Судебные компьютерно-технические экспертизы (СКТЭ)
Опубликовано:
Обновлено:
Сергей Роньжин
Компьютерно-техническая экспертиза — одна из разновидностей судебных экспертиз, объектом которой является компьютерная техника и/или компьютерные носители информации, а целью — поиск и закрепление доказательств.
Википедия
Рассмотрим основные понятия СКТЭ (судебной компьютерно-технической экспертизы) — самого молодого вида из класса инженерно-технических экспертиз.
Наиболее типичными задачами данного вида экспертизы являются:
- определение статуса объекта как компьютерного средства;
- идентификация и изучение возможности его использования в расследуемом преступлении;
- получение доступа к компьютерной информации и её всестороннее исследование.
Объекты компьютерно-технических экспертиз
- Аппаратные объекты (hard, железо, оборудование):
- персональные компьютеры (настольные, переносные);
- периферийные устройства (принтеры, модемы и др.);
- сетевое оборудование (сервера, рабочие станции, активное оборудование, сетевые кабели и др.);
- интегрированные системы (органайзеры, пейджеры, мобильные телефоны и др.);
- встраиваемые системы на базе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.);
- любые аксессуары всех указанных компонент (аппаратные блоки, платы расширения, микросхемы памяти, магнитные и лазерные диски, магнитные ленты).
- Программное обеспечение (ПО, soft)
- системное ПО;
- прикладное ПО.
- Информационные объекты (data, данные)
- документация, выполненная с применением компьютерных средств;
- сведения о компьютере в мультимедийных форматах;
- компьютерная информация в базах данных и в других приложениях, имеющих прикладной характер и т. д.
- Автоматизированные информационные системы
- корпоративные и региональные компьютерные сети;
- проводные и беспроводные компьютерные сети;
- компоненты сетей, их внутренние структуры, интерфейсы и каналы взаимодействия.
Вопросы СКТЭ
- Вопросы компьютерно-технических экспертиз оборудования:
- Относится ли представленный аппарат к компьютерным средствам?
- Оборудование (компьютер) принадлежит к какому типу (марка, модель)?
- Каковы технические характеристики и параметры компьютера?
- Какова функциональность оборудования?
- Какую роль выполняло оборудование в конкретной компьютерной системе?
- Принадлежит ли оборудование к конкретной компьютерной системе?
- Используется ли оборудование (компьютер) для решения определенной функциональной задачи?
- Каково начальное состояние (конфигурация, характеристики) оборудования?
- Каково фактическое состояние (исправен, неисправен) аппаратного средства (компьютера)?
- Есть ли в компьютере отклонения от стандартных (обычных) параметров, в том числе и физических дефектов?
- В каком режиме эксплуатировалось оборудование?
- Является ли неисправность следствием нарушения тех или иных правил эксплуатации?
- Каковы причины изменения функциональных (потребительских) свойств в начальной конфигурации компьютера (hardware)?
- Является ли компьютер (железо) носителем данных?
- Какой вид (тип, модель или марка) имеет компьютер?
- Работает ли компьютер с носителем информации как с частью своей памяти?
- Каковы параметры (объём, мощность, среднее время доступа к данным, скорость передачи данных и др.) носителя данных?
- В каком виде хранятся данные на жёстком диске?
- Можно ли считать носители данных доступными для чтения?
- Каковы причины отсутствия доступа к носителю данных?
- Вопросы компьютерно-технических экспертиз ПО:
- Каковы общие характеристики программного обеспечения представленного для судебной технической экспертизы, из каких компонент оно (программное обеспечение) состоит?
- Каков класс программного обеспечения (системное или прикладное)?
- Какие программные объекты обладают признаками нелицензионности?
- Каково наименование, тип, версия, состояние (очевидный, скрытый, удаленный) программного обеспечения?
- Каковы реквизиты разработчика и владельца программного обеспечения?
- Какова структура файлов программного обеспечения представленного для компьютерной экспертизы, каковы их параметры (объемы, даты создания, атрибуты)?
- Каковы общие функциональные возможности, программного обеспечения?
- Возможно ли использование программного обеспечения для реализации определенной функциональной задачи?
- Какие требования предъявляются к этому программному обеспечению на аппаратные средства компьютерной системы?
