§ 5. Методы и средства экспертного исследования компьютерных средств
Однако при производстве КТЭ как процессуального действия помимо упомянутых общенаучных методов важное место занимают специальные
методы, называемые также общеэкспертными, многие из которых разработаны в общей теории судебной экспертизы наукой и используются в других экспертных исследованиях. Так, например, при исследовании компьютерных средств общеэкспертными методами, используемыми также в большинстве других родов и видов судебных экспертиз, являются: методы анализа изображений, состава, структуры, различных свойств представленных объектов.
В то же время решение конкретных экспертных задач связано с использованием специальных методов уже обозначенных научных направлений — электроника, электротехника, радиотехника и связь, автоматизация, информационные системы и процессы, вычислительная техника и программирование.
Так, например, при экспертном исследовании криминалистически значимой компьютерной информации широко используются методы, реализованные в большинстве стандартных утилит и сервисных программах.
По алгоритму доступа и анализа информации эти методы могут быть классифицированы как методы организации и содержания файловых структур на носителе данных, организации форматов данных, доступа к данным, восстановления удаленных данных, архивации, парольной защиты и пр. Экспертиза программных объектов базируется на таких основных методах, как дисассемблирование программ, их отладка и мониторинг, при котором отслеживаются все прерывания, вызываемые исследуемой программой. В компьютерных сетях, кроме того, важное место занимают методы организации сетевого обмена и пр. В целом эти достаточно известные специальные методы могут быть положены в основу формирования частноэкспертных методов КТЭ. Совершенно очевидно, что при таком рассмотрении указанные выше методы технических наук нуждаются в определенной трансформации в су-дебно-экспертные методы.Разработка, апробация, внедрение и дальнейшее использование методов в экспертных методиках во многом определяются средствами производства экспертизы — как нынешними, соответствующими современным требованиям, так и перспективными, нацеленными на будущее развитие информационных технологий. В общем случае, экспертные средства — это стендовое оборудование, приборы, инструменты, материалы и т. д. — для собирания, исследования, оценки и использования судебных доказательств. Для экспертиз компьютерных средств они могут использоваться как автономно, так и в комплексе, оформленном в виде компьютеризированного рабочего места (КРМ) эксперта по КТЭ.
Указанные КРМ в настоящее время планируется ориентировать в первую очередь на производство экспертизы следующих типичных объектов: системный блок IBM совместимого компьютера с жестким диском HDD с интерфейсом ATA(IDE) или SCSI; другие накопители данных — флоппи-диск, CD-ROM, магнитооптические диски; сервер (на платформе Intel-процессоров либо совместимых с ними) с RAID-массивами; системное (прежде всего операционные системы MS DOS, OS/2, Windows З.Х, 95, 98, 2000, ХР,
NT, NetWare, Unix) и прикладное программное обеспечение указанных аппаратных средств, а также информационные объекты (данные) — файлы, подготовленные с использованием соответствующих прикладных программ— с расширениями текстовых форматов (.txt, .doc...), графических форматов (.bmp, .jpg, .tif, .cdr...), форматов баз данных (.dbf, .mdb...), электронных таблиц (.xls, .cal...) и др.
Разработанная методика с указанным инструментальным обеспечением позволяет сегодня полноценно решать ряд диагностических и идентификационных задач экспертного исследования компьютерной информации, содержащейся на жестком диске IBM-совместимых персональных компьютеров. В дальнейшем же подобные КРМ и методики их использования должны постоянно развиваться, модифицироваться и, по возможности, охватывать весь перечень потенциальных объектов КТЭ. В целях систематизации все экспертные средства КТЭ предлагается также классифицировать по видовому признаку: аппаратные средства — стендовые компьютеры с устройствами чтения (записи) разновидных носителей данных, широкий спектр периферийных устройств и т. д.; программные средства — программное обеспечение для диагностики, просмотра, восстановления данных различных форматов, работы с архивами, дисассемблирования и отладки программ, всевозможные антивирусные программы и пр.; аппаратно-программные средства — специально сконфигурированные комплексы указанных выше компонентов. Отдельным классом выделяются аппаратно-программные системы по экспертному исследованию персональных органайзеров, мобильных телефонов, пейджеров, смарт-карт и т. п.; перспективные инструментальные средства широкого назначения: микропроцессорные стенды (микропроберы); станции микропроцессорного программирования; инструментальные средства химической декапсуляции микросхем; рентгеновские мини-камеры; растровые сканирующие микроскопы; осциллографы с цифровой памятью; логические анализаторы и т. д.
