|
3) выяснить, подключен ли компьютер к телефонной или телетайпной линиям; 4) определить, запущены ли программы на ЭВМ и какие именно. Следственные действия могут проводиться с работающей (например, при задержании с поличным) и не работающей в момент фиксации компьютерной техникой. Признаками работающего компьютера могут быть подключение его проводами к сети, шум работающих внутри него вентиляторов, мигание или горение индикаторов на передних панелях системного блока, наличие на экране изображения. Если компьютер работает, ситуация, для следователя, проводящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не стоит отказываться от оперативного изъятия необходимых данных. В этом случае следует: определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его1; осуществить фотографирование или видеозапись изображения на экране дисплея; остановить исполнение программы. Зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них; определить наличие у компьютера внешних устройств-накопителей информации на жестких магнитных дисках (винчестера) и виртуального диска; определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе) результаты своих действий, после чего разъединить сетевые кабели так, чтобы никто не мог изменять или стереть информацию в ходе обыска; 1 Некоторые программные сервисные средства, обеспечивающие вызов и исполнение программы, имеют возможность просмотра наименований всех ранее вызывавшихся программ. |
(в) поиска и изъятия информации и следов воздействия на нее вне ЭВМ. В зависимости от этих целей могут использоваться различные приемы исследования. Цель (в) реализуется традиционными методами, например, поиск и изъятие скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах, на защелках дисководов, кнопках включения питания, участках корпуса около винтов крепления крышки корпуса, клавишах клавиатуры и мыши, разъемах портов и сетевых плат, а также на кнопках печатных устройств и др. В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу; а) документы, носящие следы совершенного преступления, — шифрованные, рукописные записи, телефонные счета, телефонные книги, которые доказывают факты контакта преступников между собой, в том числе и по компьютерным сетям, пароли и коды доступа в сети, дневники связи, сведения о процедурах входа-выхода и пр.; б) документы со следами действия аппаратуры. Всегда следует искать в устройствах вывода (например, в принтерах) бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства; в) документы, описывающие аппаратуру и программное обеспечение (пояснение к аппаратным средствам и программному обеспечению) или доказывающие нелегальность их приобретения (например, ксерокопии описания программного обеспечения в случаях, когда таковые предоставляются изготовителем); г) документы, устанавливающие правила работы с ЭВМ, нормативные акты, регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал; д) личные документы подозреваемого или обвиняемого. * Осмотр и изъятие ЭВМ и ее устройств Следственные действия могут проводиться с работающей (например, при задержании с поличным) и не работающей в момент фиксации компьютерной техникой. Признаками работающего компьютера могут быть подключение его проводами к сети, шум работающих внутри него вентиляторов, мигание или горение индикаторов на передних панелях системного блока, наличие на экране изображения. Если компьютер работает, ситуация, для следователя, проводящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не стоит отказываться от оперативного изъятия необходимых данных. В этом случае следует: • определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его. После остановки программы и выхода в операционную систему иногда при нажатии функциональной клавиши «F3» можно восстановить наименование вызывавшейся последний раз программы1 ; " осуществить фотографирование или видеозапись изображения на экране дисплея; • остановить исполнение программы. Остановка исполнения многих программ осуществляется одновременным нажатием клавиш Ctrl-C, либо Ctrl-Break, либо Ctrl-Q. Часто для окончания работы с программами следует ввести с клавиатуры команды EXIT или QUIT, иногда достаточно нажать клавишу «Esc» или указать курсором на значок прекращения работы программы; • зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них; • определить наличие у компьютера внешних устройств-накопителей информации на жестких магнитных дисках (винчестера) и виртуального диска; • определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе) результаты своих действий, после чего разъединить сетевые кабели так, чтобы никто не мог изменять или стереть информацию в ходе обыска (например, отключить телефонный шнур, не шнур питания!, из модема); • скопировать программы и файлы данных, хранимые на виртуальном диске, на магнитный носитель. Копирование осуществляется стандартными средствами ЭВМ или командой DOS COPY; • выключить подачу энергии в компьютер и далее действовать по схеме «компьютер не работает». ' Некоторые программные сервисные средства, обеспечивающие вызов и исполнение программы, имеют возможность просмотра наименований всех ранее вызывавшихся программ. Если компьютер не работает, следует: • точно отразить в протоколе и на прилагаемой к нему схеме местонахождение компьютера и его периферийных устройств (печатающее устройство, дисководы, дисплей. клавиатуру и т.п.); • точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения. Удачным решением является точная маркировка, например, с помощью надписанных листочков с липкой поверхностью, каждого кабеля и устройства, а также портов, к которым кабель соединяется перед разъединением. Следует маркировать каждый незанятый порт как «незанятый»; • с соблюдением всех возможных мер предосторожности . разъединить устройства компьютера, предварительно обесточив его. Следует помнить, что матричные принтеры оставляют следы на красящей ленте, которая может быть восстановлена в ходе ее дальнейшего экспертного исследования; • упаковать раздельно (с указанием в протоколе и на конверте места обнаружения) носители на дискетах и магнитных лентах (индивидуально или группами) и поместить их в оболочки, не несущие заряда статического электричества; • упаковать каждое устройство и соединительные кабели, провода, имея в виду необходимость аккуратной транспортировки компьютерной техники; • защитить дисководы гибких дисков согласно рекомендациям изготовителя. Некоторые из них предлагают вставлять новую дискету или часть картона в щель дисковода. Особенной осторожности требует транспортировка винчестера (жесткого диска). Некоторые системы безопасной остановки («парковки») винчестера автоматически срабатывают каждый раз, когда машина выключается пользователем, но в некоторых системах может требоваться специальная команда компьютеру. Если в ходе осмотра и изъятия все же в крайнем случае понадобится запуск компьютера, это следует делать во избежании запуска программ пользователя с помощью собственной загрузочной дискеты. * Поиск и изъятие информации и следов воздействия на нее в ЭВМ и ее устройствах Поиски информации и программного обеспечения гораздо более сложные, поскольку всегда требуют специальных познаний. Существует фактически два вида поиска: |