Криминалистическое исследование холодного оружия 6 страница

'Чаще всего [Del]) для выявления технических характеристик,

356 Глава 14. Криминалистическое исследование документов

§ 5. Криминалистическое исследование компьютерной информации 357

установленных в BIOS (базовая система ввода-вывода). Просмотр установок системного блока с помощью программы SETUP _Вьь являет установку главных позиций, параметров устройств ц_а материнской плате, детектирование, наличие парольной защиты и др. В SETUP следует установить порядок загрузки операцион­ной системы (ОС) с дисковода «А:». Загрузку ОС обычно произ­водят со специально подготовленной загрузочной дискеты экс­перта.

Далее могут быть использованы следующие программные средства диагностики и анализа компьютерной информации: System Information (Norton Utilites, Symantec) и версии Norton Commander. System Information представляет подробную инфор­мацию о компьютере, a Norton Commander позволяет просмот­реть содержание винчестера и по найденным системным файлам определить установленную операционную систему. Эти програм­мы должны также использоваться только с дискет эксперта и исключать любую возможность модификации данных на жест­ком диске исследуемого компьютера.

Затем работа с исследуемым винчестером строится в зависи­мости от задач, стоящих перед экспертом, с помощью программ­ных средств, предварительно инсталлированных на стендовом компьютере.

Для просмотра содержимого дисков в операционных систе­мах Windows 95, 98, 2000 широко используется стандартная оболочка для работы с файлами — Explorer (Проводник). Более широкий спектр возможностей, в том числе дешифровку ряда шифровальных алгоритмов данных и мониторинг дискового пространства, обеспечивают программы PowerDesk Utilities 98 и Turbo Browser. Программы, существенно мощнее Проводника Windows, поддерживают работу с архивами, обеспечивают встроенный просмотр файлов различных форматов.

При решении задачи получения первоначального доступа к информации на исследуемом винчестере, широко используется Norton Commander. С помощью этого программного продукта (функциональная клавиша [F3]) может быть просмотрено боль­шинство форматов данных. Достаточно часто используются соот­ветствующие версии программ KeyView Pro и Quick View Plus. обеспечивающие тесную интеграцию с Windows, поддержи большого числа форматов, возможность распаковки файлов-В большинстве случаев одним из неотъемлемых условий доступа к информации, созданной на персональных ЭВМ, является и^с пользование программного пакета Microsoft Office. При исслеД⁰

-авии баз данных, кроме перечисленных выше средств, могут быть использованы специализированные профессиональные про­граммы по анализу широкого набора типов баз данных: IRC, p_ata Mining, 2y_index, i2.

Для получения доступа к графическим файлам и их после­дующ^61,0 анализа в экспертных исследованиях нашли широкое применение такие средства, как Adobe Photoshop, CorelDraw, a также такие программы, как Quick Time (for Win), ACDSee32 Viewer и др.

При решении вопроса б нахождении на жестком диске фай­лов или фрагментов файлов, содержание которых необходимо сравнить с представленной на экспертизу информацией, исполь­зуются утилиты DiskEditor из пакета Norton Utilites. С по­мощью DiskEditor можно просматривать файлы и данные на уровне секторов. При этом может быть реализован поиск объек­та в текстовом или НЕХ-виде.

Для восстановления удаленных файлов или их фрагментов широкое применение находит утилита Unerase из пакета Norton Utilites. Программа UnErase Wisard реализует все этапы про­цедуры удаленных файлов. Если файл пригоден, для восстановле­ния, но автоматически его восстановить не удается, программа по­может сделать это вручную. Данную работу рекомендуется проводить в режиме MS-DOS. В ручном режиме можно указать и выбрать фрагменты диска (кластеры) с целью попытки собрать рассеянный файл или восстановить его часть. С помощью утилиты Unerase можно также осуществлять поиск файла по имени или по содержащемуся в нем тексту. Эта функция особенно полезна в тех случаях, когда перед экспертом стоит задача поиска данных с за-(анным содержанием. Любое восстановление исследуемых дан­ных эксперт осуществляет только на стендовом винчестере.

