Криминалистическое исследование холодного оружия 5 страница

Средства письма,используемые при составлении документов,

сьма разнообразны и также имеют сложный состав. И для ис-

ледования состава материалов письма применяются специальные

Модификации химических и физико-химических методов, ис-

Чользуемых в соответствующих областях материаловедения и хи-

*аи для анализа тех же материалов, отдельных веществ или их

аалогов, с учетом специфики криминалистического исследова-

ая- Разработанные специалистами методики включают исполь-

Криминалистическое исследование холодного оружия 5 страница - student2.ru 344 Глава 14. Криминалистическое исследование документов

§ 5. Криминалистическое исследование компьютерной информации 345



зование таких высокочувствительных методов, как спектрофот0. метрия, применяемая не только в видимой области, но и в Уф- ft ИК-областях спектра, микроспектрофотометрия, лазерный люмй. несцентный анализ, хроматографические методы.

Особенно заметны достижения судебно-технической экспер­тизы документов в разработке методов дифференциации микро-количеств материалов письма. Так, например, с помощью тонкослойной хроматографии в комплексе с отражательной спектрофотометрией с использованием прибора хроматограмм-спектрофотометра «OPTON МО-3» выявляются различия в каче­ственном и количественном соотношении компонентов красите­лей конкретной марки, тем самым возможна дифференциация красителей одной марки, относящихся к различным производст­венным партиям.

Для наиболее распространенных материалов письма (паст, чернил для перьевых ручек и для фломастеров, красок для ко­пировальных бумаг и машинописных лент, штемпельных кра­сок) разработаны методики криминалистического исследования красителей в штрихах материалов письма и в емкостях, позво­ляющие дифференцировать одноцветные материалы письма в штрихах разных родов, одного рода, различающихся по качест­венному составу красителей.

Как уже отмечалось, изучение состава материалов письма и бумаги и сопоставление со справочными рецептурными данны­ми может способствовать решению задач по определению абсо­лютного возраста документа. Вообще же создание бланков дан­ных о материалах документов (как и о других материалах, веществах и изделиях из них) представляет собой непременное условие функционирования современных криминалистических методик. Подобные компьютеризированные банки данных и коллекции образцов материалов документов, изготавливаемых отечественными предприятиями, создаются в настоящее время в Федеральном центре судебной экспертизы при Министерстве юс­тиции РФ и ЭКЦ МВД России.

§ 5. Криминалистическое исследование компьютерной информации

Криминалистическое исследование компьютерной (машиной) информации является одним из самых молодых направлений криминалистической технике. Оно начало складываться в пеР вой половине 90-х гг. XX в. Наиболее часто исследования коМйь

-отерной, в том числе документированной информации, прово­дятся при расследовании следующих видов преступлений: в сфере компьютерной информации; экономические и налоговые преступления, в том числе совершенные путем нарушения пра­вил бухгалтерского учета; связанные с изготовлением различной лечатной продукции, в том числе бланков документов, денеж-gbIx знаков, ценных бумаг и других; преступные нарушения ав­торских и смежных прав.

На современном этапе в криминалистике окончательно не сформировались теоретические и методологические основы кри­миналистического исследования компьютерной информации. В частности, среди криминалистов нет единства взглядов на предмет, задачи и объекты криминалистического исследования компьютерной информации.

В настоящем учебнике криминалистическое исследование компьютерной информации отнесено к криминалистическому исследованию документов, но в дальнейшем возможно данное направление сформируется в самостоятельную отрасль кримина­листической техники.

Для целей технико-криминалистического исследования ком­пьютерной информации определяющее значение имеет физиче­ская природа данного вида информации.

Компьютерная информацияявляется объектом материально­го мира, элементом искусственной среды, созданным человеком, на может существовать только с помощью специально приспо­собленных технических средств: электронно-вычислительной тех-[ики и электронных средств связи (системы телекоммуникаций).

Компьютерная информация, как и любой другой вид инфор­мации, состоит из двух элементов: содержания информации — ведений о каком-либо явлении объективной реальности и мате­риального носителя данных сведений.

В рассматриваемом направлении криминалистической тех-*ки изучается компьютерная информация, содержание кото->ои представлено в форме, пригодной для обработки ЭВМ, а ее материальным носителем является электромагнитное поле.

