|
системной плате указанного переключателя нет, то параметры CMOS, в том числе и пароль, можно стереть, удалив на несколько часов с системной платы батарею CMOS. Любой из использованных способов преодоления парольной защиты должен быть отражен в протоколе следственного действия. На данной стадии осмотра фиксируется текущее состояние компьютерной информации, выявляются признаки, указывающие на характер произошедшего события и его последствия: уничтожение, блокирование, модификация, копирование информации, нарушение работы ЭВМ, их системы или сети; устанавливается способ совершения преступления. Для этого с помощью специалиста в области компьютерных средств наблюдается действие программ, содержимое текстовых файлов и баз данных. При этом особое внимание следует уделить изучению, данных файлов регистрации системных событий. В частности, в файлах регистрации может получить отражение информация о паролях пользователей, их именах, идентификационных номерах. В последствии данная информация может быть использована для установления лица, совершившего преступление. Большой информационной ценностью обладает протокол выхода в сеть Интернет с определенного компьютера. Он автоматически ведется на каждом компьютере, с которого возможен выход во всемирную сеть (количество дней его хранения определяется пользователем). Так же представляют интерес данные о пользователе электронной почты (фамилия, имя, отчество, дата и место рождения, место жительства, работы и пр.). В большинстве случаев добросовестный пользователь заинтересован в предоставлении достоверной информации для получения электронных сообщений. При этом специалист-криминалист производит поиск традиционных следов преступления, обращая внимание не только на наличие (отсутствие) физических повреждений компьютерной техники, магнитных носителей и т.п., но и на состояние окон, дверей и запорных устройствах на них. Если выясняется, что имел место непосредственный доступ к компьютерной технике 96 |
Следует отметить, что нередко персональные компьютеры имеют различные формы защиты от свободного доступа к данным. Одной из наиболее простых форм защиты является установка CMOS-пароля1, для чего пользователь в программе установки CMOS задействует функцию Password. В результате, чтобы произвести загрузку операционной системы, требуется введение пароля. Однако, разработчики базовых систем ввода-вывода (BIOS) предусмотрели универсальные пароли для соответствующих типов и версий BIOS-ов. К ним, в частности, относятся: AWARD SW, AWARD WG, ALFAROME, BIOSTAR, SKY FOX, 01322222, J262, J256, J322, J09F, ZBAAACA, ZAAADA, ZJAAADC, TTPTHA, Ikwpeter, KDD, HLT, SER, h6BB, TzqF, g6PJ, tOcH88, toh2Dx, lEAAh, aPAf, Syxz, Wbdj, award2. Если ни один из универсальных паролей не подошел, то существует способ физической переустановки CMOS непосредственно с системной платы. Для этого на ней имеется переключатель. При этом следует иметь в виду возможность уничтожения криминалистически значимой информации (параметров жесткого диска, установки включения питания, даты и времени)3. Если на системной плате указанного переключателя нет, то параметры CMOS, в том числе и пароль, можно стереть, удалив на несколько часов с системной платы батарею CMOS. Сдует иметь в виду, что любой из использованных способов преодоления парольной защитыдолжен быть отражен в протоколе следственного действия. На данной стадии осмотра фиксируется текущее состояние компьютерной информации, выявляются признаки, указывающие на характер произошедшего события и его последствия: уничтожение, блокирование, модификация, 1CMOS это микросхема, содержимое которой является частью встроенного в системную плату программного обеспечения, ответственного за поддержку кодов и параметров настройки базовой системы ввода-вывода (иначе, BIOS basic input /output system). 2По материалам www.passwords.ru. 3 На данное обстоятельство обоснованно указывает А.И. Усов. См.: Усов А.И. Судебно-экспертное исследование компьютерных средств и систем. М., 2003. С. 56. 124 копирование информации, нарушение работы ЭВМ, их системы или сети; устанавливается способ совершения преступления. Для этого с помощью специалиста в области компьютерных средств наблюдается действие программ, содержимое текстовых файлов и баз данных. При этом особое внимание следует уделить изучению имеющихся в большинстве компьютерных систем файлов регистрации. Какое бы событие ни произошло в системе, информация о нем (в том числе, кто инициировал его, когда и в какое время оно произошло, какие при этом были затронуты файлы) регистрируется в этих файлах. В частности, в файлах регистрации может получить отражение информация о паролях пользователей, их именах, идентификационных номерах. Впоследствии данная информация может быть использована для установления компьютера, с которого произошел неправомерный доступ ккомпьютерной информации. Большой информационной ценностью обладает протокол выхода в сеть Интернет с определенного компьютера. Он автоматически ведется на каждом компьютере, с которого возможен выход во всемирную сеть (количество дней его хранения определяется пользователем). Так же представляют интерес данные о пользователе электронной почты (фамилия, имя, отчество, дата и место рождения, место жительства, работы и пр.). В большинстве случаев добросовестный пользователь заинтересован в предоставлении достоверной информации для получения электронных сообщений. При этом специалист-криминалист производит поиск традиционных следов преступления, обращая внимание не только на наличие (отсутствие) физических повреждений компьютерной техники, магнитных носителей и т.п., но и на состояние окон, дверей и запорных устройствах на них. Если выясняется, что имел место непосредственный доступ к компьютерной технике и информации, то с помощью специалиста-криминалиста необходимо отыскивать следы пальцев рук, микрочастицы на клавиатуре, корпусе ЭВМ, мониторе, принтере и т.п. 125 |