Программно-компьютерная экспертиза

Судебная программно-компьютерная экспертиза

Судебная программно-компьютерная экспертиза проводится для осуществления экспертного исследования программного обеспечения.

Предмет данной экспертизы можно определить как факты и обстоятельства, имеющие значение для уголовного, гражданского или арбитражного дела, связанные с созданием, использованием или распространением компьютерных программ, устанавливаемые на основе специальных познаний в области информационно-вычислительной техники, программирования и алгоритмизации.

Использование программного обеспечения, позволяющего управлять работой компьютерной техники во всех сферах человеческой деятельности, поставило задачу исследования этих новых объектов в интересах суда и следствия. Компьютерные программы в процессе своего создания проходят три стадии: алгоритм, исходные тексты программы и сама программа. Исходя из этого, родовыми объектами судебной программно-компьютерной экспертизы являются исполняемые модули, пакеты, алгоритмы и исходные тексты программ. Видовые объекты в основе своей имеют тот же основополагающий принцип, отличие состоит лишь в том, что рассматриваются эти ипостаси программного продукта применительно к конкретным областям программирования.

На сегодняшний день род программно-компьютерной экспертизы включает в себя следующие виды судебных экспертиз:

  • — экспертиза системного программного обеспечения;
  • — экспертиза сервисов веб-серверов;
  • — программно-компьютерная экспертиза системной безопасности;
  • — программно-компьютерная экспертиза баз и банков данных.
  • Данное деление базируется на необходимости для экспертов познаний не только в общей теории программирования, но и в ряде отличных друг от друга областей. В первую очередь это касается инструментария и углубленного знания характеристик не только отдельных операционных систем, но и их частей.

    Решаемыми на сегодняшний день задачами программно-компьютерной экспертизы являются:

  • — индивидуальное отождествление оригинала программы (инсталляционной версии) и се копии на носителях данных компьютерной системы;
  • — установление групповой принадлежности программного обеспечения по общим признакам;
  • — выявление частных признаков программы, позволяющих впоследствии идентифицировать ее авторство;
  • — выявление частных признаков программы, позволяющих впоследствии выявить взаимосвязь с информационным обеспечением исследуемой компьютерной системы;
  • — выявление частных признаков программы, позволяющих впоследствии раскрыть взаимосвязь с аппаратным обеспечением исследуемой компьютерной системы;
  • — установление признаков контрафактности представленных на экспертизу информационно-программных продуктов;
  • — определение основных характеристик операционной системы;
  • — выявление и исследование функциональных свойств, а также настроек программного обеспечения, времени его инсталляции (установки на машинный носитель);
  • — определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров (объем, дата создания, атрибуты), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций);
  • — диагностирование алгоритма программного продукта (представленного как в виде программного продукта, так и графического или текстового файла);
  • — установление видов инструментальных средств, использованных при разработке программного продукта (алгоритма);
  • — установление типов аппаратно-программных платформ, поддерживаемых программным продуктом;
  • — установление первоначального состояния программы (например, при начальной инсталляции) и выявление возможных последующих изменений (обновлений, изменений состава);
  • — определение целей и условий изменения свойств и состояния программного обеспечения (преднамеренное изменение каких-либо функций, конфигурирование на конкретную аппаратную среду);
  • — установление способа осуществления изменений в программе (например, воздействие вредоносной программы, ошибки программной среды, несанкционированный доступ);
  • — определение свойств и состояния программы по ее отображению в обрабатываемых данных (по содержанию служебных, системных файлов), по обеспечивающим аппаратным средствам;
  • — выявление структуры механизма события по результатам работы программного обеспечения и в динамике;
  • — установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями.
  • Чаще всего на разрешение программно-компьютерной экспертизы ставятся следующие вопросы:

  • — какова общая характеристика представленного программного обеспечения, из каких компонент (программных средств) оно состоит?
  • — обладает ли программное средство признаками контрафактности?
  • — имеют ли два программных продукта единый источник происхождения (при установлении авторских прав на программный продукт)?
  • — имеются ли в теле программного продукта реквизиты его разработчика и (или) владельца, если имеются, то какие?
  • — какое общее функциональное предназначение имеет программное средство?
  • — какие требования предъявляет данное программное средство к аппаратным средствам компьютерной системы?
  • — какова совместимость конкретного программного средства с представленной аппаратно-программной системой?
  • — используется ли данное программное средство для решения определенной функциональной задачи?
  • — каково фактическое состояние программного средства, его работоспособность по реализации отдельных (конкретных) функций?
  • — имеет ли программное средство защитные возможности (программные, аппаратно-программные) от несанкционированного доступа и копирования?
  • — каким образом организованы защитные возможности программного средства?
  • — каков общий алгоритм данного программного средства?
  • — какие программные инструментальные средства (языки программирования, компиляторы, стандартные библиотеки) использовались при разработке данного программного средства?
  • — имеются ли на носителях информации исходные тексты (коды) программы?
  • — какие действия позволяют совершать внесенные в программу изменения?
  • — какова хронология использования программного средства (начиная с ее инсталляции)?
  • — каковы последствия дальнейшей эксплуатации определенного программного средства?
  • Ярким примером проведения программно-компьютерной экспертизы является исследование программных продуктов на признаки контрафактности и установления единого источника происхождения программных продуктов. Эта задача решается в рамках определения авторства программного продукта.

    Так, например, суд вынес определение в адрес негосударственного экспертного учреждения о проведении экспертизы на предмет установления полного совпадения программных продуктов, написанных гражданином В., и программного продукта, распространяемого фирмой «ББЗЗ». На исследование гр. В. был представлен листинг программы, а торговая фирма представила исполняемый модуль. Для корректного сравнения эксперты привели объекты к единому виду. В результате последующего исследования было установлено, что программы имеют одинаковый алгоритм работы, одинаковые формы ввода и вывода информации, а также написаны на одном и том же языке программирования, однако была обнаружена незначительная разница в экранных формах. В итоге сделать однозначный вывод о том, что это один и тот же программный продукт, экспертам не представилось возможным. Однако однозначно было установлено, что они имеют единый источник происхождения.

    Или, например, фирма А подала иск в арбитражный суд против фирмы Т с просьбой о принудительном расторжении договора установки и ввода в эксплуатацию программного комплекса управления предприятием. По заявлению руководства фирмы А оплата услуг производилась поэтапно, в зависимости от ввода в эксплуатацию фирмой Т очередного блока системы (склада, бухгалтерии, управления кадрами и т.д.). Однако несмотря на то, что по завершении первого этапа фирмами был подписан лист разногласий и на его основании фирма А осуществила оплату первого этапа, фирма Т не устранила недоделки в установленные сроки, также ею были сорваны все остальные установленные договором сроки. Фирма Т. отказывалась на основании этого расторгнуть договор и утверждала, что ввод продукции в эксплуатацию осуществляется в соответствии с установленным графиком.