Данный подход соответствует требованиям российского зако­нодательства. В ст. 2 Федерального закона «Об информации, ин­форматизации и защите информации» от 20 февраля 1995 г. 24-ФЗ1 установлено: «информация — сведенияо лицах, пред-

1 СЗ Рф. 1995. № 8. Ст. 609.

346 Глава 14. Криминалистическое исследование документов

§ 5. Криминалистическое исследование компьютерной информации 347



Криминалистическое исследование холодного оружия 5 страница - student2.ru метах, фактах, событиях, явлениях и процессах независимоформы их представления;...документированная информация (д0. кумент) — зафиксированная на материальном носителеинфор^. ция с реквизитами, позволяющими ее идентифицировать».

В ст. 2 Закона РФ «О государственной тайне» от 21 июля 1993 г. № 5485-11 дается следующее определение носителей све­дений, составляющих государственную тайну: «...материальные объекты,в том числе физические поля,в которых сведения, со­ставляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и про­цессов».

Физическая природа компьютерной информации обуславли­вает следующие ее свойства, делающие данный вид информации весьма сложным объектом криминалистического исследования: компьютерная информация не доступна для непосредственного человеческого восприятия; определенное содержание информа­ции не может быть однозначно закреплено за конкретным мате­риальным носителем; материальный носитель компьютерной информации (электромагнитное поле) невозможно индивидуали­зировать; как содержание информации, так и ее материальный носитель могут быть отделены друг от друга без их изменений; возможность быстрого изменения и удаления информации, в том числе путем удаленного доступа и вне контроля лиц, право­мерно пользующихся данной информацией; невозможность вы­деления точных и допускающих единую трактовку признаков, присущих компьютерной информации, позволяющих восстанав­ливать содержание измененной или удаленной информации.

В предмет криминалистического исследования компьютер­ной информации входит:

— разработка приемов, способов, рекомендаций по обнару­жению, фиксации, изъятию и хранению компьютерной инфор-мации и электронно-вычислительной техники;

— изучение состояния и процессов обработки компьютерной информации; состояния и функционирования электронно-вычислительной техники.

Компьютерная техника и иное электронное оборудование (далее — компьютерная техника) изучается в рамках данного раздела, главным образом, поскольку й в связи с тем, что эт технические средства использовались для создания, обработки

1 СЗ РФ. 1997. № 41. Ст. 4673.

изменения компьютерной информации. Даже в тех случаях, ко­гда компьютерная техника является самостоятельным объектом исследования, например при решении вопроса, является ли оп­ределенное устройство ЭВМ. В конечном итоге такое исследова­ние является промежуточным шагом в решении задач, связан­ных с изучением компьютерной информации или процессов ее обработки.

В тех случаях, когда правоохранительные органы и суд инте­ресуют свойства собственно компьютерной техники (потреби­тельские свойства) вне связи с обрабатываемой этой техникой информацией, может назначаться судебно-товароведческая экс­пертиза, которая будет проводиться специалистами в области компьютерной техники или с участием таких специалистов.

В рамках криминалистического исследования компьютерной информации решаются идентификационные, классификацион­ные и диагностические задачи.

Идентификационные и классификационные задачи.Объ­единение этих задач сделано по двум причинам. Во-первых, на овременном этапе в большинстве случаев криминалисты не рас­полагают инструментарием, позволяющим провести идентифи­кацию единичных материальных объектов, изучаемых при кри­миналистическом исследовании компьютерной информации, а ?акже использовать эти объекты для индивидуальной идентифи­кации других объектов. Это обусловлено названными выше яойствами, присущими компьютерной информации. Во-вто­рых, при решении классификационных задач исследователи :тремятся выйти на уровень как можно более узкой классифика-ионной группы, выделить отдельные индивидуализирующие физнаки, пусть и недостаточные для индивидуальной иденти­фикации. Поэтому решение классификационных задач осущест­вляется по идентификационным методикам.

