Разделы:

Компьютерно-техническая экспертиза

Предмет, объекты и задачи экспертизы

Судебная компьютерно-техническая экспертиза (СКТЭ) – самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимый в целях: определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях  с последующим всесторонним ее исследованием.

Родовой предмет – факты (обстоятельства), имеющие значение для уголовного либо гражданского дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств и систем, обеспечивающих реализацию информационных процессов.

Специальные познания СКТЭ составляют следующие научные направления: автоматизация, информационные системы и процессы, электроника, электротехника, радиотехника и связь, вычислительная техника (в том числе программирование) и др.

Видовая классификация организуется на основе обеспечивающих компонент любого компьютерного средства [аппаратного (технического), программного и информационного обеспечения] и используется в виде, соответствующем процессам разработки и эксплуатации компьютерных систем. Поэтому выделяются следующие виды экспертизы: аппаратно-компьютерная; программно-компьютерная; информационно-компьютерная (экспертиза данных). Кроме того, достаточно оправданным представляется выделение еще одного вида – компьютерно-сетевой экспертизы. Такое деление на виды наиболее полно охватывает технологические особенности, эксплуатационные свойства объектов экспертизы, предъявляемых для исследования. Данная классификация позволяет уже на ранних этапах становления экспертизы дифференцированно подойти к разработкам методов и методик экспертного исследования. Кратко рассмотрим каждый из видов.

Сущность аппаратно-компьютерной экспертизы заключается в проведении исследования (в основном, диагностического) технических (аппаратных) средств компьютерной системы. К аппаратным средствам относятся: электрические, электронные и механические схемы, блоки, приборы и устройства, составляющие материальную часть компьютерной системы. Предметом данного вида экспертизы являются факты и обстоятельства, имеющие значение для уголовного либо гражданского дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации аппаратных средств компьютерной системы – материальных носителей информации о факте или событии уголовного либо гражданского дела.

Для проведения экспертного исследования программного обеспечения предназначен такой вид экспертизы как программно-компьютерная. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или гражданскому делу. Задачами экспертизы данного вида является изучение функционального предназначения и характеристик реализуемого  алгоритма, структурных особенностей и текущего состояния системного и прикладного программного обеспечения компьютерной системы.

Информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Задачами этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Компьютерно-сетевая экспертиза в отличие от предыдущих основывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому факты и обстоятельства, связанные с использованием сетевых и телекоммуникационных технологий и устанавливаемые по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу составляют видовой предмет компьютерно-сетевой экспертизы. Она выделена в отдельный вид в связи с тем, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в судебной компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с Интернет-технологиями. Объект применения специальных познаний КТЭ может быть довольно разным – от компьютеров пользователей, подключенных к Интернет, до различных ресурсов поставщика сетевых услуг (провайдера) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, www-сервис и пр.). В связи со стремительным развитием современных телекоммуникаций и связи, обособлением предмета исследований в компьютерно-сетевой экспертизе можно выделить как подвид телематическую экспертизу. Предметом телематической экспертизы являются фактические данные, устанавливаемые на основе применения специальных научных познаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии какого-либо уголовного либо гражданского дела.

Практический опыт показывает, что в настоящее время рассмотренные выше основные виды СКТЭ при производстве большинства экспертных исследований применяются комплексно и, чаще всего, последовательно. Экспертная деятельность зачастую связана с необходимостью исследования целостной компьютерной системы  или ее части – персонального компьютера, электронного органайзера, сотового телефона и т.д. При этом, как правило, изучение начинается с аппаратных средств, далее – программных, и в заключении – работа с данными. Именно информационно-компьютерная экспертиза как вид СКТЭ позволяет в итоге построить целостное представление об исследуемом объекте, имеющее доказательственное значение. В результате проведения такого комплекса исследований, использования всего имеющегося родового экспертного инструментария достигается решение наиболее существенных экспертных задач – поиск, обнаружение, анализ и оценка криминалистически значимой компьютерной информации. Название такого комплексного исследования должно совпадать с родовым названием –  компьютерно-техническая экспертиза. Поэтому, в настоящее время, в постановлении на производство судебной экспертизы целесообразно указывать родовое наименование экспертизы, т.е. «произвести судебную компьютерно-техническую экспертизу».

Кроме того, в ходе таких пограничных исследований иногда возникает потребность привлекать специальные познания и из других смежных научных областей (например, криптографии и защиты информации). В экспертной практике уже намечены реальные перспективы развития комплексных экспертиз с использованием специальных познаний в СКТЭ и в следующих экспертизах: судебно-экономические экспертизы, технико-криминалистическая экспертиза документов, видеофоноскопическая, товароведчекая  и другие экспертизы.

