'Чаще всего [Del]) для выявления технических характеристик,
356 Глава 14. Криминалистическое исследование документов
§ 5. Криминалистическое исследование компьютерной информации 357
установленных в BIOS (базовая система ввода-вывода). Просмотр установок системного блока с помощью программы SETUP Вьь являет установку главных позиций, параметров устройств ца материнской плате, детектирование, наличие парольной защиты и др. В SETUP следует установить порядок загрузки операционной системы (ОС) с дисковода «А:». Загрузку ОС обычно производят со специально подготовленной загрузочной дискеты эксперта.
Далее могут быть использованы следующие программные средства диагностики и анализа компьютерной информации: System Information (Norton Utilites, Symantec) и версии Norton Commander. System Information представляет подробную информацию о компьютере, a Norton Commander позволяет просмотреть содержание винчестера и по найденным системным файлам определить установленную операционную систему. Эти программы должны также использоваться только с дискет эксперта и исключать любую возможность модификации данных на жестком диске исследуемого компьютера.
Затем работа с исследуемым винчестером строится в зависимости от задач, стоящих перед экспертом, с помощью программных средств, предварительно инсталлированных на стендовом компьютере.
Для просмотра содержимого дисков в операционных системах Windows 95, 98, 2000 широко используется стандартная оболочка для работы с файлами — Explorer (Проводник). Более широкий спектр возможностей, в том числе дешифровку ряда шифровальных алгоритмов данных и мониторинг дискового пространства, обеспечивают программы PowerDesk Utilities 98 и Turbo Browser. Программы, существенно мощнее Проводника Windows, поддерживают работу с архивами, обеспечивают встроенный просмотр файлов различных форматов.
При решении задачи получения первоначального доступа к информации на исследуемом винчестере, широко используется Norton Commander. С помощью этого программного продукта (функциональная клавиша [F3]) может быть просмотрено большинство форматов данных. Достаточно часто используются соответствующие версии программ KeyView Pro и Quick View Plus. обеспечивающие тесную интеграцию с Windows, поддержи большого числа форматов, возможность распаковки файлов-В большинстве случаев одним из неотъемлемых условий доступа к информации, созданной на персональных ЭВМ, является ис пользование программного пакета Microsoft Office. При исслеД0
-авии баз данных, кроме перечисленных выше средств, могут быть использованы специализированные профессиональные программы по анализу широкого набора типов баз данных: IRC, pata Mining, 2y_index, i2.
Для получения доступа к графическим файлам и их последующ61,0 анализа в экспертных исследованиях нашли широкое применение такие средства, как Adobe Photoshop, CorelDraw, a также такие программы, как Quick Time (for Win), ACDSee32 Viewer и др.
При решении вопроса б нахождении на жестком диске файлов или фрагментов файлов, содержание которых необходимо сравнить с представленной на экспертизу информацией, используются утилиты DiskEditor из пакета Norton Utilites. С помощью DiskEditor можно просматривать файлы и данные на уровне секторов. При этом может быть реализован поиск объекта в текстовом или НЕХ-виде.
Для восстановления удаленных файлов или их фрагментов широкое применение находит утилита Unerase из пакета Norton Utilites. Программа UnErase Wisard реализует все этапы процедуры удаленных файлов. Если файл пригоден, для восстановления, но автоматически его восстановить не удается, программа поможет сделать это вручную. Данную работу рекомендуется проводить в режиме MS-DOS. В ручном режиме можно указать и выбрать фрагменты диска (кластеры) с целью попытки собрать рассеянный файл или восстановить его часть. С помощью утилиты Unerase можно также осуществлять поиск файла по имени или по содержащемуся в нем тексту. Эта функция особенно полезна в тех случаях, когда перед экспертом стоит задача поиска данных с за-(анным содержанием. Любое восстановление исследуемых данных эксперт осуществляет только на стендовом винчестере.