Наиболее часто решаются следующие идентификационные и классификационные задачи:

— изготавливалась (обрабатывалась, передавалась, изменя­сь) ли данная информация с помощью определенного типа или к°нкретного технического устройства; I— какой тип (вид, модель, марка) аппаратных и программ-

* средств применялся при операциях с машинной информа­цией;

к какому типу (текстовые файлы, программы, вирусы T,A-) или более узкой классификационной группе (системное ' Прикладное программное обеспечение, версия программы,

348 Глава 14. Криминалистическое исследование документов

§ 5. Криминалистическое исследование компьютерной информации 349



Криминалистическое исследование холодного оружия 5 страница - student2.ru редакция тестового файла) относится представленная компью­терная информация;

— к какому типу (вид, модель, марка) относится представ­ленная компьютерная техника;

— определение общего источника происхождения содеря^. ния информации, представленной на разных носителях (созда­ние ее определенной программой и т.п.).

Пока нет достаточно надежных методик установления автора или изготовителя компьютерной информации. Встречающиеся в литературе предложения использовать в этих целях методики, применяемые для решения аналогичных задач в других отрас­лях криминалистической техники (например, в автороведении или технико-криминалистическом исследовании документов) не имеют экспериментального подтверждения.

В литературе широко обсуждается возможность идентифика­ции технических комплексов (единичный компьютер, сеть ЭВМ). В настоящее время в криминалистике нет апробирован­ных методик, которые позволили бы провести такую идентифи­кацию. Представляется, что решить задачу идентификации ком­пьютера или сети ЭВМ в настоящее время только технико-криминалистическим путем в большинстве случае невозможно. Поскольку это требует установления временных, организацион­ных факторов, что нельзя сделать в рамках экспертных иденти­фикационных исследований. Установление единичной ЭВМ или компьютерной сети является задачей процессуального доказыва­ния. Экспертная идентификация выступает как один из методов используемых для достижения конечной цели.

Идентификация некоторых электронных печатающих уст­ройств (принтеров, телефаксимильных аппаратов и др.) проводит­ся по их признакам, отобразившимся в текстовой информации на бумажных носителях. Поэтому чаще всего идентификация данных устройств проводится в рамках технико-криминалис­тического исследования документов. При этом эксперт должен обладать знаниями в области вычислительной техники или при­влекать специалиста в данной области.

Типовыми диагностическими задачами являются следу10 щие:

— установление свойств и состояния компьютерной инф°Р мации и компьютерной техники;

— установление факта внесения изменений в компьютерна информацию после ее создания, выявление признаков такого и менения;

— установление первоначального состояния машинной ин­формации;

— установление времени создания (удаления, изменения) йНформации, хронологической последовательности функциони­рования компьютера, компьютерной системы или сети;

— установление способа доступа к компьютерной информа­ции и/или техники;

— определение фактического состояния и исправности ком­пьютерной техники;

— установление соответствия реквизитов машинных доку­ментов требованиям, предъявляемым к ним, выявление призна­ков изменения данных реквизитов;

— порядка соблюдения установленных технических правил при работе с машинной информацией, в том числе правил, обес­печивающих ее защиту;

— установление .причинной связи между действиями с ком­пьютерной техникой, машинной информации (например, про­граммным обеспечением) и наступившими последствиями, на­пример, удалением какой-либо информации, прекращением работы компьютера и т.п.

Основными объектами криминалистического исследования компьютерной информации являются: компьютерная информа­ция и компьютерная техника.

В криминалистике встречаются различные классификации компьютерной информации. Для целей технико-криминалисти­ческого исследования основное значение имеет три основания классификации: по физической природе носителя, на котором находится компьютерная информация, по ее функциональному назначению и по правовому статусу.

В соответствии с физической природой носителя, на котором ходится компьютерная информация, можно выделить следую­щие виды машинной информации:

Вт жесткий магнитный диск (винчестер, НЖМД, HDD). Это

стройство, которое может находиться как внутри компьютера,

к и в отдельном блоке. Существует отдельный вид устройств,

Строенных на основе жестких дисков, который называется

*AID (Redundant Arrays of Independent Disks) — массив незави-

'имых дисков с избыточностью;

Ш оперативное запоминающее устройство (ОЗУ-RAM) и по­данное запоминающее устройство (ПЗУ-ROM) обеспечиваю-f все преобразования информации в компьютере и перифе-ИнЬ1х устройствах;