    Судом была назначена программно-компьютерная экспертиза, при проведении которой была изучена установленная в фирме А программно-компьютерная система, техническая документации, прилагаемая к договору (техническое задание на проект), а также сам договор. На основании проведенных исследований было установлено, что в процессе ввода в эксплуатацию были грубо нарушены условия адаптации программного средства под нужды конкретного пользователя, а также не был выполнен ряд необходимых программных настроек, без которых функционирование заявленных блоков невозможно.

    Программно-компьютерная экспертиза представляет собой разновидность судебной компьютерно-технической экспертизы. С развитием компьютерной техники возникло новое направление совершаемых правонарушений, которые получили название преступлений в сфере компьютерной информации. В подобных преступлениях и не только для достижения цели используются средства компьютерной техники и программного обеспечения.

    Основной целью программно-компьютерной экспертизы является установление причастности исследуемого программного комплекса к расследуемому преступному деянию. Также в результате анализа могут быть обнаружены следы совершенных противоправных действий. Предметом исследования данной экспертизы являются особенности разработки и применения программных средств компьютерной системы. Анализ может проводиться как по гражданским, так и по уголовным делам.

    Объектами программно-компьютерной экспертизы являются следующие компоненты:

  • Операционные системы (системное программное обеспечение).
  • Утилиты (вспомогательные программы).
  • Программные средства для разработки программного обеспечения, а также для его отладки.
  • Прикладные программы, предназначенные для выполнения определенных функций – текстовые редакторы, электронные таблицы, программы для работы с двухмерной и трехмерной графикой, программы для создания презентаций, почтовые программы, чертежные редакторы и многое другое.
  • Поводом для назначения программно-компьютерной экспертизы может быть обоснованное подозрение на некорректную работу программного обеспечения, несовместимость двух и более программ, находящихся в одной цепи выполнения каких-либо операций и так далее.

    Программно-компьютерная экспертиза широко применяется при расследовании уголовных дел, однако постепенно возрастает потребность в подобной исследовании и в других видах судопроизводства, что вызвано обширной компьютеризаций всех областей жизни. В настоящее время возникает множество гражданских дел, в том числе решаемых в арбитражных судах. Также большое количество дел связано с защитой прав потребителей, а также с нарушением авторских прав при распространении контрафактной продукции.

    Задачи, которые решаются с помощью программно-компьютерной экспертизы

    Программно-компьютерная экспертиза решает широкий спектр задач, связанных со специфическими особенностями программно обеспечения, его разработки, внедрения, применения и так далее. Большое разнообразие задач, решаемых с помощью данного исследования, обусловлено тем, что компьютерные системы с соответствующим программным обеспечением применяются практически во всех областях деятельности человека. Основными задачами программно-компьютерной экспертизы являются:

  • Установление общих характеристик исследуемого программного обеспечения, анализ его компонентного состава.
  • Классификация отдельных системных или прикладных программных средств, входящих в представленное для проведения экспертизы программное обеспечение.
  • Установление контрафактности (или наличия таковых признаков) программного обеспечения в целом или его компонентов.
  • Установление специфических характеристик исследуемого программного обеспечения. Определяется тип программного обеспечения, его наименование, версия, разработчик, вид представления (удаленный, явный или скрытый).
  • Установление данных владельца и разработчика исследуемого программного средства. Для юридических лиц устанавливаются реквизиты организации. Для физических лиц – данные, удостоверяющие личность.
  • Определение файлового состава исследуемого программного обеспечения с указанием их параметров – даты создания, типа, размера (объема), прочих атрибутов.
  • Установление функционального предназначения исследуемого программного средства.
  • Выявление наличия на исследуемой компьютерной системе программного обеспечения, предназначенного для решения определенной задачи.
  • Установление технических характеристик аппаратного средства, необходимых для нормального функционирования исследуемого программного обеспечения.
  • Определение совместимости программного и аппаратного состава компьютерной системы и исследуемого программного обеспечения.
  • Установление принадлежности данного класса задач к функциональным возможностям исследуемого программного обеспечения.
  • Установление текущего состояния компьютерной системы, а именно программного обеспечения, уровень работоспособности системы и способность системы к реализации определенных задач.
  • Установление конфигурации устройств ввода-вывода в данной компьютерной системе, оснащенной исследуемым программным обеспечением.
  • Выявление в исследуемом программном обеспечении отклонения от стандартных параметров (наличие недокументированных функций, инфицирования и пр.).
  • Установление наличия в исследуемом программном обеспечении программных или программно-аппаратных средств защиты от копировании и несанкционированного доступа.
  • Определение алгоритмов представленного для исследования программного средства.
  • Установление способа защиты программного обеспечения.
  • Установление инструментов разработки исследуемого программного обеспечения (типов компиляторов, языка программирования, системных библиотек).
  • Выявление скрытых кодов с первоначальной версией программы.
  • Определение модификаций исходных алгоритмов.
  • Установление применения специфических приемов алгоритмизации и программирования.
  • Установление хронологии производства изменений в исследуемом программном обеспечении.
  • Установление хронологии применения исследуемого программного средства, начиная с момента его установки и активации.
  • Установление возможных последствий последующей эксплуатации представленного на экспертизу программного обеспечения.
  • Установление возможности выполнения исследуемой программой заданных функций после внесения изменений.
  • Методы проведения программно-компьютерной экспертизы

    Методы исследования программного обеспечения, применяемые в ходе программно-компьютерной экспертизы, принято классифицировать, исходя из типа исследуемого объекта. Различают следующие группы методов:

  • Методы анализа исходных кодов.
  • Методы исследования программных алгоритмов.
  • Методы изучения исполняемых кодов (загрузочных модулей).
  • Экспертиза загрузочных модулей базируется на исследовании программных средств с помощью основных методов, отслеживающих все прерывания, которые вызываются данной программой. Метод, используемый экспертом, должен точно соответствовать типу решаемой им задачи. Соответственно, для получения достоверного результата исследования, необходимо выбирать эксперта, обладающего высоким уровнем профессиональной компетенции и большим опытом проведения исследований.

    При проведении анализа вредоносных программ (вирусов, червей и пр.) используют различные методы мониторинга – анализ файловых сигнатур (метод мониторинга дисковой памяти), сверка контрольных сумм (метод мониторинга оперативной памяти) и так далее.

    Порядок проведения программно-компьютерной экспертизы

    Процедура проведения программно-компьютерной экспертизы стандартна для всех подобных исследований. На первом этапе проводится консультация эксперта для определения разновидности экспертизы, предмета и задач исследования, а также стоимости и сроков его проведения.

