Исследование информационных компьютерных средств Эксперты: Матвеев Максим Вадимович Тел: (8422) 69-12-64 Аппаратно-компьютерная экспертиза Задачи исследования: - определение вида (тина, марки), свойств аппаратного средства, а также его технических и функциональных характеристик; - определение фактического состояния и исправности аппаратного средства, наличие физических дефектов; - определение структуры, механизма, обстоятельства события по его результатам за счет использования аппаратных средств; - определение условий применения аппаратных средств; - установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения; - определение условий применения аппаратных средств, восстановление хронологической последовательности их использования, места действия и функционирования. Объекты исследования: - персональные компьютеры (настольные, персональные); периферийные устройства; сетевые аппаратные средства (серверы, рабочие станции, активное оборудование); интегрированные системы; мобильные телефоны; встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры); любые иные комплектующие указанных устройств (аппаратные блоки, платы расширения, микросхемы и др.); - запоминающие устройства и носители данных - микросхемы памяти, магнитные и лазерные диски, флэш-карты и т.д. Программно-компьютерная экспертиза Задачи исследования: - индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы; установление признаков авторства программного обеспечения (программы); - установление признаков преодоления защиты представленных на экспертизу информационно-программных продуктов; - выявление и исследование функциональных свойств, а также настроек программного обеспечения, времени его инсталляции (установки на машинный носитель); - определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров (объем, дата создания, атрибуты), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций); - установление способа осуществления изменений в программе (например, воздействие вредоносной программы, ошибки программной среды, несанкционированный доступ); - установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями. Объекты исследования: - системное программное обеспечение (операционные системы); - вспомогательные программы - утилиты; - средства разработки и отладки программ; - служебная системная информация; - прикладное программное обеспечение (приложения общего назначения - текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.); - приложения специального назначения для решения задач в определенной области науки, техники, экономики и т.д.; - исходные тексты программ. Информационно-компьютерная экспертиза Задачи исследования: - установление свойств и вида представленной информации в компьютерной системе при ее непосредственном использовании; - определение фактического состояния информации, выяснение наличия или отсутствия в ней отклонений от типового объекта СКТЭ; - установление первоначального состояния информации на носителе данных; - определение времени, хронологической последовательности воздействия на информацию; - определение условий изменения свойств исследуемой информации. Объекты исследования: - файлы, подготовленные с использованием программных средств - с расширениями текстовых форматов (*. txt, *. doc...), графических форматов (*. bmp, *. jpg, *. tif, *. cdr...), форматов баз данных (*. dbf, *. mdb...), электронных таблиц (*. xls, *. cal...) и др. В связи с тем, что в обращении постоянно появляются все новые и новые аппаратные и программные средства, современный методический и организационный уровень СКТЭ позволяет решать большинство возникающих задач только при разработке специальных экспертных методик для каждого экспертного случая. При этом в каждой конкретной судебно-следственной ситуации рекомендуется предварительно согласовать возможность проведения необходимого исследования, а также круг задач и вопросов, ставящихся на разрешение эксперта. Перечень ориентировочных вопросов: Вопросы по программным продуктам: 1) Какие операционные системы установлены на представленном (системном блоке, жестком диске и т.п.)? При условии наличия операционных систем указать их основные параметры (дату установки, владельца, серийный номер, учетные записи пользователей). 2) Установлен ли на представленном (системном блоке, жестком диске и т.п.) программный продукт (AutoCAD)? Если «да», то указать его основные параметры установки (путь, откуда устанавливался программный продукт; на кого зарегистрирован; дата установки и т.д.). Ответы о параметрах установки зависят от конкретного программного продукта. 3) Работоспособен ли, установленный на представленном (системном блоке, жестком диске и т.п.) программный продукт (AutoCAD)? Ответ о работоспособности зависит от параметров конкретного программного продукта? 4) Кто является правообладателем, установленного на представленном (системном блоке, жестком диске и т.п.) программного продукта (AutoCAD)? Имеет ли установленный на представленном (системном блоке, жестком диске и т.