- Какова совместимость конкретного программного обеспечения с ПО и аппаратной частью компьютерной системы?
- Является ли данное программное обеспечение годным для решения определенных функциональных задач?
- Позволяет ли состояние компьютера (программного обеспечения) использовать его по проведению отдельных (конкретных) функций?
- Как организуется ввод и вывод данных в представленном компьютере (программном обеспечении)?
- Имеются ли отклонения программного обеспечения от нормальных параметров (например, инфицированность, недекларированные возможности)?
- Имеет ли программное обеспечение (компьютер) защитные возможности (программные, аппаратно-программные) от несанкционированного доступа и копирования?
- Как защитные возможности программного обеспечения (computer) организованы?
- Каков общий алгоритм представленного программного обеспечения?
- Какие программные средства (языки программирования, компиляторы, стандартные библиотеки) были использованы при разработке представленного ПО (программы для ЭВМ)?
- Имеются ли на носителях информации исходные коды (исходники) программы?
- Является ли алгоритм программного обеспечения модифицированным по сравнению с исходным состоянием?
- Какой вид имело ПО до его последнего изменения?
- Есть ли специфические (нестандартные) приемы алгоритмизации и программирования использованные в алгоритме программы и ее тексте?
- Было ли изменение каких-либо функций ПО (программы для ЭВМ) и какая программа использовалась для этой цели?
- Направлены ли внесенные в программное обеспечение изменения на преодоление его защиты?
- Является ли решение определенных задач, после внесения изменений в программное обеспечение (программы для ЭВМ) достигнутым?
- Каким образом изменения в компьютерной программе были сделаны (умышленно, влияние вредоносных программ, ошибки в программном окружении, аппаратный сбой и т.п.)?
- Какова хронология изменений в ПО?
- Какова хронология использования программного обеспечения с момента его установки?
- Есть ли в компьютере вредоносное ПО, которые влечёт уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной системы?
- Каковы последствия дальнейшей эксплуатации определенного ПО?
- Вопросы компьютерно-технических экспертиз информации ("данные"):
- Как носитель данных был отформатирован и как представленные данные записаны?
- Каковы характеристики физического размещения данных на носителе данных?
- Каковы основные характеристики логического размещения данных на носителе данных?
- Каковы свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и т.п.) данных?
- Каков вид (очевидный, скрытый, удаленный, архив) доступа к информации на носителе?
- Какие данные, выявленные в ходе технической экспертизы относятся к какому типу (текстовые, графические, базы данных, электронные таблицы, мультимедиа, запись пластиковой карты, ROM-данные, и т.д.) и какими программами они обрабатываются?
- Каков доступ (свободный, ограниченный и так далее) к данным на носителе и в чем его специфичность?
- Каковы свойства, характеристики выявленных средств защиты компьютерной информации, и каковы возможные пути их преодоления?
- Каковы признаки преодоления защиты (или попыток несанкционированного доступа) доступны к носителю данных (компьютеру)?
- Каково содержимое защищенных компьютерных данных?
- Фактическое состояние обнаруженных компьютерных данных соответствует стандартному состоянию?
- Какие расхождения в стандартном представление данных (нарушение целостности, несоответствие формата, вредные включения и т. д.) присутствуют в данных?
- Какие данные для решения определенных функциональных (пользовательских) задач доступны на носителе данных (компьютере)?
- Какие данные факты и обстоятельства конкретного бизнеса имеются на носителе данных (компьютере)?
- Какие данные на собственника (пользователя) компьютерной системы (в том числе имена, пароли, права доступа и так далее) доступны на носителях данных (компьютере)?
- Какие данные из документов (образцы) на рассмотрение и в каком виде (полный, фрагментарно) имеются на носитель данных (компьютере)?
- Каково начальное состояние данных на носителе (в каком виде, содержание, характеристики, атрибуты до их удаления или модификации)?
- Каким способом и при каких обстоятельствах происходили действия (операции) (блокирование, модификация, копирование, удаление) с определенными данными на носителе данных (компьютере)?
- Каков механизм (последовательность действий) по решению конкретной задачи, влекущий изменения в определенных данных на носителе данных (компьютере)?
