Техническая экспертиза по делам о преступлениях, сопряженных с компьютерной техникой

<Объекты экспертизы:
• Компьютеры и их отдельные части,
• Магнитные носители соответствующей информации,
• Компьютерные программы,
• Схемы создания информационных массивов,
• Документы, отражающие работу автоматизированных информационных систем, в том числе первичные (ввода в ЭВМ) и выходные,
• Следственные документы:
­ Протокол осмотра места происшествия,
­ Показания свидетелей,
­ Материалы ведомственного расследования,
­ и т.д.
- Представленный перечень вопросов является не полным. Аппаратные средства и программное обеспечение меняются очень быстро, и предусмотреть все возникающие вопросы невозможно. Для правильного формулирования вопросов и использования специальных терминов необходимо обязательно консультироваться с экспертом перед назначением экспертизы.

Примерные вопросы, решаемые данной экспертизой:
Программно-техническая экспертиза

- Какую информацию содержат предъявленные на экспертизу системные блоки и дискеты- Какая информация имеется на системных блоках и на магнитных носителях, ее назначение и возможность использования-
- Какие программы содержатся на предъявленных системных блоках и магнитных носителях- Каково их назначение и возможность использования-
- Содержатся ли на предъявленных системных блоках и магнитных носителях текстовые файлы- Если да, то, каково их содержание и возможность использования-
- Имеется ли уничтоженная информация на представленных магнитных носителях- Возможно ли ее восстановление- Если да, то, каково ее содержание, возможности использования-
- Какие программные продукты содержатся на предъявленных магнитных носителях- Каково их содержание, назначение, возможность использования-
- Имеются ли на представленных магнитных носителях специализированные программы, используемые для подбора паролей, либо иного незаконного проникновения в компьютерные сети- Если да, то каковы их названия, особенности работы, возможности использования для проникновения в конкретную компьютерную сеть- Имеются ли признаки, свидетельствующие о применении конкретной программы для незаконного проникновения в вышеуказанную сеть, и если да, то какие-
- Какова хронологическая последовательность необходимых действий для запуска конкретной программы, либо совершения определенной операции-
- Возможно ли, работая в данной компьютерной сети, произвести в среде программных продуктов какие–либо изменения программных файлов, и если возможно, то какие, каким образом и с какого компьютера могут быть произведены подобные изменения-
- Возможно ли получить доступ к финансовой и иной конфиденциальной информации, имеющейся в указанной сети- Каким образом осуществляется такой доступ-
- Каким образом осуществлено незаконное проникновение в указанную локальную компьютерную сеть- Каковы признаки, свидетельствующие о таком проникновении-
- Если незаконное проникновение произведено извне, то какие имеются возможности по идентификации компьютера, с которого произошло проникновение-
- Если отсутствуют признаки вхождения в сеть стороннего пользователя, указать, с каких компьютеров можно произвести подобные операции-

Техническая экспертиза компьютеров и их комплектующих
- Компьютер какой модели представлен на исследование- Каковы технические характеристики его системного блока и периферийных устройств- Каковы технические характеристики данной вычислительной сети-
- Где и когда изготовлен и собран данный компьютер и его комплектующие- Осуществлялась ли сборка компьютера в заводских условиях или кустарно-
- Соответствует ли внутреннее устройство компьютера и периферийных устройств прилагаемой технической документации- Не внесены ли в конструкцию компьютера изменения (например, не установлены ли дополнительные встроенные устройства: жесткие диски, устройства для расширения оперативной памяти, считывания оптических дисков и пр., иные изменения конфигурации)-
- Исправен ли компьютер и его комплектующие- Каков их износ- Каковы причины неисправности компьютера и периферийных устройств- Не содержат ли физических дефектов магнитные носители информации-
- Не производилась ли адаптация компьютера для работы с ним специфических пользователей (левша, слабовидящий и др.)-
- Каковы технические характеристики иных электронных средств приема, накопления и выдачи информации (пейджер, электронная записная книжка, телефонный сервер)- Исправны ли эти средства- Каковы причины неисправности-

