Компьютерно-техническая экспертиза

Объекты

1. Класс аппаратные объекты, включающий в себя виды:

• персональные компьютеры (настольные, портативные);
• периферийные устройства;
• сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.);
• запоминающие устройства и носители информации (накопители на жестких магнитных дисках (НЖМД), оптические (CD/DVD) диски, дискеты, флэш-накопители и карты памяти и другие устройства);
• видеорегистраторы, цифровые фото-, видеокамеры, диктофоны (в части исследования информационного содержимого их памяти и обстоятельств их работы).

2. Класс программные объекты, включающий в себя виды:

• системное программное обеспечение (подвиды: операционная система; вспомогательные программы — утилиты; средства разработки и отладки программ; служебная системная информация);
• прикладное программное обеспечение (подвиды: приложения общего назначения — текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.; приложения специального назначения — для решения задач в определенной области науки, техники, экономики и т.д.).

3. Класс информационные объекты (данные), включающий в себя виды:

• текстовые и графические документы в электронной форме;
• программные (исполняемые) файлы;
• данные в форматах мультимедиа;
• информация в форматах баз данных и др., имеющая прикладной характер и т.п.

Задачи

Определение конфигурации представленного оборудования и установление его работоспособности

Вопросы

Какова конфигурация представленного системного блока компьютера и соответствует ли она сведениям, имеющимся на представленных документах (счете, товарной накладной, спецификации).

Имеет ли представленный системный блок компьютера (либо отдельные комплектующие, периферийные устройства и т.п.) дефекты (указывается перечень дефектов)/сбои в работе?

Анализ установленного программного обеспечения, в том числе с «признаками контрафактности»

Поскольку «контрафактность» является юридическим понятием, вопросы по установлению «контрафактности», а также наличия «признаков контрафактности» программного обеспечения, не решаются.

Вопросы — вариант 1

Исследуются только установленные (используемые) программы.

• Установлены ли в операционной системе представленного системного блока компьютера программы, имеющие наименования: *** (согласно информации из файлов справки, описаний, заголовков окон, заставок и т.п.)?
• Установлены ли в операционной системе представленного системного блока компьютера программы, в качестве правообладателя которых указана фирма *** (согласно информации из файлов справки, описаний, заголовков окон, заставок и т.п.)?
• Если да, то имеют ли данные программы какие-либо различия с их лицензионными аналогами?
• Имеются ли какие-либо следы использования данных программ?

Для решения указанных вопросов в обязательном порядке требуется предоставление эксперту лицензионных аналогов исследуемых программ (предоставляться должны программы, соответствующие по номеру версии и номеру сборки исследуемым программам). Под лицензионным аналогом понимается оригинальное программное обеспечение от того же производителя и с тем же наименованием, которые указаны в исследуемом программном обеспечении. В случае, если лицензионные образцы не будут представлены — составляется сообщение о невозможности дать заключение. При невозможности предоставления образцов вопросы должны ставиться в формулировках, приведенных ниже.

• Установлены ли в операционной системе представленного системного блока компьютера программы, имеющие наименования: *** (согласно информации из файлов справки, описаний, заголовков окон, заставок и т.п.)?
• Установлены ли в операционной системе представленного системного блока компьютера программы, в качестве правообладателя которых указана фирма *** (согласно информации из файлов справки, описаний, заголовков окон, заставок и т.п.)?
• Имеются ли среди них программы со следами нарушения систем защиты от несанкционированного копирования/использования либо со следами установки из дистрибутивов, не соответствующих описаниям из файлов справки (по структуре файлов, процедуре установки)?
• Имеются ли какие-либо следы использования данных программ?

Вопросы — вариант 2

Исследуются дистрибутивы программ и программы, не требующие установки.

• Имеются ли на представленных носителях программы, имеющие наименования: *** (согласно информации из файлов справки, описаний, заставок и т.п.)?
• Имеются ли на представленных носителях программы, в качестве правообладателя которых указана фирма *** (согласно информации из файлов справки, описаний, заставок и т.п.)?
• Имеются ли среди них программы, структура файлов или процедура установки которых не соответствует информации из файлов справки (при их наличии)?

По аналогии с исследованием установленных программ, при предоставлении эксперту лицензионных аналогов исследуемого программного обеспечения последние два вопроса из числа указанных выше могут быть поставлены в следующей формулировке: «Имеют ли данные программы какие-либо различия с их лицензионными аналогами?».

Вопросы — вариант 3

Диагностика ПО.

• Реализованы ли в полном объеме в представленном экземпляре программы (указывается ее наименование) все требования, указанные в техническом задании на ее разработку?
• Имеются ли сбои в работе представленной программы (указывается ее наименование) при определенных условиях (перечисляются конкретные условия)? Если да, чем они вызваны?

Поиск на устройствах хранения данных определенного вида информации

Вопросы

• Имеются ли на представленных носителях информации файлы (перечисляются имена файлов либо указывается на необходимость сравнения с файлами-образцами, представленными на исследование), в т.ч. и среди удаленных файлов?
• Имеются ли на представленных носителях информации текстовые файлы, содержащие слова/фразы: «...», в т.ч. и среди удаленных файлов?
• Имеются ли на представленных носителях информации файлы, содержащие документы в электронном виде соответствующие по оформлению и содержанию представленным документам, в т.ч. и среди удаленных файлов?
• Имеются ли на представленных носителях информации файлы с изображением оттисков печати (указывается наименование организации)/денежных знаков (указывается вид валюты, достоинство купюр) и т.п., в т.ч. и среди удаленных файлов?
• Имеются ли на представленных носителях информации файлы графических либо видеоформатов (указывается диапазон дат создания либо на необходимость сравнения с файлами-образцами и т.п.) — в т.ч. среди удаленных файлов?
• Имеются ли на представленных носителях информации файлы, имеющие дату создания/изменения с (дата) по (дата)?
• Возможно ли восстановить информационное содержимое носителя (НЖМД, USB Flash-накопителя, цифровой фотокамеры и т.п.), утраченное в результате выхода его из строя, воздействия вредоносных программ, ошибочного удаления информации и т.п.?

Кроме того, могут ставиться и иные вопросы об обстоятельствах создания, редактирования, использования и удаления выявленных файлов, а также отдельных записей (например, в файлах баз данных) — возможность получения подобной информации и конкретные формулировки вопросов будут зависеть от типов файлов, подлежащих исследованию.

Установление обстоятельств работы пользователя в сети Интернет

Вопросы:

• Имеются ли в операционной системе, установленной на НЖМД системного блока компьютера, следы работы в глобальной сети Интернет в период времени (указать интересующий период), если да, то с использованием каких параметров (IР-адрес подключения, имя пользователя и пароль и т.п.) осуществлялась работа?
• Осуществлялся ли с использованием представленного системного блока компьютера доступ к Интернет-ресурсам (указать наименование ресурсов)?
• Имеется ли на НЖМД представленного системного блока компьютера информация о переписке локального пользователя с использованием сервисов обмена мгновенными сообщениями/электронной почты и т.п. с конкретным абонентом (указывается уникальный идентификатор абонента, адрес электронной почты и т.п.)?
• Имеется ли на НЖМД представленного системного блока компьютера, в переписке пользователя с использованием сети Интернет информация (указывается конкретная тематика, ключевые слова и фразы для поиска)? Если да, то с кем из абонентов сети (идентификатор, электронный адрес и т.п.) осуществлялась такая переписка?
• Имеется ли на НЖМД представленного системного блока компьютера файлы (перечисляются имена файлов либо указывается на необходимость сравнения с файлами-образцами, представленными на исследование)? Если да, то предоставлен ли общий доступ к данным файлам для сетевых/удаленных пользователей и имеются ли на НЖМД представленного системного блока компьютера следы обращения/копирования данных файлов сетевыми/удаленными пользователями?
• Имеется ли на НЖМД представленного системного блока компьютера файлы (перечисляются имена файлов либо указывается на необходимость сравнения с файлами-образцами, представленными на исследование)? Если да, то не загружен ли данный файл с какого-либо из Интернет-ресурсов?

Установление факта и способа использования и распространения «вредоносных» программ

Вопросы

• Имеются ли на НЖМД системного блока компьютера вредоносные программы (указывается перечень программ, факт распространения которых подлежит доказыванию) и следы их использования и распространения?
• Каков принцип действия (последствия применения) вредоносной программы (указывается ее наименование), имеющейся ли на НЖМД системного блока компьютера?