Рассмотренные выше рекомендации характеризуют лишь об-Цее направление реализации основных методов экспертного исследования компьютерной информации на примере типовой ситуации. Даже в случае исследования других видов персональных компьютеров (например, несовместимых с IBM PC) эксперт-Вое исследование будет иметь существенные отличия. Описанные методы оказываются во многом не применимы, когда *следуются компьютеры, построенные на платформе, отличной п архитектуры х86, накопители данных под управлением SCSI Контролера, сетевые серверы и др.
I Осложняет исследование и то, что для доступа к информации Компьютерной системе зачастую требуется преодоление систем
358 Глава 14. Криминалистическое исследование документов
§ 5. Криминалистическое исследование компьютерной информации 359
защиты, которые могут препятствовать ее получению как д» разных стадиях загрузки компьютера, так и на стадиях достуца к винчестеру и отдельным файлам.
Оценка результатов компьютерно-технической экспертизы наряду с соблюдением общих требований, которые в уголовном процессе и криминалистике предъявляют к оценке экспертного заключения как доказательства, имеет свои особенности. Они обусловлены как спецификой объектов исследования, так и своеобразием методов и средств, применяемых при экспертном исследовании. Данные особенности могут быть рассмотрены применительно к основным направлениям, выделяемым при оценке заключения эксперта: 1) анализу соблюдения процессуального порядка подготовки, назначения и проведения экспертизы (и последствий его нарушения, если они допущены);
2) анализу соответствия заключения эксперта заданию, поставленному перед экспертом лицом, назначившим экспертизу;
3) анализу полноты заключения; 4) оценке научной обоснованности заключения; 5) оценке содержащихся в заключении эксперта фактических данных с точки зрения их относимости к делу и места в системе доказательств.
В первом случае особое внимание необходимо обращать на полноту представленных объектов на экспертизу. В случае если на экспертизу были представлены не все изъятые объекты, то это может повлиять на результаты проведенного исследования. Аналогично следует поступать в отношении дополнительной информации и вспомогательных объектов, предоставляемых эксперту.
Необходимо обратить внимание на соблюдение режима хранения компьютерной информации и компьютерной техники экспертом, учитывая повышенную степень уязвимости данных объектов от посторонних факторов. В частности, если эксперт не смог ответить на вопросы в связи с утратой содержания информации или носителей информации, то надо принимать во внимание причины изменения состояния компьютерной информации — произошло ли это в результате воздействия заинтересованных лиц, или не-правильных действий при их обнаружении и изъятии, или является последствием ненадлежащего хранения.
Точное установление одной из указанных причин мозке помочь при оценке вывода эксперта, его значения в системе Д° казательств. В зависимости от установленной причины на эк пертизу могут быть вынесены дополнительные вопросы, напр3 ленные на установление механизма утраты информации.
В процессе анализа соответствия заключения эксперта поставленному перед ним заданию надо установить, соответствует ли задание и заключение компетенции эксперта. Изменения «компьютерной информации могут быть вызваны использова-нием как программных, так и технических средств, соответственно их исследование может входить в компетенцию разных специалистов либо специалист должен обладать подготовкой в нескольких областях знаний. Представляется, в последнем случае это должно быть отражено в экспертном заключении. Особенно важно обращать на это внимание при производстве экспертиз вне системы экспертных учреждений правоохранительных органов.
Оценивая полноту заключения эксперта, необходимо проверить, насколько полно использовались предоставленные эксперту материалы, в частности надо учитывать, что направляемая на экспертизу машинная информация, а также материалы с дополнительной информацией часто содержат очень большой объем сведений, не имеющих отношения к вопросам, поставленным перед экспертом. Например, следователя может интересовать поиск и восстановление определенных файлов, содержащих информацию о конкретных лицах. Эти файлы могут находиться среди другой информации на нескольких носителях компьютерной информации. На каких точно, следователь может и не знать. Эксперт, имея данные о типе файлов, их названии, не должен будет исследовать всю информацию на всех представленных носителях, а, обнаружив по указанным признакам искомые файлы, будет изучать только их. В этом случае эксперт должен указать, почему он ограничился изучением только определенных объектов из всех представленных ему.
Анализируя полноту описания в экспертном заключении проделанной экспертом работы, в частности описание примененных им средств и методов, надо понимать, что нельзя требовать
г эксперта подробного их описания. Это невыполнимо в силу огромного объема такого описания. Но эксперт должен обязательно в заключении показать последовательность своей работы, №гь характеристики использованных им программных, аппаратных и технических средств (название, тип, назначение, фир-
У производителя). В тех случаях, когда эксперт использует
в°и оригинальные разработки (например, специально изменение стандартные программы), он должен указать, для ответа на
*Кие вопросы применялись данные разработки и почему нельзя 5Ь1ло использовать стандартные средства.
360 Глава 14. Криминалистическое исследование документов
§ 5. Криминалистическое исследование компьютерной информации 361
При оценке научной обоснованности заключения эксперт» необходимо учитывать, что эксперт не всегда может применить самые современные программные и аппаратные средства, что связано с достаточно большой стоимостью программного продук. та и технических средств. Однако это не означает, что результаты экспертизы не будут достоверны и научно обоснованны. Многие модификации программных средств отличаются друг от друга лишь тем набором удобств, которые они предоставляют пользователю. Задачи же, которые они решают, совпадают. Следовательно, достоверность выводов эксперта не пострадает. Снизить остроту проблемы может официальная сертификация методик проведения экспертных исследований.
Оценивая заключение эксперта с точки зрения задач расследования, следователь должен учитывать, что только в очень редких случаях эксперт может точно установить лицо, которое произвело те или иные действия с компьютерной информацией. В частности, такое возможно, если указанные действия были произведены с помощью уникальных программ (например, вирусов), которые были обнаружены у лица, и в этих программах удалось установить признаки, характеризующие этого человека. Как правило же, эксперт может провести идентификационные или классификационные исследования средств, с помощью которых были проведены действия с определенными объектами, либо указать, что с помощью представленных на экспертизу средств такие действия могли быть произведены.
Нельзя недооценивать значение таких исследований для установления конкретного лица, совершившего преступление. Но для того, чтобы их результаты действительно приобрели доказательственное значение, надо провести большую следственную работу по установлению действий подозреваемого, в том числе получить полную информацию об используемом им оборудовании, установить, что у посторонних лиц в момент совершения преступления не было доступа к техническим средствам, которые использовал подозреваемый.
Следственная и экспертная практика указывает на ряд типовых ошибок, которые наиболее часто допускаются при назначении и производстве компьютерной экспертизы:
1) при назначении компьютерных экспертиз перед экспертом довольно часто ставятся вопросы, связанные с исследованием содержательной стороны компьютерной информации. Например: находятся ли на представленном магнитном носителе файлы, совпадающие с содержанием (аутентичные по содержанию)
доставленного на бумажном носителе договора №... от...? Находятся ли на представленном магнитном носителе файлы, содержащие экономические (бухгалтерские) сведения?
Оценка содержания компьютерной информации не входит в специальные знания, которыми должен обладать эксперт в этой области. Ответ на первый вопрос целиком входит в компетенцию следователя. Эксперт может осуществить только поиск нужной информации по параметрам, указанным следователем (дата, но-мер, ключевые слова и т.п.). Решение второго вопроса входит в компетенцию соответствующего специалиста-предметника (экономиста, бухгалтера). Участие «эксперта-компьютерщика» возможно для выполнения операций по поиску информации, обеспечения доступа к ней (снятие паролей, восстановление уничтоженной информации и т.д.);
2) на экспертизу ставятся вопросы, в которых от эксперта требуют дать правовую оценку обнаруженным им фактам, в час-ности, является ли представленное на экспертизу программное обеспечение контрафактным (имеет ли признаки контрафактно-сти); являются ли представленные на экспертизу программы вредоносными; какие имеются возможности по идентификации компьютера, с которого произведен незаконный доступ к информации, с учетом электронных следов совершенного преступления, которые могли в нем остаться.
В случае если эксперт сформулирует выводы в точном соответствии с предлагаемой формулировкой вопроса, то он выйдет за пределы своей компетенции, а экспертное заключение лишится статуса доказательства.