Диагностические вопросы, разрешаемые экспертизой данных и программного обеспечения
- Какая операционная система использована в компьютере-
- Каково содержание информации, хранящейся на внутренних и внешних магнитных носителях, в том числе какие программные продукты там находятся- Каково назначение программных продуктов- Каков алгоритм их функционирования, способа ввода и вывода информации- Какое время проходит с момента введения данных до вывода результатов при работе данной компьютерной программы, базы данных-
- Являются ли данные программные продукты лицензионными (или несанкционированными), копиями стандартных систем или оригинальными разработками-
- Не вносились ли в программы данного системного продукта какие–либо коррективы (и если да, то какие) изменяющих выполнение некоторых операций (и если да, то каких)-
- Соответствует ли данный оригинальный ТЗ- Обеспечивается ли при его работе выполнение всех предусмотренных функций-
- Использовались ли для ограничения доступа к информации пароли, скрытые файлы, программы защиты и др.- Каково содержание скрытой информации- Не предпринимались ли попытки подбора паролей, взлома защитных средств и иные попытки несанкционированного доступа-
- Возможно ли восстановление стертых файлов- Возможно ли восстановление дефектных магнитных носителей информации- Каково содержание восстановленных файлов-
- Каков механизм утечки информации из локальных компьютерных сетей, распределенных сетей, глобальной сети Интернет-
- Имеются ли сбои в функционировании компьютера, работе отдельных программ- Каковы причины этих сбоев- Не вызваны ли сбои в работе компьютера влиянием вируса (какого)- Распространяется ли негативное влияние вируса на большинство программ или он действует только на определенные программы- Возможно ли восстановить в полном объеме функционирование данной программы (текстового файла), поврежденного вирусом-
- Каково содержание информации хранящейся: на пейджере, в электронной записной книжке и пр.- Имеется ли в книжке скрытая информация и каково ее содержание-
- Когда производилась последняя корректировка данного файла или инсталляция данного программного продукта-
- Каков уровень профессиональной подготовки в области программирования и работы с компьютерной техникой лица, произведшего данные действия с компьютером и программным обеспечением-

Идентификационные вопросы, разрешаемые компьютерно – технической экспертизой
- Имеют ли комплектующие компьютера (печатные платы, магнитные носители, дисководы и пр.) единый источник происхождения-
- Не написана ли данная компьютерная программа определенным лицом-
Решается комплексно при производстве компьютерно – технической и автороведческой экспертиз.

Примерный перечень вопросов, разрешаемых при исследовании носителей машинной информации
- Каков тип носителя, его технические характеристики (на каких типах ЭВМ может быть использован, максимально-допустимая емкость записи)-
- Имеет ли носитель механические повреждения-
- Как размечен носитель, в каком формате информация записана на него-
- Какая информация записана на данный носитель-
- Как информация фактически размещена на носителе (для лент последовательности записи, для дисков сектора, дорожки, цилиндры и пр.)-
- Какая информация размещена логически на носителе (файлы, каталоги, логические диски)-
- Имеют ли повреждения информации (плохие сектора, потерянные блоки и пр.)-
- Возможна ли коррекция информации на носителе-
- Имеется ли на носителе компьютерный вирус, если да, то какой, какие изменения вносит и возможна ли его нейтрализация без ущерба для информации-
- Являются ли изменения на носителе результатом действия вируса-
- Возможно ли копирование информации с данного носителя и возможно ли физическое копирование носителя в целом-
- При повреждении носителя, возможно ли восстановление информации-
- Какая информация ранее была записана на данный носитель (отмечена как стертые файлы) и возможно ли ее восстановление-
- Какой объем занимает вся информация на носителе, ее отдельные части и сколько имеется свободного места-
- Какое время занимает копирование данной информации с учетом типа ЭВМ-
- Требуются ли для работы с информацией на носителе специальные аппаратные или программные средства дешифровки и перекодировки-
- Нет ли на носителе специальных программ, уничтожающих информацию в случае несанкционированного доступа, отсутствия ключей и паролей или использования на другом компьютере, стоит ли счетчик возможных инсталляций и другие средства защиты, возможен ли обход и каким образом-