Установление факта и способа доступа к компьютерной информации (в т.ч. несанкционированного)

Вопросы

• Имеет ли программа (указывается ее наименование), находящаяся на НЖМД представленного системного блока компьютера какую-либо защиту от несанкционированного доступа?
• Имеются ли на НЖМД представленного системного блока компьютера программы, предназначенные для получения удаленного доступа к локальным ресурсам без ведома локального пользователя?
• Имеются ли на НЖМД представленного системного блока компьютера следы доступа к его локальным ресурсам с нарушением имеющейся системы защиты информации от несанкционированного доступа без ведома локального пользователя? С использованием каких средств и приемов был получен доступ и какие действия были выполнены в процессе данного доступа?
• Возможно ли восстановление утраченных паролей на доступ к защищенной информации (указываются конкретные файлы, базы данных программы и т.п.)? Если да, то провести их восстановление?
• Возможно ли получение доступа к защищенной информации (указываются конкретные файлы, базы данных программы и т.п.) путем снятия парольной защиты? Если да, то предоставить такой доступ.

Последний вопрос носит общий характер, для уменьшения сроков производства экспертизы рекомендуется его конкретизировать в плане установления факта осуществления определенных действий, которые должны быть указаны в вопросе постановления.

При осмотре места происшествия необходимо изымать следующие устройства:

• системный блок компьютера (монитор, мышь, клавиатуру изымать нет необходимости). Изымать системный блок компьютера желательно целиком, лишь при невозможности изъятия извлекать отдельно НЖМД;
• сменные/внешние носители и накопители информации (внешние НЖМД, USB Flash-накопители, карты Flash-памяти, оптические диски и т.п.), подключенные к системному блоку компьютера на момент проведения осмотра (носители и накопители, не подключенные на момент осмотра), могут изыматься в зависимости от предмета доказывания;
• в зависимости от задач, изымаются так же внешние устройства (принтеры, сканеры, активное сетевое оборудование (xDSL-модемы, маршрутизаторы т.п.).

В любом случае целесообразно зафиксировать наличие и виды имеющихся сетевых подключений и указать эти сведения эксперту в качестве исходных данных в постановлении о назначении экспертизы.

Системный блок целесообразно упаковать в картонную коробку и опечатать ее с соответствии с общими требованиями к упаковке вещественных доказательств. В случае, невозможности упаковки системного блока, следует опечатать его корпус. Опечатывать необходимо разъем для подачи питающего напряжения и места соединений стенок корпуса.

После изъятия указанных выше аппаратных объектов, до назначения компьютерно-технической экспертизы, необходимо максимально обеспечить их сохранность — не включать либо свести к минимуму включения и загрузку изъятых устройств, носителей и ПО, установленного на них во избежание изменения состояния/повреждения информационного содержимого носителей. Магнитные носители следует держать вдали от источников электромагнитных излучений, оптические носители — вдали от источников теплового и солнечного воздействия. У оптических носителей также необходимо беречь поверхность от механических повреждений.

Консультацию по вопросам возможности производства конкретной экспертизы/проведения конкретного экспертного исследования, ориентировочных сроках — можно получить у руководителей соответствующих экспертных отделов ФБУ Орловская ЛСЭ Минюста России по телефонам, приведенным на странице «Контакты».

Компьютерно-технические исследования

Объекты

Аппаратные средства: персональные компьютеры (настольные, портативные); периферийные устройства; сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.); запоминающие устройства и носители информации (накопители на жестких магнитных дисках (НЖМД), оптические (CD/DVD) диски, дискеты, флэш накопители и карты памяти и другие устройства); видеорегистраторы, цифровые фото-, видеокамеры, диктофоны (в части исследования информационного содержимого их памяти).

Программное обеспечение различных видов: системное программное обеспечение; прикладное программное обеспечение; приложения специального назначения — для решения задач в определенной области науки, техники, экономики и т.д. (в т.ч. разработанные заказчиком либо по его заданию).

Информационные объекты (данные): текстовые и графические документы в электронной форме; данные в форматах мультимедиа; информация в форматах баз данных и др. имеющая прикладной характер.