- В какой хронологической последовательности действий (операций) с выявленными данными происходило решение определенной задачи (например, подготовка изображений банкнот, ценных бумаг, оттиски печатей и другие)?
- Имеется ли причинно-следственная связь между действиями (ввод, изменение, удаление и т. д.) с данными и происходящих событий (например, нарушение работы компьютерной системы, включая ошибки в программных и аппаратных средствах?
- В какой степени соответствия (или несоответствия) находятся действия с конкретной информацией и правила пользования определенной компьютерной системой?
- Вопросы компьютерно-технических экспертиз компьютерных систем:
- Является ли представленное оборудование компьютерной системой?
- Является ли представленное оборудование полной компьютерной системой или ее частью?
- Каков тип компьютерной системы (марка, модель)?
- Каковы общие характеристики для компьютерной системы и ее компонентов?
- Каков состав (конфигурация) и технические характеристики компьютерной системы?
- Соответствует ли конфигурация вычислительной системы конкретным целям?
- Каковы функциональные возможности компьютерной системы?
- Являются ли определенные функциональные (пользовательские) задачи решаемыми с помощью представленной компьютерной системы?
- Находится ли компьютерная система в рабочем состоянии?
- Имеет ли компьютерная система какие-либо отклонения параметров от стандарта (нормы), в том числе физические (механические) дефекты?
- Каков перечень пользовательских режимов доступа в компьютерную систему?
- Какие пользовательские режимы созданы в компьютерной системе?
- Какие носители данных доступны в представленной компьютерной системе?
- Имеется ли какая-нибудь система информационной безопасности в представленной компьютерной системе?
- Система информационной безопасности, обнаруживается из представленной компьютерной системы?
- Каковы вид и характеристики этой системы защиты? Каковы возможности для её преодоления?
- Является ли объект принадлежащим к компьютерной системе?
- Является ли объект компьютерной системой или каким-нибудь ее компонентом (аппаратным, программным, информационным)?
- Какой тип (марка, модель), конфигурация и основные технические характеристики компьютерной системы (или его части)?
- Относятся ли конкретные функциональные (пользовательские) задачи к решаемым с помощью представленной компьютерной системы?
- Есть ли в компьютерной системе какие-то неполадки в её работе?
- Есть ли признаки (обязательный перечень конкретных признаков указан) нарушения правил эксплуатации компьютерной системы?
- Имеется ли какая-либо система защиты доступа к информации в компьютерной системе? Какие возможности для её преодоления?
- Какие носители информации имеются в представленной компьютерной системе?
- Какой вид (тип, модель, марка), и какие параметры имеет носитель данных?
- Какие технические устройства, предназначенные для работы с носителем данных?
- Существует ли в качестве части представленной компьютерной системы устройство, предназначенное для работы (чтение, запись) с заданным носителем данных?
- Есть ли на носителях данных, ПО для решения конкретных (пользовательских) задач?
- Какие функциональные возможности имеет ПО?
- Имеются ли программы с признаками (обязательный перечень конкретных признаков указан) вредоносности?
- Какие сведения, касающиеся обстоятельств дела (обязательный перечень конкретных данных, или ключевые слова указан), содержится на носителе данных; какие виды ее представления (очевидный, скрытый, удаленный, архивный)?
- Есть ли на носителе данных информация, аутентичная по содержанию к представленым образцам? Какие виды ее представления (очевидный, скрытый, удаленный, архивный)?
- Данные принадлежат к какому формату (текстовые документы, графические файлы, базы данных и др.)? Каким ПО они могут быть обработаны?
- Есть ли в анализируемой компьютерной системе признаки (обязательный перечень конкретных признаков указан) несанкционированного доступа к данным?
- Какие данные на владельца (пользователя) компьютерной системы (в том числе имена, пароли, права доступа и так далее) доступны на носителях данных, представленных для судебной компьютерно-технической экспертизы?
- Имеются ли признаки функционирования компьютерных средств в рамках локальной вычислительной сети, а также для поддержания установленных сетевых компонентов?
- Имеются ли признаки работы компьютерных средств в сети Интернет?
- Каково содержание установок удаленного доступа и протоколов подключений?
Посоветуйте друзьям и знакомым. Спасибо
Ещё по теме:
