<<
>>

Осмотр средств вычислительной техники

Непосредственными объектами действия могут быть: отдельные компьютеры, не являющиеся составной частью локальных или глобальных сетей; рабочие станции (компьютеры), входящие в сеть; файл-сервер, т.е.

центральные компьютеры сетей; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и пр. При их осмотре в протоколе отражается: положение переключателей на блоках и устройствах вычислительной техники; состояние индикаторных ламп; содержание информации, высвечиваемой на мониторе, и световых сигналов на различных индикаторах и табло; состояние кабельных соединений (их целостность и отсутствие следов подключения нештатной аппаратуры); наличие и содержание всех пометок, специальных знаков, пломб и наклеек на корпусах и устройствах компьютерного оборудования; механические повреждения; наличие внутри компьютерной техники нештатной аппаратуры и различных устройств; следы нарушения аппаратной системы защиты информации и другие признаки воздействия на вычислительную технику.

Помимо этих общих положений, необходимо отметить особенности осмотра работающего и неработающего компьютера.

При осмотре работающего компьютера с участием специалиста следует: установить, какая программа выполняется, для чего осмотреть изображение на экране дисплея и детально описать его (а проще произвести фотографирование или видеозапись); по мере необходимости остановить исполнение программы и установить, какая информация получена после окончания ее работы; определить и восстановить наименование вызывавшейся последний раз программы; установить наличие в компьютере накопителей информации (винчестеры, дисководы для дискет, стримеры, оптические диски), их тип (вид) и количество; скопировать информацию (программы, файлы данных), имеющуюся в компьютере (особенно это важно для информации, находящейся в ОЗУ и виртуальном диске, так как после выключения компьютера она уничтожается).

Если компьютер подключен к локальной сети, то необходимо: установить количество подключенных к файл-серверу рабочих станций или компьютеров, вид связи сети, количество файл-серверов в сети; по возможности организовать параллельный осмотр включенных в локальную сеть рабочих станций и компьютеров (по вышеизложенной схеме осмотра работающего компьютера).

Если же такая возможность отсутствует, то надо обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера.

При осмотре неработающего компьютера требуется: определить местонахождение компьютера и его периферийных устройств (печатающего устройства, дисплея, клавиатуры, дисководов и прочего) с обязательным указанием в протоколе наименования, номера, модели, формы, цвета каждого из них; установить порядок соединения между собой вышеуказанных устройств, количество соединительных разъемов, их спецификации, виды проводов и кабелей, их цвет и количество, выяснить, подключен ли данный компьютер в сеть, и если да, то в какую именно и каковы способ и средства его подключения; проверить красящую ленту матричного принтера, на которой могут быть обнаружены следы текста.

В современных СКТ объем хранимой информации огромен и разнообразен.

Поэтому выбор интересующих сведений становится весьма трудоемким. Однако современные программные средства предоставляют широкий спектр возможностей не только пользователю, но и преступнику и следователю.

Многие текстовые и финансовые программы сохраняют список документов последних сеансов работы и могут их мгновенно вызвать, если, конечно, они не удалены или не перемещены в другое место. На диске компьютера пользователи обычно сохраняют документы в каталогах (папках) со стандартными названиями: Мои документы, Архив, Петров, Шек (пользователь). Файлы документов имеют в названии характерное уточнение ("расширение"), т.е. часть имени, которая стоит после точки в названии файла, - письмо.txt, сведения.doc, платеж.xls, архив98.zip, входящие.arj, счета.rar и т.п. Значительный интерес могут составить базы данных или данные из программы-"ежедневника", которые являются компьютерным аналогом записной книжки с адресами. Все компьютерные файлы хранят дату последнего изменения, а после некоторых программ - и дату первоначальной записи файла под этим именем. Мощные программы при сохранении файла приписывают к полезной информации дополнительную информацию (служебные данные, которые удается выявить при необходимости специальными программами просмотра). Имеются в виду сведения о зарегистрированном владельце или организации (если владелец ввел такие данные при установке программы), об установленном принтере. Иногда внутрь файла попадает "соседняя" информация из документа, который обрабатывался в памяти параллельно. Автоматический поиск среди огромного объема информации на диске помогают вести программы поиска документов по имени файла или по дате, размеру и даже по словам в тексте документа. Часть информации хранится в сжатом виде, и ее прямой просмотр невозможен. Однако существуют программы поиска и в таких сжатых файлах. Ко многим шифровальным защитам документов и сжатым архивам известны программы подбора "забытых" паролей.