    На следующем этапе заключается договор с организацией на проведение экспертизы, после чего инициатор экспертизы передает специалисту программное средство на том носителе, на котором оно установлено, и всю имеющуюся документацию. В договор вносится предмет исследования, имеющиеся задачи исследования, поставленные перед экспертом вопросы, а также предполагаемые сроки окончания выполнения экспертизы. Далее специалист по производству исследования производит необходимые экспертные мероприятия и составляет экспертное заключение, которое является основным результатом проведения исследования и может быть представлено в качестве доказательства в ходе судебного разбирательства. В экспертное заключение вносится описание проведенного исследования, копии представленных документов и ответы на поставленные перед специалистом вопросы.

    Читайте так же:  Судебные приставы зачем нужны

    Правовая база для проведения программно-компьютерной экспертизы

    Глава 28 Уголовного кодекса РФ описывает преступления в сфере компьютерной информации, а также меры наказания, назначаемые за подобные правонарушения. Глава содержит три статьи. Статья 272 регламентирует меры ответственности за незаконный доступ к закрытой компьютерной информации. Статья 273 предусматривает меры наказания за разработку, применение и распространение так называемых вредоносных программ, приводящих к уничтожению или блокированию информации в персональных компьютерах и производственных сетях. Статья 274 предписывает ответственность за несоблюдение техники использования персональных компьютеров, компьютерных систем или компьютерных сетей. Средствами программно-компьютерной экспертизы получается обоснование для вынесения решений по обозначенным в этой главе преступлениям.

    Вопросы, которые ставятся перед специалистом по проведению программно-компьютерной экспертизы

    Полный список вопросов весьма обширен. В каждом конкретном случае проведения программно-компьютерной экспертизы перечень вопросов формируется в зависимости от конечной цели исследования и разновидности исследуемого программного обеспечения. Вопросы, задаваемые эксперту, базируются на задачах, решаемых в процессе осуществления исследования. В общем случае вопросы выглядят следующим образом:

  • Каковы общие характеристики исследуемого программного обеспечения?
  • Из каких компонентов состоит данное программное обеспечение?
  • Какова классификационная принадлежность исследуемого программного обеспечения?
  • Каковы характеристики файлов, составляющих исследуемое программное обеспечение (дата создания, тип, размер и пр.)?
  • Как называется данное программное средство? Каков его тип? Кто является разработчиком?
  • Какая версия программного обеспечения представлена для проведения экспертизы?
  • Какова функциональная особенность исследуемого программного обеспечения?
  • Присутствуют ли в данной компьютерной системе программные средства, предназначенные для выполнения конкретной функциональной задачи?
  • Каковы должны быть аппаратные характеристики компьютерной системы, необходимые для корректной работы исследуемой программы?
  • Совместима ли исследуемая программа с аппаратным состоянием компьютерной системы, а также с уже установленным на нем программным обеспечением?
  • Использовалась ли данная программа для выполнения определенных функциональных задач?
  • Работоспособно ли исследуемое программное обеспечение? каково его фактическое состояние?
  • Как именно организована система ввода-вывода данных в исследуемом программном обеспечении?
  • Обнаружены ли в исследуемом программном обеспечении отклонения от стандартных характеристик типовых аналогичных программ?
  • Включены ли в структуру программного продукта средства защиты от копирования и несанкционированного доступа?
  • Каков алгоритм организации защиты от копирования и несанкционированного доступа?
  • Каков основной алгоритм, лежащий в основе исследуемого программного обеспечения?
  • Какие основные инструментальные средства использовались при разработке данного программного продукта?
  • Каковы реквизиты разработчика (владельца) представленного для проведения экспертизы программного обеспечения?
  • Какова хронология внесения модификаций в исследуемое программное обеспечение?
  • Какова хронология применения исследуемого программного обеспечения, начиная с момента установки?
  • Каковы возможные последствия дальнейшего применения представленного для экспертизы программного продукта?
  • Какова причина изменений в программном обеспечении – действия пользователя, влияние вредоносной программы, ошибки программной среды, сбой аппаратуры и пр.?
  • Защита прав потребителей Томской области

    Юридические услуги и юридическая помощь

    оперативный тел: 8-953-92-18-411

    Программно-компьютерная экспертиза

    • | Печать |
    • Подробности Родительская категория: Я потребитель! Категория: Потребитель должен знать! Просмотров: 2909

      Тот, кто уже встречался с поломкой своего компьютера знает, что так называемая некорректная работа компьютера специалистами в большинстве
      случаев связывается с проблемами программного обеспечения компьютера. Нельзя не сказать, что в действительности такие проблемы в основном
      возникают тогда, когда пользователь — потребитель пытается использовать нелицензионные программы. В таком случае, проблемы программного
      обеспечения вашего персонального компьютера и проблемы работы компьютера в целом безусловно с большей степенью вероятности будут
      определяться, как неправильная эксплуатация компьютера.

      Если же Вы все таки уверены, что установленные на ваш компьютер программы не могли отрицательно повлиять на работу компьютера или
      установленные на компьютер программы лицензионные, то перед Вами встает вопрос о проведении программно-компьютерной экспертизы.

      Предметом программно-компьютерной экспертизы являются закономерности разработки и применения программного обеспечения компьютерной
      системы.

      Объектами программно-компьютерной экспертизы являются:

      А) системное программное обеспечение операционные системы;

      Б) вспомогательные программы-утилиты;

      В) средства разработки и отладки программ;

      Г) прикладное программное обеспечение (приложения общего назначения: текстовые и графические редакторы; электронные таблицы, приложения
      специального назначения и т.д.

      На разрешение программно-компьютерной экспертизы могут быть поставлены следующие примерные вопросы:

      — Каково наименование, тип, версия, вид представленного (явный, скрытый, удалённый) программного средства?

      — Каково общее функциональное предназначение программного обеспечения?

      — Подвергался ли алгоритм программного средства модификации по сравнению с исходным состоянием?

      — Какой вид имело программное средство до его последней модификации?

      — Имеются ли в программном средстве враждебные функции, которые влекут уничтожение, блокирование, модификацию либо блокирование
      информации?
      — Возможно ли определить, направлены ли внесённые изменения в программное средство (компьютерную программу) на преодоление его защиты?
      — Возможно ли определить, достигается ли решение определённых задач после внесения изменений в программное средство (компьютерную программу)?
      — Возможно ли определить, каким способом были произведены изменения в компьютерной программе (преднамеренно, воздействием вредоносной программы, ошибками программной среды, аппаратным сбоем и др.)?
      — Возможно ли определить хронологию внесения изменений в программном средстве (компьютерной программе)?
      — Возможно ли определить хронологию использования программного средства начиная с её инсталляции;

      Все перечисленные вопросы компьютерно-технической экспертизы не являются исчерпывающими, а лишь дают представление об основных направлениях исследования аппаратных средств и информационных технологий. Для постановки вопросов необходимо проконсультироваться со специалистом.

      Эксперты экспертной организации к которой Вы обратитесь без сомнений помогут Вам определиться с вопросами, которые будут поставлены на экспертизу для достижения Ваших целей.