Рассмотренные выше рекомендации характеризуют лишь об-Цее направление реализации основных методов экспертного ис­следования компьютерной информации на примере типовой ситуации. Даже в случае исследования других видов персональ­ных компьютеров (например, несовместимых с IBM PC) эксперт-Вое исследование будет иметь существенные отличия. Описан­ные методы оказываются во многом не применимы, когда *следуются компьютеры, построенные на платформе, отличной ^п архитектуры х86, накопители данных под управлением SCSI Контролера, сетевые серверы и др.

I Осложняет исследование и то, что для доступа к информации Компьютерной системе зачастую требуется преодоление систем

358 Глава 14. Криминалистическое исследование документов

§ 5. Криминалистическое исследование компьютерной информации 359

защиты, которые могут препятствовать ее получению как д» разных стадиях загрузки компьютера, так и на стадиях достуц_а к винчестеру и отдельным файлам.

Оценка результатовкомпьютерно-технической экспертизы наряду с соблюдением общих требований, которые в уголовном процессе и криминалистике предъявляют к оценке экспертного заключения как доказательства, имеет свои особенности. Они обусловлены как спецификой объектов исследования, так и своеобразием методов и средств, применяемых при экспертном исследовании. Данные особенности могут быть рассмотрены применительно к основным направлениям, выделяемым при оценке заключения эксперта: 1) анализу соблюдения процессу­ального порядка подготовки, назначения и проведения экспер­тизы (и последствий его нарушения, если они допущены);

2) анализу соответствия заключения эксперта заданию, постав­ленному перед экспертом лицом, назначившим экспертизу;

3) анализу полноты заключения; 4) оценке научной обоснован­ности заключения; 5) оценке содержащихся в заключении экс­перта фактических данных с точки зрения их относимости к делу и места в системе доказательств.

В первом случае особое внимание необходимо обращать на полноту представленных объектов на экспертизу. В случае если на экспертизу были представлены не все изъятые объекты, то это может повлиять на результаты проведенного исследования. Аналогично следует поступать в отношении дополнительной ин­формации и вспомогательных объектов, предоставляемых экс­перту.

Необходимо обратить внимание на соблюдение режима хране­ния компьютерной информации и компьютерной техники экспер­том, учитывая повышенную степень уязвимости данных объектов от посторонних факторов. В частности, если эксперт не смог отве­тить на вопросы в связи с утратой содержания информации или носителей информации, то надо принимать во внимание причины изменения состояния компьютерной информации — произошло ли это в результате воздействия заинтересованных лиц, или не^-правильных действий при их обнаружении и изъятии, или явля­ется последствием ненадлежащего хранения.

Точное установление одной из указанных причин мозк^е помочь при оценке вывода эксперта, его значения в системе Д° казательств. В зависимости от установленной причины на эк пертизу могут быть вынесены дополнительные вопросы, напр³ ленные на установление механизма утраты информации.

В процессе анализа соответствия заключения эксперта по­ставленному перед ним заданию надо установить, соответству­ет ли задание и заключение компетенции эксперта. Изменения « компьютерной информации могут быть вызваны использова-_нием как программных, так и технических средств, соответст­венно их исследование может входить в компетенцию разных специалистов либо специалист должен обладать подготовкой в нескольких областях знаний. Представляется, в последнем случае это должно быть отражено в экспертном заключении. Особенно важно обращать на это внимание при производстве экспертиз вне системы экспертных учреждений правоохрани­тельных органов.

Оценивая полноту заключения эксперта, необходимо прове­рить, насколько полно использовались предоставленные экспер­ту материалы, в частности надо учитывать, что направляемая на экспертизу машинная информация, а также материалы с допол­нительной информацией часто содержат очень большой объем сведений, не имеющих отношения к вопросам, поставленным перед экспертом. Например, следователя может интересовать поиск и восстановление определенных файлов, содержащих ин­формацию о конкретных лицах. Эти файлы могут находиться среди другой информации на нескольких носителях компьютер­ной информации. На каких точно, следователь может и не знать. Эксперт, имея данные о типе файлов, их названии, не должен будет исследовать всю информацию на всех представлен­ных носителях, а, обнаружив по указанным признакам искомые файлы, будет изучать только их. В этом случае эксперт должен указать, почему он ограничился изучением только определен­ных объектов из всех представленных ему.