350 Глава 14. Криминалистическое исследование документов

§ 5. Криминалистическое исследование компьютерной информации 351



 
  Криминалистическое исследование холодного оружия 5 страница - student2.ru

Криминалистическое исследование холодного оружия 5 страница - student2.ru

— гибкие магнитные диски или дискеты (НГМД, FDD -^ floppy disk drive). Существует два типа таких устройств: диске­ты размером 5,25 дюйма (пятидюймовая дискета) и объемом па­мяти до 1,2 Мбайта, практически вышедшие из употребления, ц дискеты размером 3,5 дюйма и объемом до 2,88 Мбайт;

— накопители на магнитных лентах (стримеры). Стримеры часто используются для дублирования других носителей инфор­мации (архивирования информации), так как обладают значи­тельной емкостью;

— оптические и магнитооптические диски. Принцип их ра­боты основан на считывании и, в некоторых видах, записи ин­формации с помощью луча лазера. Наиболее распространенным устройством данного типа является накопитель на компакт-дисках (CD-ROM). К этой группе относятся магнитооптические дисководы, ZIP-устройства и некоторые другие;

— существуют и другие реже употребляемые носители ин­
формации, такие как модули памяти на цилиндрических маг­
нитных доменах (ЦМД), перепрограммируемые карты памяти
(Flesh-card), дисководы типа Бернулли и др.

В число носителей компьютерной информации часто включа­ются современные средства связи, например, линии электросвя­зи, компьютерные сети и другие, в которых машинная информа­ция находится при ее передаче.

По правовому статусукомпьютерная информация подраз­деляется на два вида, имеющих разный правовой режим: до­кументированная информация (документ) и информация, не имеющая документированной формы. Сравнивая понятия «ин­формация» и «документированная информация (документ)», можно выделить признак, который, по мнению законодателя, присущ документу как виду информации — это реквизиты, по­зволяющие идентифицировать информацию, содержащуюся в документе.

Реквизитами компьютерной документированной информа­ции (машинного документа) в соответствии с действующим зако­нодательством могут быть различные коды, пароли, электронно-цифровая подпись, иные аналоги собственноручной подписи. ^

Таким образом, если при изучении экспертами «простой» компьютерной информации объектами исследования являют ся содержание информации и ее материальный носитель, то пр изучении машинных документов самостоятельным объектом( йс следования могут стать и их реквизиты, а также программные аппаратные средства, используемые при их создании;

Компьютерная информация по функциональному назначе­ниюподразделяется на текстовые и графические документы, данные в форматах мультимедиа, информация в форматах баз данных, программные средства. Программы в свою очередь классифицируются на операционные системы, сервисные про­граммы, языки программирования, средства обработки текстов и изображений, системы управления базами данных, системы «правления знаниями («экспертные системы»), электронные таблицы, интегрированные пакеты, игровые программы, спе­циализированные программные средства, предназначенные для решения задач в узкой предметной области.

В качестве разновидности специализированных программ рассматриваются «вредоносные программы» (ст. 273 УК РФ): компьютерные вирусы, черви и др.

При криминалистическом исследовании компьютерной ин­формации с целью более полного изучения свойств исследуемых объектов могут использоваться следующие вспомогательные ма­териалы: любая информация, характеризующая свойства компь­ютерной информации и техники (например, распечатка данных, содержащихся в компьютере, на бумажном носителе), записи с паролями и кодами пользователей; видео- и аудиозаписи, изго­товленные (полностью или частично) с использованием компью­терных систем и средств копирования информации; компьютер­ные программы и их описание; компьютеры и их компоненты, периферийные устройства, средства связи, компьютерные сети; сопроводительная документация к компьютерной и электронной технике (например, руководства по их эксплуатации); инструк­ции пользователей, администраторов и других работников ком­пьютерных систем; множительная техника, средства связи, чные технические средства; расходные материалы и комплек­тующие (например, емкости с красящим веществом, которое ра-* использовалось в периферийных устройствах при печати ин­формации).

Криминалистическое исследование компьютерной информа­ции должно производиться только лицами, обладающими спе­циальными познаниями. Оно может быть проведено в следую­щих процессуальных формах:

в форме участия специалистапри производстве следствен-

х действий. Он привлекается для осуществления операций, 'язанных с обнаружением, осмотром, фиксацией и изъятием 'Мпьютерной информации и техники, при производстве от-Льных следственных действий, а также ее исследований по за-



352 Глава 14. Криминалистическое исследование документов

§ б. Криминалистическое исследование компьютерной информации 353



Криминалистическое исследование холодного оружия 5 страница - student2.ru данию следователя. При этом специалист, как правило, привле­кается для решения поисковых задач, диагностирования состояния и изменения компьютерной информации и техники решения вопроса о возможности в дальнейшем проведения экс­пертного исследования в отношении изъятых объектов. В случае если при этом возникает опасность утраты или изменения иссле­дуемой информации, а также при решении более сложных задач назначается экспертиза (см. также гл. 34 настоящего учебника);

— в форме экспертного исследования компьютерной инфор­мации и техники (компьютерно-технической, экспертизы), охва­тывающей экспертные исследования как в отношении компью­терной информации, так и в отношении компьютерного оборудования.

При' подготовке к назначению компьютерно-технической экспертизы следователь или суд должны прежде всего уяснить, имеются ли на носителях машинной информации и компьютер­ном оборудовании следы, не связанные с компьютерной инфор­мацией, изучение которых необходимо для успешного расследо­вания преступления. Такими следами могут быть: отпечатки пальцев, различные выделения человека, волосы, микрочасти­цы кожи, рукописные записи, микрочастицы различных ве­ществ, в том числе одежды, и некоторые другие.

В отношении данных следов могут быть назначены следую­щие экспертные исследования: дактилоскопическая экспертиза, судебно-медицинская или биологическая экспертиза, почерко-ведческая экспертиза, СТЭД и КЭМВИ. В случае наличия таких следов' они фиксируются в протоколе соответствующего следст­венного действия, фотографируются и изымаются. Когда изъя­тие невозможно в силу того, что следы неразрывно связаны с но­сителем информации или техническим устройством (например, рукописные записи на дискете), должен быть решен вопрос об очередности проведения экспертиз с учетом обеспечения сохран­ности всех следов.

В настоящее время компьютерные экспертизы проводятся экспертными учреждениями МВД, ФСБ, Министерства юстиция РФ, Федеральной службы по контролю за оборотом наркотиче ских средств и психотропных веществ РФ.

Основные задачи и вопросы, решаемые компьютернойэк пертизой,связаны с установлением состояния и параметров м шинной информации, компьютерного оборудования, компьютер ных систем, а также различных изменений происходивших данных объектах. В то же время могут решаться и некоторь

идентификационные задачи: поиск и идентификация конкрет­ен компьютерной информации; идентификация аппаратных и программных средств, используемых в процессе каких-либо опе­раций с информацией.

В связи со сложностью* объектов исследования при назначе­нии конкретной экспертизы следователю рекомендуется предва­рительно согласовать вопросы с экспертом. Ниже приводится ряд типовых вопросов, которые достаточно часто ставятся при назначении компьютерной экспертизы:

— позволяет ли представленное программное обеспечение по­лучать доступ в компьютерные сети (в определенную компью­терную сеть, например Интернет);

— позволяет ли представленное программное обеспечение, подготовить представленную на экспертизу компьютерную ин­формацию;

|,— когда и каким образом осуществлялся доступ к машинной информации или к компьютеру? Был ли осуществлен доступ с определенного компьютера;

р. — имело ли конкретное лицо техническую возможность про­изводить определенные операции с данной компьютерной ин­формацией;

— имеются ли на представленных носителях компьютерной
информации какие-либо программные средства для осуществле­
ния доступа к информации в других компьютерах;

позволяют ли представленные на экспертизу программные средства вносить изменения или заранее обусловливать резуль­тат работы определенной программы;

— какие системы защиты применялись в представленной на
экспертизу ЭВМ;

каково время создания (последней модификации) пред­ставленных данных;

- какие файлы были уничтожены и/или изменены, каковы
X имена, размеры и даты создания;

~ можно ли определить имена пользователей, их пароли при 1боте с представленным на экспертизу компьютером;

- является ли представленное на экспертизу техническое
стройство электронно-вычислительной машиной.