      Судебная компьютерно-техническая экспертиза, виды, вопросы

      Что такое компьютерно-техническая экспертиза?

      Компьютерно-техническая экспертиза — один из видов инженерно-технических экспертиз, объектом которой является компьютерная техника и/или компьютерные носители информации.

    • получения доступа к информации на носителях данных и ее последующего исследования
      1. программно-компьютерная экспертиза
      2. Получить дополнительную информацию можно на странице с описанием услуги компьютерной экспертизы.

        Аппаратно-компьютерная экспертиза

        Судебная аппаратно-компьютерная экспертизы состоит в проведении исследования аппаратных средств компьютерной системы. На основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы, материальных носителей информации о факте или событии гражданского либо уголовного дела устанавливаются факты и обстоятельства. Все это является предметом аппаратно-компьютерной экспертизы.

        В ходе судебной аппаратно-компьютерной экспертизы проводится исследование:

      3. сетевых аппаратных средств
      4. микросхем памяти, магнитных и лазерных дисков, магнитооптических дисков, магнитных лент, флэш-карт
      5. Экспертам в ходе проведения аппаратно-компьютерной экспертиза предстоит найти ответы на следующие вопросы:

      6. Относится ли представленное устройство к аппаратным компьютерным средствам?
      7. Какова роль данного аппаратного средства в компьютерной системе?
      8. Каковы первоначальная конфигурация и характеристики данного аппаратного средства?
      9. Каким образом были изменены функциональные свойства представленного аппаратного средства?
      10. Имеются ли отклонения от типовых параметров устройства?
      11. Имеются ли физические дефекты на устройстве?
      12. Является ли выявленная неисправность заводским браком либо следствием нарушения эксплуатации?
      13. Какое запоминающее устройство предназначено для работы с данным накопителем информации?
      14. Типичным примером аппаратно-компьютерной экспертизы является установление факта штатного функционирования компьютерной техники. Так, по одному из гражданских дел на экспертизу было предоставлено серверное оборудование, которое, по мнению истца, имело технические дефекты. Перед экспертом были поставлены вопросы:

        Программно-компьютерная экспертиза

      15. утилиты
      16. средства разработки и отладки программ
      17. служебная системная информация
      18. приложения общего назначения: текстовые и графические редакторы, системы управления базами данных, электронные таблицы,
      19. Каковы общая характеристика и функционал программного обеспечения?
      20. Из каких компонентов состоит программный продукт?
      21. Какое функциональные возможности имеет программное средство?
      22. Используется ли данное программное средство для решения определенной функциональной задачи?
      23. Каково фактическое состояние программного средства, его работоспособность по реализации отдельных (конкретных) функций?
      24. Имеются ли в программном средстве отклонения от нормальных параметров типовых программных продуктов?
      25. Имеет ли программное средство защитные возможности от несанкционированного доступа и копирования? Как они организованы?
      26. Каков общий алгоритм установки и эксплуатации данного программного средства?
      27. Какие языки программирования, компиляторы, стандартные библиотеки использовались при разработке данного программного средства?
      28. Подвергался ли алгоритм программного средства модификации по сравнению с исходным состоянием? В чем это нашло отражение?
      29. С какой целью было произведено изменение каких-либо функций в программном средстве?
      30. Направлены ли внесенные изменения в программное средство на преодоление его защиты?
      31. Какова хронология внесения изменений в программном средстве?
      32. Примером программно-компьютерной экспертизы является экспертное исследование системы Интернет-банкинга (ДБО), позволившее продемонстрировать суду наличие архитектурных уязвимостей в исследуемом программном продукте.

        Судебная информационно-компьютерная экспертиза (данных) является одним из самых популярных вариантом судебных компьютерно-технических экспертиз. Цель информационно-компьютерной экспертизы состоит в поиске, обнаружении и анализе информации, подготовленной пользователем или созданной программами. Этот вид экспертизы является ключевым, поскольку дает возможность окончательно разрешить большинство вопросов, связанных с компьютерной информацией.

        Для проведения эффективной оценки перед экспертами ставятся следующие вопросы:

      33. Как именно отформатирован носитель информации?
      34. В каком виде записаны данные на носитель информации?
      35. Какие свойства, характеристики и параметры имеют данные на носителе информации?
      36. Какого вида (явный, скрытый, удаленный, архив) информацию содержит носитель?
      37. Свободен или ограничен доступ к данным на носителе информации?
      38. Каково содержание защищенных данных?
      39. Какие данные о пользователе компьютерной системы имеются на носителях информации?
      40. Какая причинная связь имеется между действиями с данными и имевшим место событием (например, нарушением в работе компьютерной системы, в том числе сбои в программном и аппаратном обеспечении)?
      41. Компьютерно-сетевая экспертиза

        В отличие от всех предыдущих видов экспертизы, судебная компьютерно-сетевая экспертиза основывается на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию.

      42. выявление характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным
      43. Какие аппаратные средства использовались для подключения к Интернету?
      44. Каково содержание установок программы удаленного доступа к сети Интернет и протоколов соединений?
      45. Имеются ли сообщения, полученные (отправленные) посредством использования программ персональной связи через Интернет и каково их содержание?
      46. Нормативно-техническая экспертиза

      47. Договоры на разработку и Технические задания на разработку систем и сервисов
      48. И пр.
      49. Примерами нормативных и нормативно-технических экспертиз по направлению информационной безопасности являются:

      50. Экспертиза трудовых договоров по вопросам ИТ и ИБ
      51. определения статуса компьютерного средства
      52. получения дополнительных доказательств
      53. выявления роли компьютерного средства в рассматриваемом деле
      54. В составе СКТЭ можно выделить следующие виды экспертиз:

      55. аппаратно-компьютерная экспертиза
      56. информационно-компьютерная экспертиза (данных)
      57. компьютерно-сетевая экспертиза
      58. нормативно-техническая экспертиза
      59. Данная классификация помогает при назначении комплексных экспертиз и подборе сведущего лица.

      60. персональных компьютеров (настольных, портативных)
      61. серверов
      62. периферийных устройств
      63. мобильных телефонов
      64. встроенных систем на основе микропроцессорных контроллеров
      65. любых комплектующих всех указанных компонентов (аппаратных блоков, плат расширения, микросхем и др.)
      66. К какому типу (марке, модели) относится устройство?
      67. Каковы технические характеристики и параметры устройства?
      68. В чем заключается функциональное предназначение аппаратного средства?
      69. Используется ли данное аппаратное средство для решения конкретной функциональной задачи?
      70. Исправно ли представленное аппаратное средство?
      71. Какие эксплуатационные режимы установлены на данном аппаратном средстве?
      72. Является ли неисправность данного средства следствием нарушения правил эксплуатации?
      73. Является ли представленное аппаратное средство носителем информации?
      74. Каковы параметры (форм-фактор, емкость, среднее время доступа к данным, скорость передачи данных и др.) носителя информации?
      75. Доступен ли для чтения представленный носитель информации?
      76. Каковы причины отсутствия доступа к носителю информации?
      77. 1) Находятся ли серверы (модели, номера, характеристики) в исправном техническом состоянии?
        2) В случае отрицательного ответа на первый вопрос, установить является ли выявленная неисправность заводским браком либо следствием нарушения правил эксплуатации?