Анализируя полноту описания в экспертном заключении проделанной экспертом работы, в частности описание применен­ных им средств и методов, надо понимать, что нельзя требовать

г эксперта подробного их описания. Это невыполнимо в силу огромного объема такого описания. Но эксперт должен обяза­тельно в заключении показать последовательность своей работы, №гь характеристики использованных им программных, аппа­ратных и технических средств (название, тип, назначение, фир-

У производителя). В тех случаях, когда эксперт использует

^в°и оригинальные разработки (например, специально изменен­ие стандартные программы), он должен указать, для ответа на

*Кие вопросы применялись данные разработки и почему нельзя ⁵Ь1ло использовать стандартные средства.

360 Глава 14. Криминалистическое исследование документов

§ 5. Криминалистическое исследование компьютерной информации 361

При оценке научной обоснованности заключения эксперт» необходимо учитывать, что эксперт не всегда может применить самые современные программные и аппаратные средства, что связано с достаточно большой стоимостью программного проду_к. та и технических средств. Однако это не означает, что результа­ты экспертизы не будут достоверны и научно обоснованны. Мно­гие модификации программных средств отличаются друг от друга лишь тем набором удобств, которые они предоставляют пользователю. Задачи же, которые они решают, совпадают. Сле­довательно, достоверность выводов эксперта не пострадает. Сни­зить остроту проблемы может официальная сертификация мето­дик проведения экспертных исследований.

Оценивая заключение эксперта с точки зрения задач рассле­дования, следователь должен учитывать, что только в очень ред­ких случаях эксперт может точно установить лицо, которое про­извело те или иные действия с компьютерной информацией. В частности, такое возможно, если указанные действия были произведены с помощью уникальных программ (например, ви­русов), которые были обнаружены у лица, и в этих программах удалось установить признаки, характеризующие этого человека. Как правило же, эксперт может провести идентификационные или классификационные исследования средств, с помощью кото­рых были проведены действия с определенными объектами, либо указать, что с помощью представленных на экспертизу средств такие действия могли быть произведены.

Нельзя недооценивать значение таких исследований для ус­тановления конкретного лица, совершившего преступление. Но для того, чтобы их результаты действительно приобрели доказа­тельственное значение, надо провести большую следственную работу по установлению действий подозреваемого, в том числе получить полную информацию об используемом им оборудова­нии, установить, что у посторонних лиц в момент совершения преступления не было доступа к техническим средствам, кото­рые использовал подозреваемый.

Следственная и экспертная практика указывает на ряд типо­вых ошибок,которые наиболее часто допускаются при назначе­нии и производстве компьютерной экспертизы:

1) при назначении компьютерных экспертиз перед экспертом довольно часто ставятся вопросы, связанные с исследованием со­держательной стороны компьютерной информации. Например^: находятся ли на представленном магнитном носителе файлы, совпадающие с содержанием (аутентичные по содержанию)

доставленного на бумажном носителе договора № ... от ...? На­ходятся ли на представленном магнитном носителе файлы, со­держащие экономические (бухгалтерские) сведения?

Оценка содержания компьютерной информации не входит в специальные знания, которыми должен обладать эксперт в этой области. Ответ на первый вопрос целиком входит в компетенцию следователя. Эксперт может осуществить только поиск нужной информации по параметрам, указанным следователем (дата, но-_мер, ключевые слова и т.п.). Решение второго вопроса входит _в компетенцию соответствующего специалиста-предметника (экономиста, бухгалтера). Участие «эксперта-компьютерщика» возможно для выполнения операций по поиску информации, обеспечения доступа к ней (снятие паролей, восстановление уничтоженной информации и т.д.);

2) на экспертизу ставятся вопросы, в которых от эксперта требуют дать правовую оценку обнаруженным им фактам, в час-ности, является ли представленное на экспертизу программное обеспечение контрафактным (имеет ли признаки контрафактно-сти); являются ли представленные на экспертизу программы вредоносными; какие имеются возможности по идентификации компьютера, с которого произведен незаконный доступ к инфор­мации, с учетом электронных следов совершенного преступле­ния, которые могли в нем остаться.

В случае если эксперт сформулирует выводы в точном соот­ветствии с предлагаемой формулировкой вопроса, то он выйдет за пределы своей компетенции, а экспертное заключение лишит­ся статуса доказательства.

