в Ч идентифицирующих конкретного оператора ЭВМ. К числу таких признаков относятся: темп работы (среднее количество нажатий на клавиши клавиатуры за единицу времени, характеризующее опыт и технику работы оператора на клавиатуре); время удержания отдельных клавиш в нажатом состоянии; время перехода от одной клавиши к другой; использование альтернативных клавиш (например, Shift, CapsLock и т.д.). На основе этого компьютерная программа производит фиксацию и анализ статистически значимых признаков индивидуального «почерка» работы оператора на клавиатуре. Следует выделить некоторые правила работы с компьютерами, изъятыми при расследовании преступлений в сфере компьютерной информации, а также предложить общие рекомендации, которые могут быть полезными при обработке компьютерных доказательств. В заключение, рассмотрим некоторые типичные ошибки, наиболее часто совершаемые при проведении следственных действий в отношении компьютерной информации либо самих компьютеров. 1. Ошибочная работа с компьютером. Первое и основное правило, которое должно неуклонно выполняться, состоит в следующем: никогда и ни при каких условиях не работать на изъятом компьютере. Изъятый компьютер является объектом исследования специалиста. Если на компьютере установлена система защиты (например -пароль), то его включение может вызвать уничтожение информации, которая находится на жестком диске. Не допускается загрузка такого компьютера с использованием его собственной операционной системы. Подобная мера объясняется достаточно просто: преступнику не составляет особого труда установить на своем компьютере программу для уничтожения информации на жестком или гибком магнитном дисках, записав такие «ловушки» через модификацию операционной системы. Например, простая команда 139 |
117 плекса признаков, идентифицирующих конкретного оператора ЭВМ. К числу таких признаков относятся: темп работы (среднее количество нажатий на клавиши клавиатуры за единицу времени, характеризующее опыт и технику работы оператора на клавиатуре); время удержания отдельных клавиш в нажатом состоянии; время перехода от одной клавиши к другой; использование альтернативных клавиш (например, Shift, CapsLock и т.д.). На основе этого компьютерная программа производит фиксацию и анализ статистически значимых признаков индивидуального «почерка» работы оператора на клавиатуре. Необходимо отметить, что в настоящее время, класс компьютере технических экспертиз разработан еще достаточно слабо. Проведенное исследование показало, что следователи испытывают значительные сложности с назначением подобных экспертиз, поскольку не во всех экспертных учреждениях имеются соответствующие специалисты, большинство следователей не знают о возможностях компьютеро-технических экспертиз, какие вопросы ставятся на их разрешение и какие материалы предоставляются в распоряжение экспертов. Приведенными следственными действиями не исчерпывается первоначальный этап расследования неправомерного доступа к компьютерной информации. Однако, проведенное нами исследование показало, что рассмотренные следственные действия вызывают наибольшую сложность у практических работников, занимающихся расследованием анализируемых преступлений. Приведенные специфические особенности тактики проведения отдельных следственных действий (осмотр места происшествия, допросы свидетелей, обыски помещений, допросы подозреваемых) и проверочных мероприятий (получение объяснений, истребование материалов) при расследовании преступлений данной категории позволят повысить качество и эффективность расследования, а так же получить больший объем доказательственной информации . |