        В результате проведенного исследования было установлено, что RAID-контроллеры во всех серверах имели заводской брак.

        Программно-компьютерной экспертизой принято называть экспертное исследование программного обеспечения. В данном случае исследуются закономерности разработки и применения программного обеспечения.

        В ходе программно-компьютерной экспертизы изучению подвергаются:

      78. операционные системы
      79. редакторы презентаций и т. д.

      В ходе исследования экспертам предстоит дать ответы на следующие вопросы:

    • Обладают ли конкретные программные средства признаками контрафактности?
    • Каковы реквизиты разработчика и владельца данного программного средства?
    • Имеются ли на носителях информации программные средства для реализации определенной функциональной задачи?
    • Каким образом организован ввод и вывод данных в представленном программном средстве?
    • Имеются ли на носителях информации коды с первоначальным состоянием программы?
    • Каким способом были произведены изменения в программе (преднамеренно, воздействием вредоносной программы, ошибками программной среды, аппаратным сбоем и др.)?
    • Имеются ли в программном средстве функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной системы?
    • Каковы последствия дальнейшей эксплуатации определенного программного средства?
    • По результатам рассмотрения арбитражного дела банк выплатил клиенту-юридическому лицу полную сумму похищенных злоумышленниками денежных средств, проценты и судебные расходы.

      Информационно-компьютерная экспертиза данных

      В ходе экспертизы исследованию подвергаются файлы с расширениями текстовых форматов (. txt, . doc…), графических форматов (.bmp, . jpg, . tif, . cdr…), форматов баз данных (. dbf, . mdb…), электронных таблиц (. xls,. cal. ..) и др.

    • К какому типу относятся выявленные данные — текстовые, графические, база данных, электронная таблица, мультимедиа и др.?
    • Каковы характеристики выявленных средств защиты данных? Возможно ли их преодолеть?
    • Имеются ли признаки преодоления защиты либо попыток несанкционированного доступа на носителе информации?
    • Каково фактическое состояние выявленных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных?
    • Каково первоначальное состояние данных на носителе?
    • Каким способом и при каких обстоятельствах произведены действия или операции по изменению данных на носителе информации?
    • Примером судебной информационно-компьютерной является экспертиза по выявлению фактов и обстоятельств отгрузки товара на промышленном предприятии. На разрешение экспертизы был поставлен вопрос: «Какие изменения в системе 1С позволили подготовить отгрузочные документы и осуществить списание товара?»

      Компьютерно-сетевая экспертиза используется для решения таких задач, как:

    • определение свойств и характеристик аппаратного средства и программного обеспечения, установление роли и функционального предназначения объекта в сети
    • определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии
    • определение фактического состояния и исправности сетевого средства, наличия физических дефектов
    • установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности
    • определение причин изменения свойств вычислительной сети; обнаружение следов использования внешних программ и т. п.
    • определение структуры механизма и обстоятельства события в сети по его результатам
    • установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения
    • Как правило, на практике перед экспертами ставятся следующие вопросы:

    • Есть ли признаки того, что данное компьютерное средство работает в сети Интернет?
    • Имеется ли какая-либо информация о проведении электронных платежей и использовании номеров кредитных карт?
    • Судебные нормативно-технические экспертизы (например, Нормативно-технические экспертизы по информационной безопасности) необходимо обособить от компьютерно-технических экспертиз. Дело в том, что объектом исследования в нормативно-технических экспертизах является информация из документов, а также сами документы, например:

    • Техническая документация на оборудование, системы и ИТ-сервисы
    • Эксплуатационная документация на систему
    • Проектная документация
    • Организационно-распорядительная документация
    • Спецификой данного вида экспертиз является узкий профиль решаемой задачи и одновременно глубокие компетенции по одному из направлений информационных технологий. К проведению экспертизы необходимо привлекать профильного эксперта (криптография, управление проектами, создание и проектирование автоматизированных систем и пр.) имеющего не только технические знания, но и знания руководящих документов регуляторов отрасли, понимание механизмов управления в сфере информационных технологий.

    • Экспертиза Технического задания, Технического проекта и прочей технической документации на предмет соответствия требованиям руководящих документов ФСТЭК России и ФСБ России
    • Экспертиза договорной работы с контрагентами по вопросам ИТ и ИБ
    • Экспертиза договоров на разработку/модернизацию ПО
    • Экспертиза соответствия обеспечения информационной безопасности требованиям регуляторов (ФСТЭК России, ФСБ России, Роскомнадзор, Банк России)
    • Экспертиза соответствие процессов и деятельности требованиям законодательства в области информационной безопасности и защиты информации
    • Образец экспертного исследования

      Подробности нормативно-технических исследований здесь.

      Программно-компьютерная экспертиза

      Программно-компьютерная экспертиза предназначена для проведения экспертного исследования программного обеспечения. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или гражданскому делу.

      Задачи исследования:

      индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;

      установление признаков авторства программного обеспечения (программы);

      установление признаков преодоления защиты представленных на экспертизу информационно-программных продуктов;

      выявление и исследование функциональных свойств, а также настроек программного обеспечения, времени его инсталляции (установки на машинный носитель);

      определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров (объем, дата создания, атрибуты), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций);

      установление способа осуществления изменений в программе (например, воздействие вредоносной программы, ошибки программной среды, несанкционированный доступ);

      установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями.

      Объекты исследования:

      системное программное обеспечение (операционные системы);

      вспомогательные программы — утилиты;

      средства разработки и отладки программ;

      служебная системная информация;

      прикладное программное обеспечение (приложения общего назначения — текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.);

      приложения специального назначения для решения задач в определенной области науки, техники, экономики и т.д.;

      исходные тексты программ.

      На разрешение судебных экспертиз этого рода ставятся следующие вопросы:

      Какова общая характеристика представленного программного обеспечения, из каких компонент (программных средств) оно состоит?

      Какую классификацию имеют конкретные программные средства (системные или прикладные) представленного программного обеспечения? Обладают ли они признаками контрафактности?

      Каково наименование, тип, версия, вид представления (явный, скрытый, удаленный) программного средства?

      Каковы реквизиты разработчика и владельца данного программного средства?

      Каков состав соответствующих файлов программного обеспечения, каковы их параметры (объемы, даты создания, атрибуты)?

