|
89 •V скопировать программы и файлы данных, хранимые на виртуальном диске, на магнитный носитель; выключить подачу энергии в компьютер и далее действовать по схеме «компьютер не работает». Если компьютер не работает, следует: точно отразить в протоколе и на прилагаемой к нему схеме местонахождение компьютера и его периферийных устройств (печатающее устройство, дисководы, дисплей, клавиатуру и т.п.); точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения. Удачным решением является точная маркировка, например, с помощью надписанных листочков с липкой поверхностью, каждого кабеля и устройства, а также портов, к которым кабель соединяется перед разъединением. Следует маркировать каждый незанятый порт как «незанятый»; с соблюдением всех возможных мер предосторожности разъединить устройства компьютера, предварительно обесточив его. Следует помнить, что матричные принтеры оставляют следы на красящей ленте, которая может быть восстановлена в ходе ее дальнейшего экспертного исследования; упаковать раздельно (с указанием в протоколе и на конверте места обнаружения) носители на дискетах и магнитных лентах (индивидуально или группами) и поместить их в оболочки, не несущие заряда статического электричества; упаковать каждое устройство и соединительные кабели, провода, имея в виду необходимость аккуратной транспортировки компьютерной техники; защитить дисководы гибких дисков согласно рекомендациям изготовителя. Некоторые из них предлагают вставлять новую дискету или часть картона в щель дисковода. |
• определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его. После остановки программы и выхода в операционную систему иногда при нажатии функциональной клавиши «F3» можно восстановить наименование вызывавшейся последний раз программы1 ; " осуществить фотографирование или видеозапись изображения на экране дисплея; • остановить исполнение программы. Остановка исполнения многих программ осуществляется одновременным нажатием клавиш Ctrl-C, либо Ctrl-Break, либо Ctrl-Q. Часто для окончания работы с программами следует ввести с клавиатуры команды EXIT или QUIT, иногда достаточно нажать клавишу «Esc» или указать курсором на значок прекращения работы программы; • зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них; • определить наличие у компьютера внешних устройств-накопителей информации на жестких магнитных дисках (винчестера) и виртуального диска; • определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе) результаты своих действий, после чего разъединить сетевые кабели так, чтобы никто не мог изменять или стереть информацию в ходе обыска (например, отключить телефонный шнур, не шнур питания!, из модема); • скопировать программы и файлы данных, хранимые на виртуальном диске, на магнитный носитель. Копирование осуществляется стандартными средствами ЭВМ или командой DOS COPY; • выключить подачу энергии в компьютер и далее действовать по схеме «компьютер не работает». ' Некоторые программные сервисные средства, обеспечивающие вызов и исполнение программы, имеют возможность просмотра наименований всех ранее вызывавшихся программ. Если компьютер не работает, следует: • точно отразить в протоколе и на прилагаемой к нему схеме местонахождение компьютера и его периферийных устройств (печатающее устройство, дисководы, дисплей. клавиатуру и т.п.); • точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения. Удачным решением является точная маркировка, например, с помощью надписанных листочков с липкой поверхностью, каждого кабеля и устройства, а также портов, к которым кабель соединяется перед разъединением. Следует маркировать каждый незанятый порт как «незанятый»; • с соблюдением всех возможных мер предосторожности . разъединить устройства компьютера, предварительно обесточив его. Следует помнить, что матричные принтеры оставляют следы на красящей ленте, которая может быть восстановлена в ходе ее дальнейшего экспертного исследования; • упаковать раздельно (с указанием в протоколе и на конверте места обнаружения) носители на дискетах и магнитных лентах (индивидуально или группами) и поместить их в оболочки, не несущие заряда статического электричества; • упаковать каждое устройство и соединительные кабели, провода, имея в виду необходимость аккуратной транспортировки компьютерной техники; • защитить дисководы гибких дисков согласно рекомендациям изготовителя. Некоторые из них предлагают вставлять новую дискету или часть картона в щель дисковода. Особенной осторожности требует транспортировка винчестера (жесткого диска). Некоторые системы безопасной остановки («парковки») винчестера автоматически срабатывают каждый раз, когда машина выключается пользователем, но в некоторых системах может требоваться специальная команда компьютеру. Если в ходе осмотра и изъятия все же в крайнем случае понадобится запуск компьютера, это следует делать во избежании запуска программ пользователя с помощью собственной загрузочной дискеты. * Поиск и изъятие информации и следов воздействия на нее в ЭВМ и ее устройствах Поиски информации и программного обеспечения гораздо более сложные, поскольку всегда требуют специальных познаний. Существует фактически два вида поиска: |