач при ' См. подробнее: Правиков Д. И. Ключевые дискеты. Разработка элементов системы защиты от несанкционированного копирования. М., 1995' выводе информации с машинных носителей на бумажные носители могут быть использованы традиционные методы криминалистических исследований как с точки зрения их' содержания', так и с точки зрения механизмов их изготовления. Следует обратить внимание, что компьютерная информация на машинных носителях может являться и файлом, содержащим звуковой ряд — живую речь или иные существенные для расследования звуки. В таких случаях могут быть применены специальные знания в области фо-носкопических экспертиз2 . Важным способом установления механизма действия программ (например, вредоносных) является их декомпиляция для последующего изучения пошагового действия включенных в программу команд. Третьей группой задач являются осуществления разнообразных вспомогательных действий (в том числе и исключительно лабораторного характера) по обнаружению, закреплению и изъятию доказательств: а) вывод компьютерной информации с машинных носителей на бумажные; б) изъятие программ и данных из оперативных запоминающих устройств ЭВМ, средств связи и иных машинных носителей (пейджеров, телефонов, магнитных пластиковых карт и Др.); в) дешифровка данных, снятие паролей защиты и др. * Криминалистика социалистических стран. С. 434-437. * Исследование фонограмм в целях установления личности говорящего. Методические рекомендации ВНИИСЭ МЮ СССР, 1994 г. |