Как видно, в настоящее время методы и средства решения задач экспертного исследования компьютерных средств находятся лишь в стадии своего становления, требуют достаточно глубокого своего развития в направлении судебно-экспертной специализации и интеграции с широким набором специальных методов предметных наук.
Типичный объект экспертного исследования (составляющий 75% от всех представляемых эксперту объектов) — это не являющийся сетевым сервером системный блок IBM-совместимого компьютера (с файловой системой FAT16(FAT32) и интерфейсом IDE).
Поэтому считаем необходимым уделить особое внимание основному содержанию экспертного исследования IBM-совместимого персонального компьютера. Ключевым моментом работы эксперта должно явиться соблюдение процессуальных требований при съеме информации с компьютера, а именно фиксация аппаратной конфигурации и информации, содержащейся в представленном компьютере, в неизменном виде. В общем случае методика экспертного исследования состоит из следующих основных этапов:— внешний осмотр и подробное описание внешнего вида системного блока и его аппаратного содержания (конфигурации) при снятом кожухе;
— извлечение по определенным правилам из системного блока жесткого диска (HDD) и его последующее исследование на стендовом оборудовании;
— соединение системного блока исследуемого компьютера в соответствии с эксплуатационными правилами с дополнительными устройствами компьютера (монитор, клавиатура, мышь), подключение к сети электропитания 220 В и его последующее экспертное исследование (без винчестера);
— приведение исследуемого системного блока к первичному виду (подключение винчестера, закрытие кожуха и т. д.).
При включении исследуемого компьютера загрузка операционной системы после тестирования прерывается соответствующей клавишей (чаще всего lt;Delgt;) для выявления технических характеристик, установленных в BIOS (базовая система ввода/вывода). Просмотр установок системного блока с помощью программы SETUP выявляет установку главных позиций и параметров устройств на материнской плате, результаты детектирования — автоматического поиска и определения состояния контроллеров HDD, наличие парольной защиты и др. В SETUP следует установить порядок загрузки операционной системы (ОС) с дисковода «А:». Загрузку ОС обычно производят с загрузочной дискеты эксперта, предварительно подготовленной в ОС Windows 95 OSR2 (RUS) (работает с FAT16 и FAT32).
Для исследований извлеченного винчестера обычно используется стендовый компьютер с ОС, аналогичной установленной на исследуемом системном блоке. Винчестер стендового компьютера подключается на primary (основной) канал интерфейса IDE в качестве master (главного) диска, а винчестер исследуемого системного блока подключается к secondary (дополнительному) контроллеру IDE (в дальнейшем этот винчестер будем называть исследуемым).
При такой схеме подключения винчестеров загрузка ОС происходит с основного (стендового) винчестера, а исследуемый рассматривается в ОС как дополнительный диск.Дальнейшая работа с исследуемым винчестером происходит с помощью программных инструментальных средств, предварительно инсталлированных на стендовом компьютере. Порядок применения тех или иных методов экспертного исследования строится строго в зависимости от задач, стоящих перед экспертом. Однако непременным условием всей работы является обеспечение неизменности первичных данных на исследуемом HDD. Это может быть реализовано с помощью создания точной копии данных, хранящейся на носителях данных. Например, для большинства настольных систем достаточно создать копию жесткого диска. Для этого может быть использован широкий набор устройств и средств резервного копирования. Такая копия для последующего производства экспертизы может быть получена на дополнительном жестком диске стендового компьютера. При этом основные технические параметры этого дополнительного винчестера (емкость, среднее время доступа к данным и др.) должны по возможности совпадать с параметрами жесткого диска исследуемого компьютера. При невозможности получения резервной копии винчестера экспертом должны быть предприняты
все меры для обеспечения сохранности исследуемой информации (например, путем использования соответствующих программных блокираторов записи типа Disklock, HDSEntry и др.) и максимального копирования имеющейся информации на винчестер стендового компьютера.