В некоторых случаях при постановке задачи по идентификации информации происходит смешение понятий идентифицируемого и идентифицирующего объекта.
Например, задача сопоставления информации в электромагнитной форме с информацией на бумажном носителе. В связи с решением этой задачи перед экспертом ставятся следующие вопросы: «Аутентичны ли данные, содержащиеся на носителях информации, представленным документам? Тождественна ли выявленная компьютерная информация на носителе данным с представленных на экспертизу документов?».
Информация, находящаяся на электромагнитном поле, и информация на бумажном носителе — это разные и не тождественные объекты. В рассматриваемом случае возможно проведение либо классификационных, либо диагностических исследований й Целью установления признаков присущих двум разным объек-
362 Глава 14. Криминалистическое исследование документов
§ 5. Криминалистическое исследование компьютерной информации 363
там — информации, находящейся в форме электромагнитного поля и информации на бумажном носителе.
Не является задачей данной экспертизы сличение заводских номеров, описаний в паспортной документации, гарантийном договоре и т.п. с представленным техническим устройством.
Идентификация лица в ходе выполнения компьютерных экспертиз весьма затруднена в связи с отражением его свойств в знаковой форме.
В качестве реквизитов, обозначающих лицо, от которого исходит компьютерная информация, используются: фамилия или иные сведения о лице, псевдонимы, коды, в том числе электронно-цифровая подпись (ЭЦП).
Иногда встречается утверждение, что возможна идентификация лица по таким данным. В одной из экспертиз был сделан следующий вывод об авторах программы: «Авторами вредоносной программы и инструкции по ее установке являются лица, имеющие «хакерские клички»... Оба они входят в хакерскую организацию...». Основанием для данного вывода явилось присутствие в одном из файлов исследуемой вредоносной программы псевдонимов — хакерских кличек.
Установление только указанного признака вряд ли позволяет сделать данный вывод. Лицо может поместить в программу или другой вид компьютерной информации любое имя (в целях маскировки, плагиата и т.п.).
Главной причиной обусловливающей невозможность криминалистической идентификации человека как личности по кодовым средствам, в том числе и по ЭЦП, является отсутствие непосредственной связи между кодовыми средствами и личностью человека. Связь между кодом и человеком устанавливается в результате взаимодействия организационных, технических, социальных факторов. Теория идентификации не располагает инструментарием для установления данных факторов.
В настоящее время комплексные экспертные исследования в указанной области в основном проводятся для установления содержания компьютерной информации. Поскольку компьютерная информация применяется в самых разнообразных сферах человеческой деятельности, то комплексные компьютерные и иные «предметные» экспертизы будут самые разнообразные-Наиболее распространенной является комплексная компьютерно-техническая и судебно-бухгалтерская экспертиза.
Объектом данной комплексной экспертизы являются сведе' ния о хозяйственных операциях, находящиеся в компьютера*
их сетях, зафиксированные на носителях информации и обдающие свойствами, изучение и оценка которых требует оивлечения интегрированных знаний специалистов в области компьютерной техники и информации и в области судебной бухгалтерии. В качестве таких объектов могут выступать: авторские и модифицированные типовые программы, обрабатывающие информацию о хозяйственных операциях, правила работы воТорых специалист-бухгалтер не может понять без помощи лрограммистов; зашифрованная бухгалтерская информация, процедуры расшифровки которой имеют значение не только для установления ее функционального значения, но и для оценки ее содержания; отдельные фрагменты данных, установить относи-мость которых к бухгалтерской информации возможно только совместными усилиями экспертов двух специальностей.
При анализе данных объектов «эксперт-компьютерщик» не только участвует в их исследовании, но и принимает участие в формировании конечных выводов экспертизы, оценивает итоговые результаты данной экспертизы, подписывает экспертное заключение совместно с экспертом — судебным бухгалтером.
§ 1. Научные основы идентификации человека по признакам внешности 365
Глава 15. КРИМИНАЛИСТИЧЕСКАЯ ИДЕНТИФИКАЦИЯ ЧЕЛОВЕКА ПО ПРИЗНАКАМ ВНЕШНОСТИ