В некоторых случаях при постановке задачи по идентифика­ции информации происходит смешение понятий идентифици­руемого и идентифицирующего объекта.

Например, задача сопоставления информации в электромаг­нитной форме с информацией на бумажном носителе. В связи с решением этой задачи перед экспертом ставятся следующие во­просы: «Аутентичны ли данные, содержащиеся на носителях информации, представленным документам? Тождественна ли выявленная компьютерная информация на носителе данным с представленных на экспертизу документов?».

Информация, находящаяся на электромагнитном поле, и ин­формация на бумажном носителе — это разные и не тождествен­ные объекты. В рассматриваемом случае возможно проведение либо классификационных, либо диагностических исследований ^й Целью установления признаков присущих двум разным объек-

362 Глава 14. Криминалистическое исследование документов

§ 5. Криминалистическое исследование компьютерной информации 363

там — информации, находящейся в форме электромагнитного поля и информации на бумажном носителе.

Не является задачей данной экспертизы сличение заводских номеров, описаний в паспортной документации, гарантийном договоре и т.п. с представленным техническим устройством.

Идентификация лица в ходе выполнения компьютерных экс­пертиз весьма затруднена в связи с отражением его свойств в знаковой форме.

В качестве реквизитов, обозначающих лицо, от которого ис­ходит компьютерная информация, используются: фамилия или иные сведения о лице, псевдонимы, коды, в том числе электронно-цифровая подпись (ЭЦП).

Иногда встречается утверждение, что возможна идентифика­ция лица по таким данным. В одной из экспертиз был сделан следующий вывод об авторах программы: «Авторами вредонос­ной программы и инструкции по ее установке являются лица, имеющие «хакерские клички»... Оба они входят в хакерскую организацию...». Основанием для данного вывода явилось при­сутствие в одном из файлов исследуемой вредоносной програм­мы псевдонимов — хакерских кличек.

Установление только указанного признака вряд ли позволяет сделать данный вывод. Лицо может поместить в программу или другой вид компьютерной информации любое имя (в целях мас­кировки, плагиата и т.п.).

Главной причиной обусловливающей невозможность крими­налистической идентификации человека как личности по кодо­вым средствам, в том числе и по ЭЦП, является отсутствие непо­средственной связи между кодовыми средствами и личностью человека. Связь между кодом и человеком устанавливается в ре­зультате взаимодействия организационных, технических, соци­альных факторов. Теория идентификации не располагает инст­рументарием для установления данных факторов.

В настоящее время комплексные экспертные исследованияв указанной области в основном проводятся для установления со­держания компьютерной информации. Поскольку компьютер­ная информация применяется в самых разнообразных сферах человеческой деятельности, то комплексные компьютерные и иные «предметные» экспертизы будут самые разнообразные-Наиболее распространенной является комплексная компьютер­но-техническая и судебно-бухгалтерская экспертиза.

Объектом данной комплексной экспертизы являются сведе' ния о хозяйственных операциях, находящиеся в компьютера*

_их сетях, зафиксированные на носителях информации и об­дающие свойствами, изучение и оценка которых требует оивлечения интегрированных знаний специалистов в области компьютерной техники и информации и в области судебной бух­галтерии. В качестве таких объектов могут выступать: автор­ские и модифицированные типовые программы, обрабатываю­щие информацию о хозяйственных операциях, правила работы _воТорых специалист-бухгалтер не может понять без помощи лрограммистов; зашифрованная бухгалтерская информация, процедуры расшифровки которой имеют значение не только для установления ее функционального значения, но и для оценки ее содержания; отдельные фрагменты данных, установить относи-мость которых к бухгалтерской информации возможно только совместными усилиями экспертов двух специальностей.

При анализе данных объектов «эксперт-компьютерщик» не только участвует в их исследовании, но и принимает участие в формировании конечных выводов экспертизы, оценивает итого­вые результаты данной экспертизы, подписывает экспертное за­ключение совместно с экспертом — судебным бухгалтером.

§ 1. Научные основы идентификации человека по признакам внешности 365

Глава 15. КРИМИНАЛИСТИЧЕСКАЯ ИДЕНТИФИКАЦИЯ ЧЕЛОВЕКА ПО ПРИЗНАКАМ ВНЕШНОСТИ