Родовой (видовой) объект – определенная категория предметов, обладающих общими признаками и относящихся к компьютерным средствам. Одной из важных особенностей объекта  СКТЭ является его составной характер. Конкретный объект экспертизы – определенное компьютерное средство, исследуемое в процессе данной экспертизы, обладающее признаками индивидуальности и неповторимости, что и определяет специфику конкретного исследования.

Система объектов СКТЭ по классификационному основанию видового деления выглядит следующим образом:

  • а) класс аппаратные объекты, включающий в себя виды: персональные компьютеры (настольные, портативные), периферийные устройства, сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.), интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.), встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.), любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и т.п.). Указанные виды могут охватывать различные сочетания подвидов.

В криминалистическом аспекте наиболее важен подвид запоминающих устройств и носителей данных – включает все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты, карты и т.п.;

  • б) класс программные объекты, включающий в себя виды: системное программное обеспечение (подвиды: операционная система, вспомогательные программы-утилиты, средства разработки и отладки программ, служебная системная информация); прикладное программное обеспечение [подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.) и подвид приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т.д.)];
  • в) класс информационные объекты (данные), включающий в себя виды: текстовых и графических документов, изготовленных с использованием компьютерных средств; данных в форматах мультимедиа; информации в форматах баз данных и других приложений, имеющей прикладной характер.

Методы экспертизы

 

Современные методы СКТЭ находятся пока в своем становлении. Поэтому на данном этапе развития экспертизы целесообразно рассматривать систему методов по основным классам объектов экспертизы: методы исследования аппаратных средств, методы исследования программных средств и методы исследования информации (данных). Кратко остановимся на их примерном содержании.

В основе функционирования аппаратных средств любой компьютерной системы положен целый ряд комплексов специальных методов такой научной области как радиотехника, а также смежных с ней – аудиовизуальной техники, радиоэлектронной аппаратуры, радиоэлектронных систем и др.  Так, одним из таких комплексов являются методы проектирования и исследования цифровых устройств и микропроцессоров. К ним относятся:

  • методы алгебры логики и методы переключательных функций;
  • методы функционирования асинхронных и синхронных автоматов;
  • методы синтеза цифровых узлов;
  • архитектурные методы микропроцессоров;
  • методы построения БИС и БИС памяти;
  • микропроцессорные методы проектирования и анализа микроконтроллеров и др.

Другие комплексы аппаратных методов, которые могут найти широкое применение при решении диагностических задач СКТЭ, ориентированы на анализ сигналов, их генерирование и формирование, прием и обработку, запись и воспроизведение т.п. Отдельными категориями выделяются следующие методы:

  • схемотехнические методы аналоговых и цифровых электронных устройств;
  • методы сверхвысоких частот;
  • оптические методы;
  • методы обработки аудио- и видеосигналов и другие.

С помощью указанных методов можно эффективно решать задачи по выявлению свойств аппаратных средств, их технических характеристик, установлению соответствия выявленных характеристик типовым, определение фактического состояния и исправности, наличия физических дефектов, установлению фактов несоблюдения эксплуатационных режимов, обстоятельств использования недокументированных сервисных возможностей и т.п. В целом, представляется, что указанные методы являются базовыми (определяющими) специальными методами экспертных исследований аппаратных объектов СКТЭ.

Методы исследования программных средств могут быть классифицированы по виду представления объекта экспертизы:

  • методы исследования исходных текстов;
  • методы изучения алгоритмов программ;
  • методы исследования загрузочных модулей (исполняемых кодов).

В свою очередь, экспертиза загрузочных программных модулей использует в своей практике такие основные методы как дисассемблирование программ, их отладка и мониторинг, при котором отслеживаются все прерывания, вызываемые исследуемой программой. Каждый из названных методов может быть представлен группой методов частно-прикладного характера, свойственных именно типу решаемых экспертных задач. Например, в методах мониторинга, применяемых при решении задач исследования вредоносных программ, различают мониторинг оперативной памяти (проверка контрольных сумм), мониторинг дисковой памяти (анализ файловых сигнатур) и др.

В ходе экспертного исследования криминалистически значимой информации (данных) широко используются методы, реализованные в большинстве стандартных утилит и сервисных программ. По алгоритмам доступа и анализа информации эти методы могут быть классифицированы как:

  • методы поиска и доступа к данным (например, метод контекстного поиска, метод конвертирования данных);
  • методы манипуляции с данными (копирование, перемещение, редактирование);
  • методы восстановления данных (в т.ч. удаленной информации);
  • методы архивации, парольной защиты и пр.