      Какое общее функциональное предназначение имеет программное средство?

      Имеются ли на носителях информации программные средства для реализации определенной функциональной задачи?

      Какие требования предъявляет данное программное средство к аппаратным средствам компьютерной системы?

      Какова совместимость конкретного программного средства с программным и аппаратным обеспечением компьютерной системы?

      Используется ли данное программное средство для решения определенной функциональной задачи?

      Каково фактическое состояние программного средства, его работоспособность по реализации отдельных (конкретных) функций?

      Каким образом организован ввод и вывод данных в представленном программном средстве?

      Имеются ли в программном средстве отклонения от нормальных параметров типовых программных продуктов (например, свойства инфицирования, недокументированных функций)?

      Имеет ли программное средство защитные возможности (программные, аппаратно-программные) от несанкционированного доступа и копирования?

      Каким образом организованы защитные возможности программного средства?

      Каков общий алгоритм данного программного средства?

      Какие программные инструментальные средства (языки программирования, компиляторы, стандартные библиотеки) использовались при разработке данного программного средства?

      Имеются ли на носителях информации тексты (коды) с первоначальным состоянием программы?

      Подвергался ли алгоритм программного средства модификации по сравнению с исходным состоянием? В чем это нашло отражение?

      Какой вид имело программное средство до его последней модификации?

      Использованы ли в алгоритме программы и ее тексте какие-либо специфические (нестандартные) приемы алгоритмизации и программирования?

      С какой целью было произведено изменение каких-либо функций в программном средстве?

      Направлены ли внесенные изменения в программное средство на преодоление его защиты?

      Достигается ли решение определенных задач после внесения изменений в программное средство?

      Каким способом были произведены изменения в программе (преднамеренно, воздействием вредоносной программы, ошибками программной среды, аппаратным сбоем и др.)?

      Какова хронология внесения изменений в программном средстве?

      Какова хронология использования программного средства (начиная с ее инсталляции)?

      Имеются ли в программном средстве враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной системы?

      Каковы последствия дальнейшей эксплуатации определенного программного средства?

      Разделы:

      Компьютерно-техническая экспертиза

      Предмет, объекты и задачи экспертизы

      Судебная компьютерно-техническая экспертиза (СКТЭ) – самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимый в целях: определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним ее исследованием.

      Родовой предмет – факты (обстоятельства), имеющие значение для уголовного либо гражданского дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств и систем, обеспечивающих реализацию информационных процессов.

      Специальные познания СКТЭ составляют следующие научные направления: автоматизация, информационные системы и процессы, электроника, электротехника, радиотехника и связь, вычислительная техника (в том числе программирование) и др.

      Видовая классификация организуется на основе обеспечивающих компонент любого компьютерного средства [аппаратного (технического), программного и информационного обеспечения] и используется в виде, соответствующем процессам разработки и эксплуатации компьютерных систем. Поэтому выделяются следующие виды экспертизы: аппаратно-компьютерная; программно-компьютерная; информационно-компьютерная (экспертиза данных). Кроме того, достаточно оправданным представляется выделение еще одного вида – компьютерно-сетевой экспертизы. Такое деление на виды наиболее полно охватывает технологические особенности, эксплуатационные свойства объектов экспертизы, предъявляемых для исследования. Данная классификация позволяет уже на ранних этапах становления экспертизы дифференцированно подойти к разработкам методов и методик экспертного исследования. Кратко рассмотрим каждый из видов.

      Сущность аппаратно-компьютерной экспертизы заключается в проведении исследования (в основном, диагностического) технических (аппаратных) средств компьютерной системы. К аппаратным средствам относятся: электрические, электронные и механические схемы, блоки, приборы и устройства, составляющие материальную часть компьютерной системы. Предметом данного вида экспертизы являются факты и обстоятельства, имеющие значение для уголовного либо гражданского дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации аппаратных средств компьютерной системы – материальных носителей информации о факте или событии уголовного либо гражданского дела.

      Для проведения экспертного исследования программного обеспечения предназначен такой вид экспертизы как программно-компьютерная. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или гражданскому делу. Задачами экспертизы данного вида является изучение функционального предназначения и характеристик реализуемого алгоритма, структурных особенностей и текущего состояния системного и прикладного программного обеспечения компьютерной системы.

      Информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Задачами этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

      Компьютерно-сетевая экспертиза в отличие от предыдущих основывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому факты и обстоятельства, связанные с использованием сетевых и телекоммуникационных технологий и устанавливаемые по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу составляют видовой предмет компьютерно-сетевой экспертизы. Она выделена в отдельный вид в связи с тем, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в судебной компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с Интернет-технологиями. Объект применения специальных познаний КТЭ может быть довольно разным – от компьютеров пользователей, подключенных к Интернет, до различных ресурсов поставщика сетевых услуг (провайдера) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, www-сервис и пр.). В связи со стремительным развитием современных телекоммуникаций и связи, обособлением предмета исследований в компьютерно-сетевой экспертизе можно выделить как подвид телематическую экспертизу. Предметом телематической экспертизы являются фактические данные, устанавливаемые на основе применения специальных научных познаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии какого-либо уголовного либо гражданского дела.

      Практический опыт показывает, что в настоящее время рассмотренные выше основные виды СКТЭ при производстве большинства экспертных исследований применяются комплексно и, чаще всего, последовательно. Экспертная деятельность зачастую связана с необходимостью исследования целостной компьютерной системы или ее части – персонального компьютера, электронного органайзера, сотового телефона и т.д. При этом, как правило, изучение начинается с аппаратных средств, далее – программных, и в заключении – работа с данными. Именно информационно-компьютерная экспертиза как вид СКТЭ позволяет в итоге построить целостное представление об исследуемом объекте, имеющее доказательственное значение. В результате проведения такого комплекса исследований, использования всего имеющегося родового экспертного инструментария достигается решение наиболее существенных экспертных задач – поиск, обнаружение, анализ и оценка криминалистически значимой компьютерной информации. Название такого комплексного исследования должно совпадать с родовым названием – компьютерно-техническая экспертиза. Поэтому, в настоящее время, в постановлении на производство судебной экспертизы целесообразно указывать родовое наименование экспертизы, т.е. «произвести судебную компьютерно-техническую экспертизу».

      Кроме того, в ходе таких пограничных исследований иногда возникает потребность привлекать специальные познания и из других смежных научных областей (например, криптографии и защиты информации). В экспертной практике уже намечены реальные перспективы развития комплексных экспертиз с использованием специальных познаний в СКТЭ и в следующих экспертизах: судебно-экономические экспертизы, технико-криминалистическая экспертиза документов, видеофоноскопическая, товароведчекая и другие экспертизы.

