Рекомендації щодо проведення слідчих дій на подальших етапах
Оскільки результати комп’ютерно-технічної експертизи, особливо експертизи програмного забезпечення, прямо залежать від збереження інформації на внутрішніх і зовнішніх магнітних носіях, необхідно при вилученні об’єктів дотримуватись правил, які були вказані вище.
Протягом розслідувань, що пов’язані з комп’ютерами та комп’ютерними системами, найважливішим є уникнути дій, які можуть пошкодити чи змінити наявну інформацію, так чи інакше змінити цілісність вилучених даних. Використання відпрацьованих та перевірених процедур та методик зменшує, але повністю не виключає такої можливості. В ряді випадків окремі дані системи неминуче будуть змінені або переписані в ході проведення досліджень системи, наприклад, зміна тимчасових файлів, поява змін при закритті програм-додатків, на бітовому рівні можуть бути внесені зміни в парольний захист. Особи, які проводять дослідження комп’ютерної системи, мають чітко уявляти всі побічні негативні наслідки проведених з системою операцій та ретельно фіксувати кожен свій крок дослідження, щоб могти пояснити, чому й які зміни відбулися в системі.
Комп’ютери та їх комплектуючі опечатуються шляхом наклеювання на місця з’єднань аркушів паперу із закріпленням їх країв на бокових стінках комп’ютера густим клеєм або клейкою стрічкою, щоб виключити роботу з ними за відсутності власника або експерта. Магнітні носії упаковуються та транспортуються у спеціальних екранованих контейнерах або у стандартних чи інших алюмінієвих футлярах заводського виготовлення, які виключають руйнівний вплив електромагнітних і магнітних полів, направлених випромінювань. Опечатуються тільки контейнери або футляри. Пояснювальні записи можуть наноситись тільки на етикетки для дискет, причому спочатку робиться запис, а потім етикетка наклеюється на призначене для неї місце на дискеті. Якщо на дис-
кеті вже є етикетка з яким-небудь написом, то проставляється тільки порядковий номер, а пояснювальні написи під ним робляться на окремому аркуші, який вкладається в коробку.
Неприпустимо приклеювати будь-що безпосередньо до магнітного носія, пропускати через нього нитку, пробивати отвори, робити підписи, помітки, ставити печатки тощо.У постанові про призначення експертизи вказують серійний номер комп’ютера та його індивідуальні ознаки (конфігурація, колір, написи на корпусі).
Обов’язковою нормою слідчої та експертної практики має стати виготовлення повної копії комп’ютерної системи (її моделі), і всі дослідження слід проводити з нею, а не з оригіналом. Як правило, такий шлях можливий у будь-якому випадку. Дані, що містяться в системі, можна поділити на три великі категорії:
1) ті, що існують на файловому рівні;
2) ті, що були знищені, але їх можна відновити на файловому рівні;
3) окремі частки даних, що раніше були частками окремих файлів і які вже неможливо відновити на файловому рівні.
Слід зазначити, що проведення досліджень з цих питань - це процес, який недешево коштує і вимагає значних затрат часу.
Неможливо перерахувати всі методи, обладнання та апаратно- програмне забезпечення, які використовуються для аналізу електронної інформації. З цією метою використовують як загальнодоступні програмні засоби, так і спеціально розроблені програми для правоохоронних органів та експертних лабораторій. Вивчення вилученого матеріалу проводиться, як правило, у спеціалізованих підрозділах, органах судової експертизи, спеціалізованих приватних компаніях, науково-дослідних установах, дослідницьких центрах.
Також слід звернути увагу на великий обсяг інформації, яка за допомогою комп’ютерної техніки може зберігатися або використовуватися зі злочинною метою.
Це насамперед:
- тексти найрізноманітнішого змісту (договори, листи, бланки документів, ділові записи та інші документи);
- графічні файли, в яких зберігаються зображення грошових знаків та інших цінних паперів, бланків, документів (технічних паспортів автотранспорту, посвідчень водія тощо), інша графічна інформація;
- електронні таблиці, в яких містяться балансові звіти підприємств, інформація про рух матеріальних цінностей та ін.;
- бази даних, які можуть містити доказову інформацію.
Потрібна інформація може знаходитись у вигляді файлів на носіях
інформації персональних комп’ютерів, які являють собою:
- накопичувачі на гнучких магнітних дисках (далі за текстом - ГМД);
- накопичувачі на жорстких магнітних дисках (далі за текстом - ЖМД) двох типів: змінні й незмінні, тобто ті, що встановлюються в системний блок, та виносні, які підключаються до спеціального пристрою. Цей пристрій знаходиться поза системним блоком і зв’язаний з ним за допомогою спеціального кабелю та інтерфейсом або цей же самий пристрій може бути вмонтований у системний блок (виносні накопичувачі вставляються в нього як звичайні ГМД);
- касети з магнітною плівкою, спеціально призначені для резервного архівування та зберігання інформації;
- оптичні диски, які за зовнішнім виглядом дуже схожі на аудіо компакт-диски і бувають двох типів:
1) CD-R, DVD-R - оптичний диск, на який можливо записувати та дописувати інформацію, але без змоги перезапису;
2) CD-RW, DVD-RW - оптичні диски, що дозволяють як записувати, так і стирати інформацію.
Крім того, інформація може знаходитись у оперативній пам’яті комп’ютера, коли він працює. Для збереження цієї інформації необхідно записувати її на дискету (ГМД) або на жорсткий магнітний диск (ЖМД).
Також є можливість встановити дату і час внесення останніх змін у будь-який файл, який цікавить. Особливу увагу слід звернути на інформацію, що міститься в знищених файлах, котру можна відновити і переглянути за допомогою деяких програм (наприклад, з пакету Norton Utilities).
При необхідності можна вилучити дискету, касету з магнітною плівкою або лазерний диск з інформацією, але спочатку необхідно підготувати упаковку для них. Це може бути поліетиленовий пакет, паперовий конверт або коробка з немагнітного матеріалу. На упаковці або бірці, прикріпленій до пакета, необхідно зробити відповідні написи і підписи. Після цього в пакет вкладається вилучений носій інформації. Пакет закривається і опечатується, його треба оберігати від будь-яких механічних, магнітних та теплових впливів.
У випадку вилучення ГМД (ЖМД) необхідно:
1) відключити від струму системний блок;
2) зняти захисний кожух (кришку) з системного блоку;
3) від’єднати ЖМД;
4) запакувати ГМД (ЖМД) відповідно до вищезазначених правил пакування з дотриманням таких вимог обережності:
- не торкатися до магнітного шару на дискетах, касетах з магнітною плівкою;
- не торкатися радіоелементів на платі жорстких магнітних дисків;
- не допускати попадання на робочу поверхню різних мікрооб’єктів;
- не підносити вилучений носій інформації до джерел електромагнітних випромінювань;
- зберігати при температурі не нижче -10 0С, не вище +52 0C.
Якщо є можливість, то необхідно вилучати весь персональний
комп’ютер.
З усіх питань, які цікавлять слідчого, орган дізнання, вони мають звертатись за допомогою до спеціаліста або експерта для проведення досліджень.
Перед експертами можна ставити такі питання:
- який склад програмних засобів встановлено на інформаційній системі (ІС) та чи можна за їх допомогою здійснити дії, що інкримінуються обвинуваченому?
- з якими інформаційними ресурсами працював користувач ІС?
- чи не є виявлені файли копіями інформації, що знаходилася в конкретній ІС?
- чи не є виявлені документи документами, які створювалися в конкретній ІС, якщо вони були потім знищені на ІС?
- коли (день, місяць, час, хвилина), ким (кому належить той чи інший пароль доступу), на якій ІС (кому належить робоче місце) проводилася робота на ІС з конкретною інформацією?
- чи не є витік інформації результатом інсталяції спеціалізованого програмного забезпечення?
- чи не заражені вірусом представлені файли (або ІС), і якщо так, то яким саме, яка його дія (знищення, копіювання, модифікація, передача в мережу інформації тощо)?
- чи не містять представлені файли (або ІС) „програмних закладок” і якщо так, то якого саме виду, яка їх дія (знищення, копіювання, модифікація, передача інформації в мережу тощо)?
- чи не є представлені тексти на паперовому носії записами, які потім набиралися конкретним користувачем ІС у конкретному електронному документі?
- чи зазнавала дана комп’ютерна інформація знищення, копіювання, модифікації?
- які правила експлуатації ІС (політика безпеки) існують у даній інформаційній системі та чи були порушені ці правила (робота на ІС у неробочий час, самовільне підключення модему до ІС та інсталяція несанкціонованого програмного забезпечення тощо)?
- чи знаходиться порушення правил експлуатації в причинному зв’язку із знищенням, копіюванням, модифікацією інформації?
- встановити електронні адреси несанкціонованих передач конкретної інформації, хто отримав цю інформацію та яка саме інформація була передана.
У процесі розслідування може статися так, що слідчий чітко знає, який доказ він бажає знайти в комп’ютерній системі: конкретний документ чи угоду. В цьому випадку завдання полегшується і потрібно тільки встановити місцезнаходження цієї інформації в системі. Але ситуація різко змінюється, якщо конкретно невідомо, яка інформація може представляти інтерес для слідства. В цьому випадку особа, що веде розслідування, змушена з допомогою експерта ознайомитись з усіма вилученими матеріалами. Сам експерт не може виконати цю роботу, оскільки повною мірою не ознайомлений з обставинами справи і не може оцінити доказову силу тієї чи іншої інформації.
Опис можливостей операційних систем по документуванню злочинів
При роботі з ОС Windows створюється велика кількість тимчасової інформації й дуже часто ця інформація довгий час зберігається на жорсткому диску. Це можуть бути дублікати різних документів, тимчасові файли, створені операційною системою або програмним забезпеченням, і.т.п.
Тимчасові файли ОС Windows можна знайти в наступних директоріях:
%SystemRoot%T emp
( %SystemRoot% - каталог, у який установлена Windows).
%HomeDrive%%HomePath%Temp
( %HomePath% - Папка Documents and Settings
Еще по теме Рекомендації щодо проведення слідчих дій на подальших етапах:
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій
- Проведення окремих слідчих (розшукових) дій