Экспертные исследования фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий, предопределяет развитие специальных методов данного вида СКТЭ. Так, в основе методологии экспертиз сетевых информационных технологий должны быть положены:

  • методы распределенной обработки данных;
  • методы иерархизации протоколов;
  • топологические методы и методы доступа;
  • методы коммутации и маршрутизации и др.

При решении задач СКТЭ, когда объектами исследования являются средства подвижной связи (сотовой связи, транковой связи, персонального радиовызова, мобильной спутниковой связи, беспроводного телефона), основными методами экспертно исследования являются методы телекоммуникационных технологий. К ним сегодня можно отнести следующие:

  • методы протоколирования;
  • методы представления, дискретизации и квантования непрерывных сообщений, сигналов и помех;
  • аналоговые и цифровые методы передачи сообщений, методы объединения, разделения и коммутации каналов (частотные, временные, кодовые);
  • методы модуляции и демодуляции радио- и оптических сигналов;
  • методы кодирования и декодирования сообщений;
  • методы помехоустойчивого кодирования;
  • методы сжатия информации;
  • методы защиты информации в сетях и каналах связи и др.

Возможности экспертизы

 

Современный методический и организационный уровень СКТЭ характеризуется  как этап становления нового рода судебной экспертизы. В связи с этим большинство экспертных задач могут решаться пока при разработке специальных экспертных методик для каждого частного случая. Причем, в каждой конкретной судебно-следственной ситуации рекомендуется предварительно согласовать возможность проведения необходимого исследования, а также круг задач и вопросов, ставящихся на разрешение эксперта.

В уголовном судопроизводстве применительно к типичным объектам рассматриваемого рода экспертизы возможности судебно-экспертного исследования компьютерных средств и систем  отражены в следующем методическом подходе, отражающем сущность современной СКТЭ.

Исследование системного блока персонального компьютера проводится путем:

  • визуального осмотра внутренних аппаратных компонентов системного блока;
  • извлечения из системного блока жесткого диска;
  • подключения к системному блоку монитора, клавиатуры и манипулятора «мышь» и прерывания его загрузки для определения установок программы SETUP BIOS;
  • определения системной даты, времени компьютера, других конфигурационных установок в программе SETUP BIOS;
  • загрузки операционной системы с системной дискеты эксперта и диагностирования соответствующими программными средствами аппаратных компонентов системного блока (все выполняется без жесткого диска).

Исследование  носителей компьютерной информации проводится путем:

  • определения класса носителя (например, для компакт-дисков: CD-ROM, CD-R, CD-RW и др.);
  • определения интерфейса, состояния перемычек и переключателей (для НЖМД);
  • определения назначения носителя;
  • подключения к стендовому компьютеру исследуемого жесткого диска в качестве дополнительного диска;
  • определения основных технических параметров (номеров цилиндров, сторон (головок), секторов, количества секторов, размеров секторов и емкости);
  • выявления таблицы разделов диска с определением их основных характеристик (начало и конец раздела, тип файловой системы, идентификаторы и метки разделов, размер и количество кластеров);
  • определения логической адресации системных областей разделов (загрузочной записи, таблиц FAT и корневого каталога);
  • поиска признаков повреждения целостности структуры данных (несоответствие заявленных параметров раздела фактическим, наличие сбойных, потерянных и др. кластеров, отличия фактического размера файлов от размеров, записанных в каталоге, некорректно сохраненные имена каталогов и файлов и т.п.).

Исследование файлов проводится путем:

  • создания «зеркальной» копии всего содержимого носителя информации на вспомогательном носителе (посекторное копирование с фиксацией технических параметров формата носителя, например, используются программы типа Disk Edit (Symantec Norton Utilities);
  • при невозможности создания вспомогательного носителя, перед подключением исследуемого жесткого диска к стендовому компьютеру, необходимо отключить все резидентные программы, загружаемые в ОС Windows и производящие операции записи на диск. Исследуемый диск должен быть установлен в системе как дополнительный съемный диск. Все файлы с исследуемого диска копируются на диск стендового компьютер. После отключается исследуемый диск, и проводиться исследование скопированных файлов на рабочем жестком диске стендового компьютера;
  • определения основных количественных параметров каталогов и файлов, содержащихся на носителе (с разбиением по логическим дискам);
  • определения основных статистических параметров и временных атрибутов каталогов и файлов;
  • определения соответствия дат создания и редактирования файлов системному времени компьютера и общей ситуации проведения экспертизы;
  • определения перечня программного обеспечения, содержащегося на магнитном носителе (уставленное программное обеспечение и дистрибутивы) с указанием назначения программ, названия программ, типовых расширений файлов, с классификацией по разделам (операционные системы, архиваторы, антивирусы, работа в Интернет, работа с графикой, работа со звуком, языки программирования, работа со сканером и распознавание текста, программы переводчики, игры и т.д.);
  • выделения общедоступных и предположительно подготовленных пользователем файлов данных (с указанием каталогов и программ подготовки файлов);
  • определения общего объема файлов данных;
  • выделения защищенной от несанкционированного доступа информации (зашифрованные диски и файлы, электронные сжатые диски, защищенные паролями архивы и др.);
  • поиска удаленных файлов и остаточной информации (например, с помощью программ Unerase, DiskEdit (Symantec Norton Utilities ) и т.п.);
  • выделения файлов, представляющих интерес для экспертизы;
  • определения содержимого и атрибутов файлов операционной системы, характеризующих работу пользователя в операционной системе, в локальных и глобальных сетях;
  • поиска программ (файлов), содержащих признаки заражения компьютерными вирусами (например, с использованием программ AVP, Dr.Web и пр.).