      Родовой (видовой) объект – определенная категория предметов, обладающих общими признаками и относящихся к компьютерным средствам. Одной из важных особенностей объекта СКТЭ является его составной характер. Конкретный объект экспертизы – определенное компьютерное средство, исследуемое в процессе данной экспертизы, обладающее признаками индивидуальности и неповторимости, что и определяет специфику конкретного исследования.

      Система объектов СКТЭ по классификационному основанию видового деления выглядит следующим образом:

    • а) класс аппаратные объекты, включающий в себя виды: персональные компьютеры (настольные, портативные), периферийные устройства, сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.), интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.), встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.), любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и т.п.). Указанные виды могут охватывать различные сочетания подвидов.
    • В криминалистическом аспекте наиболее важен подвид запоминающих устройств и носителей данных – включает все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты, карты и т.п.;

    • б) класс программные объекты, включающий в себя виды: системное программное обеспечение (подвиды: операционная система, вспомогательные программы-утилиты, средства разработки и отладки программ, служебная системная информация); прикладное программное обеспечение [подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.) и подвид приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т.д.)];
    • в) класс информационные объекты (данные), включающий в себя виды: текстовых и графических документов, изготовленных с использованием компьютерных средств; данных в форматах мультимедиа; информации в форматах баз данных и других приложений, имеющей прикладной характер.
    • Методы экспертизы

      Современные методы СКТЭ находятся пока в своем становлении. Поэтому на данном этапе развития экспертизы целесообразно рассматривать систему методов по основным классам объектов экспертизы: методы исследования аппаратных средств, методы исследования программных средств и методы исследования информации (данных). Кратко остановимся на их примерном содержании.

      В основе функционирования аппаратных средств любой компьютерной системы положен целый ряд комплексов специальных методов такой научной области как радиотехника, а также смежных с ней – аудиовизуальной техники, радиоэлектронной аппаратуры, радиоэлектронных систем и др. Так, одним из таких комплексов являются методы проектирования и исследования цифровых устройств и микропроцессоров. К ним относятся:

    • методы алгебры логики и методы переключательных функций;
    • методы функционирования асинхронных и синхронных автоматов;
    • методы синтеза цифровых узлов;
    • архитектурные методы микропроцессоров;
    • методы построения БИС и БИС памяти;
    • микропроцессорные методы проектирования и анализа микроконтроллеров и др.
    • Другие комплексы аппаратных методов, которые могут найти широкое применение при решении диагностических задач СКТЭ, ориентированы на анализ сигналов, их генерирование и формирование, прием и обработку, запись и воспроизведение т.п. Отдельными категориями выделяются следующие методы:

    • схемотехнические методы аналоговых и цифровых электронных устройств;
    • методы сверхвысоких частот;
    • оптические методы;
    • методы обработки аудио- и видеосигналов и другие.
    • С помощью указанных методов можно эффективно решать задачи по выявлению свойств аппаратных средств, их технических характеристик, установлению соответствия выявленных характеристик типовым, определение фактического состояния и исправности, наличия физических дефектов, установлению фактов несоблюдения эксплуатационных режимов, обстоятельств использования недокументированных сервисных возможностей и т.п. В целом, представляется, что указанные методы являются базовыми (определяющими) специальными методами экспертных исследований аппаратных объектов СКТЭ.

      Методы исследования программных средств могут быть классифицированы по виду представления объекта экспертизы:

    • методы исследования исходных текстов;
    • методы изучения алгоритмов программ;
    • методы исследования загрузочных модулей (исполняемых кодов).
    • В свою очередь, экспертиза загрузочных программных модулей использует в своей практике такие основные методы как дисассемблирование программ, их отладка и мониторинг, при котором отслеживаются все прерывания, вызываемые исследуемой программой. Каждый из названных методов может быть представлен группой методов частно-прикладного характера, свойственных именно типу решаемых экспертных задач. Например, в методах мониторинга, применяемых при решении задач исследования вредоносных программ, различают мониторинг оперативной памяти (проверка контрольных сумм), мониторинг дисковой памяти (анализ файловых сигнатур) и др.

      В ходе экспертного исследования криминалистически значимой информации (данных) широко используются методы, реализованные в большинстве стандартных утилит и сервисных программ. По алгоритмам доступа и анализа информации эти методы могут быть классифицированы как:

    • методы поиска и доступа к данным (например, метод контекстного поиска, метод конвертирования данных);
    • методы манипуляции с данными (копирование, перемещение, редактирование);
    • методы восстановления данных (в т.ч. удаленной информации);
    • методы архивации, парольной защиты и пр.
    • Экспертные исследования фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий, предопределяет развитие специальных методов данного вида СКТЭ. Так, в основе методологии экспертиз сетевых информационных технологий должны быть положены:

    • методы распределенной обработки данных;
    • методы иерархизации протоколов;
    • топологические методы и методы доступа;
    • методы коммутации и маршрутизации и др.
    • При решении задач СКТЭ, когда объектами исследования являются средства подвижной связи (сотовой связи, транковой связи, персонального радиовызова, мобильной спутниковой связи, беспроводного телефона), основными методами экспертно исследования являются методы телекоммуникационных технологий. К ним сегодня можно отнести следующие:

    • методы протоколирования;
    • методы представления, дискретизации и квантования непрерывных сообщений, сигналов и помех;
    • аналоговые и цифровые методы передачи сообщений, методы объединения, разделения и коммутации каналов (частотные, временные, кодовые);
    • методы модуляции и демодуляции радио- и оптических сигналов;
    • методы кодирования и декодирования сообщений;
    • методы помехоустойчивого кодирования;
    • методы сжатия информации;
    • методы защиты информации в сетях и каналах связи и др.
    • Возможности экспертизы

      Современный методический и организационный уровень СКТЭ характеризуется как этап становления нового рода судебной экспертизы. В связи с этим большинство экспертных задач могут решаться пока при разработке специальных экспертных методик для каждого частного случая. Причем, в каждой конкретной судебно-следственной ситуации рекомендуется предварительно согласовать возможность проведения необходимого исследования, а также круг задач и вопросов, ставящихся на разрешение эксперта.

      В уголовном судопроизводстве применительно к типичным объектам рассматриваемого рода экспертизы возможности судебно-экспертного исследования компьютерных средств и систем отражены в следующем методическом подходе, отражающем сущность современной СКТЭ.

