на жестких дисках ЭВМ, дискетах, магнитных лентах, лазерных и магнитооптических дисках, флеш-картах. Кроме того, магнитные носители могут нести следы уничтожения или модификации информации (удаление из каталогов имен файлов, стирание или добавление отдельных записей, физическое разрушение или размагничивание носителей). Компьютерно-техническими следами являются также результаты работы антивирусных и тестовых программ. Данные следы могут быть выявлены при изучении компьютерного оборудования, рабочих записей программистов, протоколов работы антивирусных программ1, программного обеспечения. Для выявления подобных следов необходимо участие специалистов. Компьютерно-технические следы могут оставаться и при опосредованном (удаленном) доступе через компьютерные сети, например через Интернет. Они возникают в силу того, что система, через которую производится доступ, обладает некоторой информацией, которая запрашивается у лица, пытающегося установить связь с другим компьютером. Она определяет электронный адрес, используемое программное обеспечение и его версию. Кроме того, при доступе в сеть обычно запрашивается адрес электронной почты, реальное имя и другие данные. Эту информацию запрашивает системный администратор (провайдер) для контроля обращений на его сервер, и это также позволяет идентифицировать личность проникающего в сеть. Значительный интерес представляют данные об установках удаленного доступа к компьютерной сети. В реестре операционной системы информация о всех способах соединения представлена в ключе HKEY_CURRENTUSER\RemoteAccess\ProfiIe. Следует отметить, что многие программы фирмы Microsoft создают резервные копии файлов, файлы-отчеты, сохраняют информацию о последних проделанных операциях и выполненных программах, время выхода в сеть, посещенные сайты, отправленные и полученные по электронной почте письма, 1 Например, результаты работы широко распространенной антивирусной программы «Ог\УеЬ»отражаются в файле «report, web», содержимое которого можно легко просмотреть. 53 |
леводза1, Ю.В. Гаврилина2, А.Ю. Головина3, В.В. Крылова4, В.А. Мещерякова5, / 7 ___ О Н.С. Полевого , А.В. Сорокина , Б.В. Андреева, П.Н. Пака, В.П. Хорста , и др. Названные следы остаются на машинных носителях информации и отражают изменения в хранящейся в них информации (по сравнению с исходным состоянием). Речь идет о следах модификации информации (баз данных, программ, текстовых файлов, файлов-отчетов и протоколов работы, системного реестра, учетных записей пользователей сети Интернет и др.), находящейся на жестких дисках ЭВМ, дискетах, магнитных лентах, лазерных и магнитооптических дисках, флеш-картах. Кроме того, магнитные носители могут нести следы уничтожения или модификации информации (удаление из каталогов имен файлов, стирание или добавление отдельных записей, физическое разрушение или размагничивание носителей). Компьютерно-техническими следами являются также результаты работы антивирусных и тестовых программ. Данные следы могут быть выявлены при изучении компьютерного оборудования, рабочих записей программистов, протоколов работы антивирусных программ9, 1 Волеводз А.Г, Противодействие компьютерным преступлениям: правовые основы международного сотрудничества. М.: Юрлитинформ, 2002. 2 Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации. М.: Книжный мир, 2001; Преступления в сфере компьютерной информации: квалификация и доказывание / Под ред. Ю.В. Гаврилниа. М.: Книжный мир, 2003. 3 Головин А.Ю., Мусава У.А., Толстухина Т.В. Актуальные проблемы расследования преступлений в сфере компьютерной информации. Тула: Изд-во Тульского гос. ун-та, 2001. 4 Крылов В.В. Информационные компьютерные преступления. М.: ИНФРА*МНОРМА, 1997; Крылов В.В. Расследование преступлении в сфере информации. М.: Городец, 1998. 5 Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж: Изд-во Воронежского гос. ун-та, 2002. 6 Компьютерные технологии в юридической деятельности / Под ред. Н.С. Полевого. М.: БЕК, 1994. 7Сорокин А.В. Компьютерные преступления: уголовно-правовая характеристика, методика и практика раскрытия и расследования. Курган, 1999. 8 Андреев Б.В., Пак П.Н., Хорст В.П. Расследование преступлений в сфере компьютерной информации. М.: Юрлитинформ, 2001. 9 Например, результаты работы широко распространенной антивирусной программы «ОгШеЬ»отражаются в файле «report, web», содержимое которого можно легко просмотреть. программного обеспечения. Для выявления подобных следов необходимо участие специалистов. Компьютерно-технические следы могут оставаться и при опосредованном (удаленном) доступе через компьютерные сети, например через Интернет. Они возникают в силу того, что система, через которую производится доступ, обладает некоторой информацией, которую эта система запрашивает у лица, пытающегося соединиться с другим компьютером. Она определяет электронный адрес, используемое программное обеспечение и его версию. Кроме того, при доступе всеть обычно запрашивается адрес электронной почты, реальное имя и другие данные. Эту информацию запрашивает системный администратор (провайдер) для контроля обращений на его сервер, и это также позволяет идентифицировать личность проникающего в сеть. Значительный интерес представляют данные об установках удаленного доступа к компьютерной сети. В реестре операционной системы информация о всех способах соединения представлена в ключе HKEY_CURRENT_USER \ RemoteAccess\ Profile. Следует отметить, что многие программы фирмы Microsoft создают резервные копии файлов, файлы-отчеты, сохраняют информацию о последних проделанных операциях и выполненных программах, а также содержат иную информацию, представляющую огромный интерес для расследования. Широко распространенная программа электронной почты Microsoft Outlook Express все письма, которые были отправлены, получены или удалены, хранит в своей базе данных. Эти файлы расположены в директории \Windows\ApIication\Microsoft\Outlook Express\Mail\ с расширениями IDX и мвх. Почтовые отправления программы Microsoft Outlook находятся в каталоге: C:\Documents and Settings\User\Local SettingsNApp1ication Data\Microsoft\Outlook\archive.pst. 62 рабочих записей программистов, протоколов работы антивирусных программ, программного обеспечения. Для выявления подобных следов необходимо участие специалистов. Компьютерно-технические следы могут оставаться и при опосредованном (удаленном) доступе через компьютерные сети, например через Интернет. Они возникают в силу того, что система, через которую производится доступ, обладает некоторой информацией, которую эта система запрашивает у лица, пытающегося соединиться с другим компьютером. Она определяет электронный адрес, используемое программное обеспечение и его версию. Кроме того, при доступе в сеть обычно запрашивается адрес электронной почты, реальное имя и другие данные. Эту информацию запрашивает системный администратор (провайдер) для контроля обращений на его сервер, и это также позволяет идентифицировать личность проникающего в сеть. Компьютерно-технические следы преступления представляют собой результаты преобразования компьютерной информации в форме уничтожения, копирования, блокирования или модификации, причинно связанные с событием преступления. Классификация лиц, совершающих преступления в сфере экономики с использованием средств компьютерной техники, на основе степени владения информационными технологиями включает: лиц, не обладающих серьезными познаниями в области программирования и компьютерной техники, имеющих лишь некоторые пользовательские навыки работы с ЭВМ; профессионально владеющих информационными технологиями лиц (кракеров, фрикеров, кардеров, хакеров). При совершении преступлений в сфере экономики с использованием средств компьютерной техники, в большинстве случаев, имеют место полноструктурные способы преступлений, включающие в себя систему действий по их подготовке, совершению и сокрытию. 158 |