Обычный, не искушенный в тонкостях пользователь, как правило, не догадывается, что фрагменты или целые файлы, которые программы создают как временную подсобную базу для работы, нередко остаются на диске и после окончания работы.

Во всяком случае такие хранилища обрывков временных файлов целесообразно проверять при производстве следственного осмотра. Популярный программный пакет Microsoft Office после установки на компьютере ведет негласный файл-протокол, куда заносит дату и время всех включений компьютера. Программы связи и работы с сетью запоминают адреса многих Интернет-контактов пользователя, документы электронной почты с адресами отправителя.

Если пользователь не попросит иначе, то современные операционные системы удаляют файлы не "начисто", а сначала в "корзину", в некий чулан для хлама, просмотрев который информацию можно восстановить. Но даже в случае удаления файла, минуя корзину, остается вероятность восстановления, поскольку место его на диске не очищается, а только помечается как неиспользованное.

Остающиеся на месте осмотра СКТ можно опечатать путем наклеивания листа бумаги с подписями следователя и понятых на разъемы электропитания, на крепеж и корпус. Не допускается пробивать отверстия в магнитных носителях, ставить на них печати. Пояснительные надписи на этикетку для дискет наносятся фломастером (но не авторучкой) или жестким карандашом.

Если есть необходимость изъять СКТ, следует выйти из программы, исполняемой компьютером для операционной системы Windows 95/98, правильно завершить работу самой системы, а затем отключить электропитание всех средств компьютерной техники, подлежащих изъятию. Желательно описать в протоколе рабочие кабельные соединения между отдельными блоками аппаратуры. Аппаратные части СКТ разъединяются с соблюдением необходимых мер предосторожности, одновременно пломбируются их технические входы и выходы. При описании изымаемых магнитных носителей машинной информации в протоколе отражаются заводской номер, тип, название, а при их отсутствии подробно описываются тип, размер, цвет, надписи. Фиксацию указанных сведений в протоколе следственного действия желательно дополнить видеосъемкой либо фотосъемкой.

В процессе осмотра нельзя забывать о необходимости соблюдения элементарных правил обращения с вычислительной техникой.

Вот некоторые из этих правил: все включения и выключения компьютерного оборудования должны осуществляться только специалистами либо под их руководством; не производить разъединения или соединения кабельных линий, прежде чем не будут выяснены их назначение, чтобы не нанести ущерба компьютерной системе; вскрытие и демонтаж компьютерного оборудования производить только с участием специалистов; не допускать попадания мелких частиц и порошка на рабочие части устройств ввода-вывода компьютеров; применение магнитных искателей, ультрафиолетовых осветителей, инфракрасных преобразователей и других подобных приборов для осмотра вычислительной техники должно быть согласовано со специалистом, чтобы избежать разрушения носителей информации и микросхем памяти ЭВМ.

Осмотр носителей машинной информации производится с целью установления содержания самой компьютерной информации и обнаружения внешних следов, в том числе пальцев рук.

Последние могут быть выявлены на упаковках и местах хранения машинной информации. Осмотру подлежат: жесткие магнитные диски (винчестеры), оптические диски, дискеты, магнитные ленты, оперативные запоминающие устройства (ОЗУ), постоянно запоминающие устройства (ПЗУ), виртуальные диски, бумажные носители информации (листинги, журналы и иные документы, составляемые с помощью ЭВМ).