      Исследование системного блока персонального компьютера проводится путем:

    • визуального осмотра внутренних аппаратных компонентов системного блока;
    • извлечения из системного блока жесткого диска;
    • подключения к системному блоку монитора, клавиатуры и манипулятора «мышь» и прерывания его загрузки для определения установок программы SETUP BIOS;
    • определения системной даты, времени компьютера, других конфигурационных установок в программе SETUP BIOS;
    • загрузки операционной системы с системной дискеты эксперта и диагностирования соответствующими программными средствами аппаратных компонентов системного блока (все выполняется без жесткого диска).
    • Исследование носителей компьютерной информации проводится путем:

      • определения класса носителя (например, для компакт-дисков: CD-ROM, CD-R, CD-RW и др.);
      • определения интерфейса, состояния перемычек и переключателей (для НЖМД);
      • определения назначения носителя;
      • подключения к стендовому компьютеру исследуемого жесткого диска в качестве дополнительного диска;
      • определения основных технических параметров (номеров цилиндров, сторон (головок), секторов, количества секторов, размеров секторов и емкости);
      • выявления таблицы разделов диска с определением их основных характеристик (начало и конец раздела, тип файловой системы, идентификаторы и метки разделов, размер и количество кластеров);
      • определения логической адресации системных областей разделов (загрузочной записи, таблиц FAT и корневого каталога);
      • поиска признаков повреждения целостности структуры данных (несоответствие заявленных параметров раздела фактическим, наличие сбойных, потерянных и др. кластеров, отличия фактического размера файлов от размеров, записанных в каталоге, некорректно сохраненные имена каталогов и файлов и т.п.).
      • Исследование файлов проводится путем:

      • создания «зеркальной» копии всего содержимого носителя информации на вспомогательном носителе (посекторное копирование с фиксацией технических параметров формата носителя, например, используются программы типа Disk Edit (Symantec Norton Utilities);
      • при невозможности создания вспомогательного носителя, перед подключением исследуемого жесткого диска к стендовому компьютеру, необходимо отключить все резидентные программы, загружаемые в ОС Windows и производящие операции записи на диск. Исследуемый диск должен быть установлен в системе как дополнительный съемный диск. Все файлы с исследуемого диска копируются на диск стендового компьютер. После отключается исследуемый диск, и проводиться исследование скопированных файлов на рабочем жестком диске стендового компьютера;
      • определения основных количественных параметров каталогов и файлов, содержащихся на носителе (с разбиением по логическим дискам);
      • определения основных статистических параметров и временных атрибутов каталогов и файлов;
      • определения соответствия дат создания и редактирования файлов системному времени компьютера и общей ситуации проведения экспертизы;
      • определения перечня программного обеспечения, содержащегося на магнитном носителе (уставленное программное обеспечение и дистрибутивы) с указанием назначения программ, названия программ, типовых расширений файлов, с классификацией по разделам (операционные системы, архиваторы, антивирусы, работа в Интернет, работа с графикой, работа со звуком, языки программирования, работа со сканером и распознавание текста, программы переводчики, игры и т.д.);
      • выделения общедоступных и предположительно подготовленных пользователем файлов данных (с указанием каталогов и программ подготовки файлов);
      • определения общего объема файлов данных;
      • выделения защищенной от несанкционированного доступа информации (зашифрованные диски и файлы, электронные сжатые диски, защищенные паролями архивы и др.);
      • поиска удаленных файлов и остаточной информации (например, с помощью программ Unerase, DiskEdit (Symantec Norton Utilities ) и т.п.);
      • выделения файлов, представляющих интерес для экспертизы;
      • определения содержимого и атрибутов файлов операционной системы, характеризующих работу пользователя в операционной системе, в локальных и глобальных сетях;
      • поиска программ (файлов), содержащих признаки заражения компьютерными вирусами (например, с использованием программ AVP, Dr.Web и пр.).
      • Поиск признаков выполнения несанкционированных действий или использования специальных программ удаленного администрирования производится путем:

      • поиска программ, предназначенных для подбора паролей, и результатов их работы (файлов результатов и файлов настроек программ);
      • поиска фактов работы с использованием чужих учетных записей или других системных ресурсов;
      • установления содержимого рукописных и печатных материалов, текстовых файлов и файлов электронной почты;
      • поиска программ с деструктивными (вредоносными) функциями и их экспериментального исследования на стендах, моделирующих предполагаемые условия их функционирования;
      • выявления текстовых файлов, содержащих ключевые слова;
      • выявления пользовательских файлов (звуковых, графических, текстовых, исполняемых модулей), имеющих отношение к заданной тематике (обстоятельствам дела);
      • уяснения диагностических параметров настройки программ (регистрационные имя пользователя и название организации в программах подготовки документов Microsoft Office или системах программирования);
      • исследования защищенных паролями файлов;
      • определения особенностей подготовки текстового файла с учетом среды подготовки, регистрационных параметров использовавшегося текстового редактора, времени создания документа, времени редактирования и количества редакций (в режиме автосохранения и по команде пользователя), внесенных изменений, наличия макрокоманд и макровируса в тексте и пр.;
      • выявления и определения назначения программ с минимальным пользовательским интерфейсом и не содержащих пояснительных указаний и комментариев (с установлением относящихся к этим программам файлов данных);
      • сравнительного исследования нескольких версий программ, конфигурационных файлов (настроек) и файлов данных;
      • изучения протоколов работы пользователя (или программ) и интерпретации их действий;
      • определения работоспособности и уточнения фактически выполняемых функций программ с рекламируемыми и заявленными свойствами;
      • выявления и уточнения назначения программ управления другими аппаратными средствами, подключаемыми и используемыми с представленным компьютером;
      • уяснения настройки кодовых таблиц (или переустановки всей операционной системы на стендовом компьютере) для исследования файлов на национальных языках.
      • Помимо уголовного, непрерывно возрастают потребности в СКТЭ и в других видах судопроизводства. Так, в настоящее время, в связи с глобальной компьютеризацией коммерческой деятельности, возникает большое количество гражданских споров (в т.ч. в арбитражных судах). Кроме того, в административном порядке защиты потребителей проводятся экспертизы в соответствии с нормами КоАП России. К ним относятся экспертизы по фактам нарушения прав потребителей на приобретение компьютеров и компьютерных систем надлежащего качества и безопасности для жизни и здоровья, на получение информации о товарах (компьютерных средствах) и об изготовителях этих средств т.д.

        В ходе самозащиты в досудебном споре по заявленному требованию потребителя используются следующие формы специальных знаний в области компьютерных технологий: проверка качества компьютеров и компьютерных систем (работ по их обслуживанию, ремонту и пр.); экспертиза качества компьютеров и компьютерных систем (в т.ч. проектных работ по созданию компьютерных систем и пр.).

        Основной задачей СКТЭ в указанных делах является диагностика производственных и эксплуатационных дефектов компьютерных средств с целью установления их стоимости. Решается данная задача с использованием комплексного методического подхода (в т.ч. с использованием товароведческих специальных знаний), посредством которого устанавливаются факты и обстоятельства наличия тех или иных дефектов компьютерных средств (в целом и по комплектующим), изменения их качеств (сущности изменения качества), наименование и количество компьютерных средств, пригодности для использования по назначению и пр. Полученные результаты экспертизы широко используются для установления истины по делу и в совокупности с другими выводами, могут способствовать установлению размеров ущерба и пр.

        Читайте так же:  Льготы отцам после развода