Задачи

Определение конфигурации представленного оборудования, установление его работоспособности и причин образования дефектов

Вопросы

• Какова конфигурация представленного системного блока компьютера и соответствует ли она сведениям, имеющимся на представленных документах (счете, товарной накладной, спецификации)?
• Имеет ли представленный системный блок компьютера (либо отдельные комплектующие, периферийные устройства и т.п.) дефекты (указывается перечень дефектов)/сбои в работе?

Анализ программного обеспечения

Вопросы

• Установлены ли в операционной системе представленного системного блока компьютера программы, имеющие наименования: *** (согласно информации из файлов справки, описаний, заголовков окон, заставок и т.п.)?
• Установлены ли в операционной системе представленного системного блока компьютера программы, в качестве правообладателя которых указана фирма *** (согласно информации из файлов справки, описаний, заголовков окон, заставок и т.п.)?
• Имеются ли среди них программы со следами нарушения систем защиты от несанкционированного копирования/использования либо со следами установки из дистрибутивов, не соответствующих описаниям из файлов справки (по структуре файлов, процедуре установки)?
• Имеются ли на представленных носителях программы, имеющие наименования: *** (согласно информации из файлов справки, описаний, заставок и т.п.)?
• Имеются ли на представленных носителях программы, в качестве правообладателя которых указана фирма *** (согласно информации из файлов справки, описаний, заставок и т.п.)?
• Имеются ли среди них программы, структура файлов или процедура установки которых не соответствует информации из файлов справки (при их наличии)?
• Имеют ли данные экземпляры программных продуктов, какие-либо средства (программные, текстовые описания или рекомендации, иная информация), применение которых приводит к нарушению систем защиты от их несанкционированного копирования/ использования?
• Реализованы ли в полном объеме в представленном экземпляре программы (указывается ее наименование) все требования, указанные в техническом задании на ее разработку?
• Имеются ли сбои в работе представленной программы (указывается ее наименование) при определенных условиях (перечисляются конкретные условия)? Если да, чем они вызваны?

Поиск на устройствах хранения данных определенной информации

Вопросы

• Имеются ли на представленных носителях информации текстовые файлы, содержащие слова/фразы: «...», в т.ч. и среди удаленных файлов?
• Имеются ли на представленных носителях информации файлы, содержащие документы в электронном виде, соответствующие по оформлению и содержанию представленным документам, в т.ч. и среди удаленных файлов?
• Имеются ли на представленных носителях информации графические либо видеофайлы (указывается диапазон дат создания либо на необходимость сравнения с файлами-образцами и т.п.), в т.ч. среди удаленных файлов?
• Возможно ли восстановить информационное содержимое носителя (НЖМД, USB Flash-накопителя, памяти мобильного телефона, цифровой фотокамеры и т.п.), утраченное в результате выхода его из строя, воздействия вредоносных программ, ошибочного удаления информации и т.п.?

Установление паролей для доступа к защищенной информации.

Вопросы

• Возможно ли восстановление утраченных паролей на доступ к защищенной информации (указываются конкретные файлы, базы данных программы и т.п.)? Если да, то провести их восстановление?
• Возможно ли получение доступа к защищенной информации (указываются конкретные файлы, базы данных программы и т.п.) путем снятия парольной защиты? Если да, то предоставить такой доступ.

Следует отметить, что проведение исследований, касающихся поиска и восстановления информации, а также предоставления доступа к защищенной информации, по договору с физическим и юридическим лицом, возможно только после подтверждения заказчиком того, что он является собственником данной информации и/или носителей, на которых она расположена, и только в отношении информации на представленных носителях (исследования, связанные с анализом удаленных сетевых (в т. ч. и Интернет) ресурсов, не проводятся).

Приведенный перечень вопросов является далеко не исчерпывающим, поскольку информационные объекты очень разнообразны, при этом формулировки вопросов и возможности экспертного исследования будут зависеть от конкретных объектов (вида носителей информации, их логической структуры, форматов файлов и т.п.). Поэтому во всех случаях необходимо предварительно консультироваться с экспертом по поводу возможности и сроков проведения исследования, правильной постановки вопросов эксперту.