п.) программный продукт (AutoCAD) признаки контрафактности? Если да, то указать, какие это программы и, каковы признаки их отличия от лицензионной продукции? Ответ на данный вопрос требует предоставления эксперту лицензионного программного обеспечения той же версии, что и исследуемого программного обеспечения. Кроме того, отсутствие документов на приобретение программного продукта является признаком его контрафактности. Определение стоимости программного обеспечения не входит в компетенцию эксперта. Вопросы о времени работы пользователя за определенный период и работе в сети Интернет: 1) Имеются ли на представленном (системном блоке, жестком диске и т.п.) сведения о работе пользователя в период времени с … по …? Если «да», то указать какие это сведения? 2) Имеются ли на представленном (системном блоке, жестком диске и т.п.) сведения о выходе пользователя в сеть Интернет в период времени с … по …? Если «да», то указать какие это сведения? 3) Имеются ли на представленном (системном блоке, жестком диске и т.п.) сведения о посещении Интернет сайта (mamba.ru) за период времени с … по …? 4) Какие Интернет ресурсы посещал пользователь представленного (системного блока, жесткого диска и т.п.) за период времени с … по …? 5) Имеется ли на представленном (системном блоке, жестком диске и т.п.) программные продукты, предназначенные для работы в сети Интернет? Если «да», то представить содержимое системных журналов данных программных продуктов на бумажном носителе или на компакт диске. 6) Имеется ли на представленном (системном блоке, жестком диске и т.п.) электронная переписка пользователя данного (системном блоке, жестком диске и т.п.) с другими пользователями сети Интернет (e-mail, ICQ, Skype и иных). Если «да», то представить содержимое данной переписки на бумажном носителе или на компакт диске. 7) Имеются ли на представленном (системном блоке, жестком диске и т.п.) сведения об Интернет-сайтах и адресах электронной почты: «klass.ucoz.ru», «runde7.ru», а также сведения о личных данных (логинах и паролях, ключах, прочих данных) следующих пользователей: «German», «Lobster»? Если «да», то представить данные сведения на бумажном носителе или на компакт диске. Вопросы по поиску информации: 1) Имеется ли на представленном (системном блоке, жестком диске и т.п.) базы данных программного продукта «1С: Предприятие», зарегистрированные на организацию ООО «Универсал»? Если «да», то скопировать данные базы на компакт диск. 2) Имеются ли на представленном (системном блоке, жестком диске и т.п.) файлы текстового или графического форматов, содержащие сведения об организации ООО «Союз»? Если «да», то указать основные свойства данных файлов (дату создания, дату последнего изменения, размер, контрольную сумму, маршрут расположения), а также представить данные файлы на компакт диске. 3) Имеются ли на представленном (системном блоке, жестком диске и т.п.) файлы, схожие по содержанию и расположению (текста, картинки) с содержимым прилагаемого документа? 4) Создавались ли на представленном (системном блоке, жестком диске и т.п.) файлы формата «*.doc, *.rtf, *.xls» 01.01.2011 года? Если «да», то указать основные свойства данных файлов (дату создания, дату последнего изменения, размер, контрольную сумму, маршрут расположения), а также представить данные файлы на компакт диске. Вопросы по файлам видео формата: 1) Каков государственный регистрационный знак автомашины ВАЗ 2101, представленной на компакт диске, в файле видео формата «Заправочная станция.avi»? Сделать выборочную раскадровку данного видео файла в части видимости гос. регистрационного знака с лицевой и тыльной сторон автомашины. Вопросы по снятию и подбору паролей к файлам: 1) Имеется ли на представленном (системном блоке, жестком диске и т.п.) пароль на загрузку операционной системы? Если «да», то прошу подобрать данный пароль, либо внести изменения в части его обнуления. 2) Имеется ли на представленном (системном блоке, жестком диске и т.п.) пароль на открытие файла-архива «Мой друг.rar»? Если «да», то прошу подобрать данный пароль. Вопросы по несанкционированному управлению системой и вредоносному программному обеспечению: 1) Имеются ли на представленном (системном блоке, жестком диске и т.п.) средства удаленного администрирования и управления сторонней операционной системой? 2) Имеются ли на представленном (системном блоке, жестком диске и т.п.) средства удаленного администрирования и управления операционной системой? 3) Имеется ли на представленных объектах для исследования предположительно вредоносное программное обеспечение? Если «да», то указать его свойства, принцип действия, способ проникновения в операционную систему и следы его действий? Если «да», то могло ли данное вредоносное программное обеспечение позволить злоумышленнику получать электронные ключи, либо логин\пароль к системе дистанционного банковского обслуживания сторонних пользователей либо организаций? Если «да», то указать каким образом? Ответ на данный вопрос зависит от давности заражения системы, а также от разновидности вредоносного программного обеспечения. 4) Имеются ли на представленном (системном блоке, жестком диске и т.п.) следы несанкционированного доступа к сторонней системе, имеющей IP-адрес 172.172.172.172? 5) Имеются ли на представленном (системном блоке, жестком диске и т.п.) следы несанкционированного доступа из сторонней системы, имеющей IP-адрес 173.173.173.173? 6) Имеются ли на представленном (системном блоке, жестком диске и т.п.) сведения о личных данных сторонних пользователей, либо организаций (логинах и паролях, ключах, прочих данных)? При постановке вопросов желательно консультироваться с экспертом. |