Поиск признаков выполнения несанкционированных действий или использования специальных программ удаленного администрирования производится путем:

  • поиска программ, предназначенных для подбора паролей, и результатов их работы (файлов результатов и файлов настроек программ);
  • поиска фактов работы с использованием чужих учетных записей или других системных ресурсов;
  • установления содержимого рукописных и печатных материалов, текстовых файлов и файлов электронной почты;
  • поиска программ с деструктивными (вредоносными) функциями и их экспериментального исследования на стендах, моделирующих предполагаемые условия их функционирования;
  • выявления текстовых файлов, содержащих ключевые слова;
  • выявления пользовательских файлов (звуковых, графических, текстовых, исполняемых модулей), имеющих отношение к заданной тематике (обстоятельствам дела);
  • уяснения диагностических параметров настройки программ (регистрационные имя пользователя и название организации в программах подготовки документов Microsoft Office или системах программирования);
  • исследования защищенных паролями файлов;
  • определения особенностей подготовки текстового файла с учетом среды подготовки, регистрационных параметров использовавшегося текстового редактора, времени создания документа, времени редактирования и количества редакций (в режиме автосохранения и по команде пользователя), внесенных изменений, наличия макрокоманд и макровируса в тексте и пр.;
  • выявления и определения назначения программ с минимальным пользовательским интерфейсом и не содержащих пояснительных указаний и комментариев (с установлением относящихся к этим программам файлов данных);
  • сравнительного исследования нескольких версий программ, конфигурационных файлов (настроек) и файлов данных;
  • изучения протоколов работы пользователя (или программ) и интерпретации их действий;
  • определения работоспособности и уточнения фактически выполняемых функций программ с рекламируемыми и заявленными свойствами;
  • выявления и уточнения назначения программ управления другими аппаратными средствами, подключаемыми и используемыми с представленным компьютером;
  • уяснения настройки кодовых таблиц (или переустановки всей операционной системы на стендовом компьютере) для исследования файлов на национальных языках.

Помимо уголовного, непрерывно возрастают потребности в СКТЭ и в других видах судопроизводства. Так, в настоящее время, в связи с глобальной компьютеризацией коммерческой деятельности, возникает большое количество гражданских споров (в т.ч. в арбитражных судах). Кроме того, в  административном порядке защиты потребителей проводятся экспертизы в соответствии с нормами  КоАП  России. К ним относятся экспертизы по фактам нарушения прав потребителей на приобретение компьютеров и компьютерных систем надлежащего качества и безопасности для жизни и здоровья, на получение информации о товарах (компьютерных средствах) и об изготовителях этих средств т.д.

В ходе самозащиты  в досудебном споре  по заявленному требованию потребителя используются следующие формы специальных знаний в области компьютерных технологий: проверка качества компьютеров и компьютерных систем (работ по их обслуживанию, ремонту и пр.); экспертиза качества компьютеров и компьютерных систем (в т.ч. проектных работ по созданию компьютерных систем и пр.).

Основной задачей СКТЭ в указанных делах является диагностика производственных и эксплуатационных дефектов компьютерных средств с целью установления их  стоимости. Решается данная задача с использованием комплексного методического подхода (в т.ч. с использованием товароведческих специальных знаний), посредством которого устанавливаются факты и обстоятельства наличия тех или иных дефектов компьютерных средств (в целом и по комплектующим), изменения их качеств (сущности изменения качества),  наименование и количество компьютерных средств, пригодности для использования по назначению и пр. Полученные результаты экспертизы широко используются для установления истины по делу и  в совокупности с другими выводами, могут способствовать установлению размеров ущерба и пр.

Все права принадлежат РФЦСЭ при Минюсте России.