В настоящее время правоохранительные органы довольно

*сто назначают экспертизу для проведения разнообразных

Юмогательных действий: получить доступ к информации,

Мнящейся на представленных на экспертизу компьютерных

Жителях информации; осуществить вывод компьютерной ин-



354 Глава 14. Криминалистическое исследование документов

§ 5. Криминалистическое исследование компьютерной информации 355



Криминалистическое исследование холодного оружия 5 страница - student2.ru формации, находящейся на машинном носителе на бумажный носитель и другие подобные операции. Представляется, что вы­полнять указанные действия в рамках экспертного исследова­ния нецелесообразно. Данные операции могут быть проведены с участием специалиста в ходе следственного действия (например, осмотра компьютерной техники) или по назначению следовате­лем специалистом и оформлены путем дачи заключения специа­листа.

В ходе расследования может возникнуть необходимость в изучении компьютерных систем непосредственно в процессе их функционирования. Например, определение возможных сбоев в обработке информации, слабых мест в системе защиты и т.п. Ви­димо, в данных ситуациях можно говорить о проведении экс­пертных исследований на месте происшествия по методике экс­пертного эксперимента.

Основными методами и средствами экспертных исследова­ний являются общие математические и научно-технические ме­тоды, используемые в современных компьютерных технологиях. Это такие методы, как системный анализ, математическое и имитационное моделирование, инструментальный анализ, метод экспертных оценок и др. В то же время все больше ощущается необходимость развития данных методов именно в направлении криминалистической специализации и их интеграции со специ­альными методами других наук.

Особенное внимание в связи со спецификой объекта исследова­ния — компьютерной информации необходимо уделять требова­нию сохранности в неизменном виде соответствующих веществен­ных доказательств. Выполнение данного требования обеспечивает возможность проведения повторных исследований и возможность воспроизведения действий эксперта другими экспертами.

В практической деятельности эксперт реализует названные методы не напрямую, а с помощью широкого набора специаль­ных инструментальных (программных и технических) средств. В них включаются различные программные продукты, компью­терное стендовое оборудование, другие приборы. В качестве примера назовем нескольких видов программ, применяемых в экспертной практике. Например, блокираторы записи, инстрУ менты для получения изображений, копирования, средства Д° кументирования, инструменты для поиска и восстановлена удаленных файлов, программы для просмотра информации, я струменты для декомпиляции и пошаговой трассировки, Ра личные утилиты, криптографические средства и т.д.

Конечно, помимо названных существует большое количество других средств. Дать их исчерпывающий перечень невозможно 0 связи с тем, что их арсенал постоянно расширяется вслед за увеличением разнообразия технического и программного обеспе­чения современных компьютеров, их систем и операционных сред-

Наиболее часто исследуются экспертом винчестеры, магнит­ные диски и дискеты.

Как уже отмечалось, предварительное условие проведения экспертного исследования состоит в фиксации представленной на экспертизу компьютерной информации в неизменном виде. Технически это реализуется с помощью создания точной копии исследуемой информации. В большинстве случаев достаточно создать копию жесткого диска. Для этого используется широкий набор устройств и средств резервного копирования. Такая копия для последующего производства экспертизы, как правило, соз­дается на дополнительном жестком диске стендового компьюте­ра, т.е. компьютера эксперта, на котором выполняются исследо­вания объектов экспертизы. При этом основные технические параметры этого дополнительного винчестера (емкость, среднее время доступа к данным и др.) должны совпадать с параметрами жесткого диска исследуемого компьютера. При невозможности получения резервной копии содержимого винчестера экспертом должны быть предприняты все меры для обеспечения сохранно­сти исследуемой информации (например, путем использования программных блокираторов записи типа Disklock, HDSEntry и др.).

Винчестер стендового компьютера подключается на primary (основной) канал интерфейса IDE в качестве master (главного) Диска, а винчестер исследуемого компьютера подключается к «condary (дополнительному) контроллеру IDE (в дальнейшем •тот винчестер будем называть исследуемым). При такой схеме Подключения винчестеров загрузка операционной системы про­водит со стендового винчестера, а исследуемый винчестер ви-№тся в операционной системе как дополнительный диск.

Системный блок компьютера в соответствии с эксплуатаци­онными правилами соединяется с дополнительными устройства­ми компьютера (монитор, клавиатура, мышь) и подключается к сети электропитания 220 В.

При включении компьютера загрузка операционной системы

осле тестирования прерывается соответствующей клавишей

Наши рекомендации