Вопросы, разрешаемые при исследовании программного обеспечения
- Каково назначение данного программного обеспечения-
- Могло ли данное программное обеспечение использоваться для совершения данного преступления-
- Достаточно ли данного программного обеспечения для совершения данного преступления, если недостаточно, то какое программное обеспечение необходимо дополнительно-
- Кто разработчик данного обеспечения-
- Каким образом данное программное обеспечение распространяется, кто является владельцем данной копии, имеется ли лицензия или разрешение на использование данного продукта- Каков серийный номер данной копии программного обеспечения-
- С какими входными и выходными данными оно работает, каким образом и в какой форме эти данные вводятся в ЭВМ, создаются ли (а, если создаются, то где) временные файлы и файлы статистики и их содержание, в какой форме выдается, где хранится или куда передается выходная информация-
- Содержат ли файлы, созданные программным обеспечением, информацию о совершенном преступлении, если содержат, то какую-
- Требует ли данная программа при своей работе ввода паролей и наличия ключей- Если требует, то, каким образом они хранятся и кодируются, имеется ли возможность прочитать файл с паролем с помощью простейших редакторов-
- Возможен ли обход паролей при запуске программы через отладчик-
- Имеются ли на машинном носителе исходные коды программ на языке программирования-
- Когда последний раз вносились изменения в программу (например, по дате и времени создания или внесения изменений в файлы)-
- Имеются ли в программе изменения по сравнению с исходной версией, что было изменено, к каким последствиям данные изменения приводят-
- Имеются ли в программе враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети- Каким образом эти функции осуществляются, и к каким последствиям приводят-
- Возможно ли самопроизвольное распространение данной программы, т.е. является ли данная программа вирусом-
- Возможно ли осуществление копирования информации или требуется инсталляция-
- Были ли внесены в программу изменения, направленные на преодоление защиты-
- Каковы количественные (занимаемый объем, требуемое количество дискет, количество файлов и пр.) и качественные (назначение конкретных файлов, требование к оборудованию и пр.) характеристики программы-
- Соответствие алгоритма работы конкретной программы требованиям, указанным в ТЗ или заявленных в инструкции по эксплуатации-
- Имеются ли ошибки при проведении расчетов с помощью данной программы (правильно ли происходит округление чисел, правильный ли алгоритм расчета конкретных данных и пр.)-
- Имеется ли совместимость программного и аппаратного обеспечения на данном компьютере, если ее нет, то каким образом это влияет на нормальную работу программы-
- Прошу определить тип ЭВМ, системы ЭВМ совместимый с программным аппаратным обеспечением данного компьютера.
- Имеется ли полная совместимость конкретного программного обеспечения с другими программами, выполняемыми на данном компьютере, если нет, то каким образом это влияет на нормальное функционирование системы-

Примерный перечень вопросов при исследовании баз данных
- Каким образом организована база данных-
- В каком формате записана информация, и какие СУБД могут ее обрабатывать-
- Какая информация записана в данной базе-
- Информация в базе записана обычным образом или закодирована-
- Когда в последний раз обновлялась информация-
- Имеются ли в данной базе скрытые (помеченные для удаления) поля и их содержание-
- Имеются ли повреждения или изменения в записях базы по сравнению с эталоном или резервной копией, если да, то какие-
- Сколько записей в базе данных-
- Имеется ли в данной базе запись конкретного содержания-
- Возможно ли внести изменения в данную базу с помощью простейших программных средств (например, текстовых редакторов и пр.)-

Примерный перечень вопросов при исследовании аппаратного обеспечения ЭВМ
- Каков тип устройства и его технические характеристики-
- Исправно ли данное устройство или нет, тип неисправности (отказ или сбой), как она влияет на работу системы в целом-
- Полностью ли совместимы между собой компоненты данного устройства, если нет, то как это сказывается на его работе-
- Полностью ли совместимо данное устройство с каким – либо конкретным устройством, если нет, то как это сказывается на их работе-
- Имеются ли следы ремонта, повреждений, демонтажа микросхем, замены блоков-
- Соответствует ли комплектация устройства технической документации, если нет, то какие компоненты были изменены, демонтированы-
- Нет ли в данном устройстве дополнительных блоков (жучков) с враждебными функциями, если есть, то их предназначение-
- Возможно ли на данном оборудовании решать какие – либо конкретные задачи-
- Какой уровень излучений у данного устройства, возможен ли его прием специальными техническими средствами для последующей расшифровки- Если возможен, то на каком расстоянии-
- Возможно ли отключение аппаратных средств защиты и как это влияет на работы системы-
- Соблюдались ли правила эксплуатации-
- Могла ли данная проблема возникнуть в результате несоблюдения правил технической эксплуатации