Для просмотра содержимого скопированных файлов в ОС Windows 95(98) широко используется стандартная оболочка для работы с файлами — Explorer (Проводник), а также программные средства диагностики и анализа: System Information (Norton Utilites, Symantec) и Norton Commander 5.0 (Symantec Corp.). Более широкий спектр возможностей, в том числе дешифровку ряда шифровальных алгоритмов данных и мониторинг дискового пространства, обеспечивает программа PowerDesk Utilites (Mijenix Corp.).
Полезным в работе эксперта может оказаться и такой диспетчер файлов, как программа Turbo Browser (Pacific Gold Coast Corp.). Программа мощнее Проводника Windows поддерживает работу с архивами, обеспечивает встроенный просмотр файлов различных форматов (в том числе преобразует графические форматы).Если речь идет о получении первоначального доступа к информации в исследуемых файлах, может быть использован Norton Commander 5.0. С помощью этого программного продукта (функциональная клавиша lt;F3gt;) может быть просмотрено большинство форматов данных, наиболее часто используемых в различных приложениях. Внимания экспертов также заслуживают программы KeyView Pro (Verity Software Corp.) и Quick View Plus (Inso Corp.), обеспечивающие тесную интеграцию с Windows, поддержку большого числа форматов, возможность распаковки файлов. Одним из неотъемлемых условий доступа к деловой информации является использование пакета Microsoft Office 97 (2000).
При исследовании баз данных, кроме перечисленных выше средств, могут быть использованы специализированные программы по анализу широкого набора типов баз данных: EnCasO, ILook, IRC, Data Mining, 2y_index, 12. Однако последние находят свое широкое применение пока лишь в зарубежной экспертной практике из-за высокой своей стоимости (например, стоимость i2 составляет 5000$).
Для получения доступа к графическим файлам в экспертных исследованиях нашли широкое применение такие средства, как Adobe Photoshop (Adobe systems Irtcorp.), CorelDraw (Corel Corp.), а также такие программы, как Quick Time (for Win), ACDSee32 Viewer и др.
В общем случае для решения вопроса доступа к файловым структурам желательно применять программную среду, в которой создавались те или иные исследуемые файлы. Программное обеспечение по возможности должно быть предварительно инсталлировано, и использовать его необходимо со стендового винчестера.
При поиске файлов (или их фрагментов), содержание которых полностью или фрагментарно соответствует представленным на экспертизу документам, рекомендуется использование утилиты DiskEditor из пакета Norton Utilites. С помощью DiskEditor можно просматривать файлы и данные на уровне секторов. При этом может быть реализован поиск объекта в тексто-
вом или НЕХ-виде (например, ключевой фразы из документа, представленного на экспертизу).
Особого внимания требуют процедуры восстановления удаленной информации, так как безопасно она может быть реализована лишь на идентичной копии исследуемого винчестера. Если исследование проводится все-таки впрямую на изъятом жестком диске, то необходимо предварительно убедиться, что восстановленные данные будут занесены на винчестер стендового компьютера. Для восстановления удаленных файлов (или их фрагментов) широкое применение находит утилита Unerase из пакета Norton Utilites (Symantec). Программа Unerase Wizard (Win) реализует все этапы процедуры восстановления удаленных файлов. Если файл пригоден для восстановления, но автоматически его восстановить не удается, программа поможет сделать это вручную. Данную работу рекомендуется проводить в режиме MS-DOS. В ручном режиме можно указать и выбрать фрагменты диска (кластеры) с целью попытки собрать рассеянный файл или восстановить его часть. С помощью утилиты Unerase можно также осуществлять поиск файла по имени или по содержащемуся в нем тексту (ключевой фразе). Эта функция особенно полезна в тех случаях, когда в задачи экспертизы входят вопросы поиска данных с заданным содержанием.
В ходе экспертного исследования программных средств могут использоваться различные методы анализа работы программы. Сущность одного из этих методов заключается amp; выполнении дисассемблирования исполнимого кода исследуемой программы (например, программой Turbo Debuger (Borland Int.). Текст программного кода получается в символике ассемблера семейства процессоров Х86 фирмы «Intel». Далее в среде программного отладчика выполняется пошаговое исполнение программы. Диагностическими признаками экспертного исследования программы могут являться различные программные прерывания, предоставляющие интерфейс для работы с конкретными устройствами и портами ввода/вывода, использование определенных диапазонов адресов и т. д. На основании анализа дисассемблированного текста программы и пошаговой трассировки программы экспертом делаются конкретные выводы о функциональных возможностях программы и ее алгоритма.
При производстве экспертизы может возникнуть ситуация, когда исследуемая информация находится в непосредственной зависимости от конфигурации аппаратно-программных средств, настроек операционной системы, инсталляционной версии программного обеспечения представленного компьютера. В этом случае эксперт может избрать метод анализа данных конкретного в аппаратно-программной среде исследуемого компьютера. Для этого в исследуемом компьютере осуществляется замена винчестера на винчестер с созданной заранее резервной копией. Все экспертное исследование проводится на этой копии HDD, но уже в исходной аппаратно-программной среде. После завершения экспертизы аппаратная конфигурация должна быть приведена к исходному виду, т. е. первичный (исходный) HDD устанавливается на свое начальное место.
Рассмотренные выше положения характеризуют лишь общую сущность основных методов КТЭ на примере типичной ситуации. Даже в случае исследования компьютеров (например, несовместимых с IBM PC) экспертное исследование достаточно сложно и имеет индивидуальные подходы. Рассмотренные выше положения оказываются во многом не выполнимы в случае исследования компьютеров, построенных на платформе, отличной от линейки архитектуры Х86, накопителей данных под управлением SCSI-контроллера, сетевых серверов и др. Кроме того, для доступа к информации в компьютерной системе зачастую требуется преодоление систем защиты. Средства защиты информации могут препятствовать ее получению как на разных стадиях загрузки компьютера, так и доступа к винчестеру и отдельным файлам.
Еще по теме § 5. Методы и средства экспертного исследования компьютерных средств:
- 2.1. Собирание доказательств при выявлении признаков преступлений, связанных с незаконным оборотом наркотических средств и психотропных веществ.
- § 1.1. Понятие, структура экспертной технологии.
- § 1.2. Общие условия реализации экспертных технологий.
- § 1.3. Сущность и современное состояние проблемы объективизации экспертных исследований.
- § 2.1. Основные направления и этапы развития автоматизированных экспертных исследований.
- § 2.2. Понятие и принципы построения концепции компьютеризации экспертных исследований.
- § 2.3. Экономические аспекты производства экспертных исследований с использованием компьютерных технологий.
- § 3.1. Правовые и методические проблемы организации производства экспертиз в системе СЭУ МЮ РФ с использованием компьютерных технологий.
- § 3.2. Современное состояние и перспективы внедрения компьютерных технологий.
- § 5. Методы и средства экспертного исследования компьютерных средств
- §2. Особенности производства отдельных следственных действий по делам о преступлениях в сфере компьютерной информации
- Понятие компьютерных преступлений
- Глава 5 Практика раскрытия и расследования компьютерных преступлений
- § 7. Средства доказывания
- Исторический аспект развития средств и методов фиксации КРИМИНАЛИСТИЧЕСКИ ЗНАЧИМОЙ ИНФОРМАЦИИ
- 4. Научно-технические средства, используемые для экспертного исследования криминалистических объектов
- Понятие, структура экспертной технологии.