В протоколе осмотра указываются:

- место обнаружения каждого носителя информации (стол, шкаф, сейф), температура воздуха, при которой он хранился;

- характер его упаковки (конверты, специальный футляр-бокс для хранения дискет, коробка, фольга и пр.), надписи на упаковке, наклейки на носителях информации с соответствующими пометками, цвет материала упаковки и наклейки, наличие штрихового кода и прочие особенности;

- тип и размер носителя (в дюймах); изготовитель, плотность записи и номер (если они обозначены на дискете), состояние средств записи от стирания (открытые или отломанные шторки на дискетах и кассетах);

- характерные признаки на машинных носителях (царапины, иные повреждения, гравировки и пр.);

- тип компьютера, для которого предназначен обнаруженный носитель (его марка, фирма-изготовитель).

Обращаться с магнитными носителями информации следует осторожно: не подвергать электромагнитному воздействию, не сгибать диски, не хранить их без специальной упаковки, не допускать резких перепадов температуры при хранении и транспортировке.

Осмотр письменных документов касается журналов учета работы на компьютере (если они ведутся), листингов, технической, технологической, кредитно-финансовой, бухгалтерской и прочей документации.

Особое внимание нужно обратить на подчистки, исправления; дополнительные записи; отсутствие нумерации страниц; дополнительно вклеенные страницы; листки, бланки; письменные распоряжения на исполнение определенных работ по изменению программ для ЭВМ, вводу дополнительной информации, не предусмотренной технологическим процессом; соответствие ведущихся в системе форм регистрации информации правилам, установленным технической и технологической документацией.

Вопрос об изъятии документов надлежит согласовать со специалистом, а в протоколе указать наименование, количество экземпляров, число страниц, место обнаружения.

В случае изъятия отдельных устройств вычислительной техники и машинных носителей информации, обнаруженных в процессе осмотра места происшествия или обыска, они упаковываются в специальную тару, в которой данную технику поставляет предприятие-изготовитель (если она сохранилась).

Сменные носители компьютерной информации (дискеты, лазерные диски, магнитные ленты стримеров и др.) должны быть упакованы каждый в свой конверт (бумажный, пластмассовый или полиэтиленовый), при их отсутствии можно просто завернуть в плотную бумагу, а для ослабления электромагнитного воздействия целесообразно магнитный носитель информации поверх конвертов обернуть в бытовую алюминиевую фольгу.

Технические устройства при отсутствии заводской тары упаковываются в деревянные ящики, используя для внутренних перегородок прокладки из упругого материала (гофрированного картона, пенопласта, толстого слоя бумаги).

Коробки, ящики, контейнеры, футляры опечатываются, причем, если на дискете уже имеется этикетка с какой-либо надписью, проставляется только порядковый номер. Пояснительные надписи под этим номером делаются на отдельном листе, который вкладывается в коробку*(3).

<< | >>
Источник: М.И. Еникеев, В.А. Образцов, В.Е. Эминов

. Следственные действия: психология, тактика, технология.

Еще по теме Осмотр средств вычислительной техники:

  1. О.А. Акулов Н.В. Медведев. Информатика и вычислительная техника, 2005
  2. 3.1. Понятие, система, задачи, правовые основы применения средств криминалистической техники
  3. 3.2. Научно-технические средства и методы криминалистической техники, используемые для обнаружения, фиксации и изъятия доказательств
  4. Статья 410. Похищение, присвоение, вымогательство военнослужащим оружия, боевых припасов, взрывчатых или иных боевых веществ, средств передвижения, военной и специальной техники или иного военного имущества, а также завладение ими путем мошенничества или злоупотребления служебным положением
  5. Степанов А. Н.. Архитектура вычислительных систем и компьютерных сетей, 2007
  6. А.П. Пятибратов, Л.П. Гудыно, А.А. Кириченко. Вычислительные машины, сети и телекоммуникационные системы, 2009
  7. Психология осмотра.
  8. Статья 306. Использование средств, полученных от незаконного оборота наркотических средств, психотропных веществ, их аналогов или прекурсоров
  9. Особенности осмотра помещения
  10. Глава 2. Следственный осмотр