Запрос информационных писем для суда            Заявка на проведение экспертизы На главнуюКарта сайтаКонтактная информация
Томский экспертно-правовой центр "Регион 70"

АССОЦИАЦИЯ "АКАДЕМИЯ СУДЕБНОЙ ЭКСПЕРТИЗЫ И КРИМИНАЛИСТИКИ"

учредители:
• Томский экспертно-правовой центр "РЕГИОН 70"
• ООО "СУДЕБНАЯ ЭКСПЕРТИЗА"

"Искусство речи на суде",
Пороховщиков П., 1910 г.

Эксперты бывают...
На главную
СУДЕБНАЯ ЭКСПЕРТИЗА
ОЦЕНКА
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ
ДЕЛОПРОИЗВОДСТВОNEW
ПРАВОВАЯ ОСНОВА
ДЕЯТЕЛЬНОСТИ
НАША ПРИБОРНАЯ БАЗА
НАШИ СЕРТИФИКАТЫ
НАС БЛАГОДАРЯТ
ОБУЧЕНИЕ ЭКСПЕРТОВ
ВАКАНСИИ
ТРЁХМЕРНОЕ МОДЕЛИРОВАНИЕ
В СУДЕБНОЙ ЭКСПЕРТИЗЕ
ВОПРОС-ОТВЕТ
ИНТЕРАКТИВНАЯ КАРТА
КОНТАКТНАЯ ИНФОРМАЦИЯ
Заявка на проведение экспертизы

Связаться с судебным экспертом по Skype - онлайн консультации судебного эксперта
Связаться с Ли Виталием Николаевичем по Skype для консультаций по вопросам возможности и условий проведения судебных экспертиз
Консультации судебного эксперта
по Skype >>>



Томск

Каталог Томского интернета
Яндекс.Метрика

Откуда Вы узнали об
Экспертно-правовом центре
"Регион 70"?
В интернете
В других организациях
В Дубль-Гис
В судах
Телефонные справочные
От знакомых
Другие источники

   


Главная  >>>   Судебная экспертиза  >>>  Компьютерно-техническая экспертиза

Компьютерно-техническая экспертиза
Экспертиза информационных компьютерных средств

        Томский экспертно-правовой центр "РЕГИОН 70" информирует Вас о том, что в нашем Центре экспертизу информационных компьютерных средств (компьютерно-техническую экспертизу) проводит эксперт Ли Елена Александровна.

        Задачи экспертного исследования компьютерных данных

        К основным задачам судебной информационно-компьютерной экспертизы (данных) как вида судебной компьютерно-технической экспертизы относятся:
        - установление свойств и вида представления информации в компьютерной систееме при ее непосредственном исследовании;
        - определение фактического состояния информации, выяснение наличия или отсутствия в ней отклонений от типового объектов СКТЭ (например, имеются ли вредоносные включения, нарушение его целостности);
        - установление первоначального состояния информации на носителе данных;
        - определение условий изменения свойств исследуемой информации (например, выяснение условий внесения изменений в содержимое файла, запись на пластиковой карте и т.п.);
        - определение механизма и обстоятельств события (дела), установление отдельных этапов (стадий, фрагментов) события по имеющейся информации на носителе данных или ее копиям (например, подготовка нескольких копий делового письма и его рассылка факсимильной программой в разные адреса);
        - определение времени (периода), хронологической последовательности воздействия на информацию (например, установление стадий подготовки изображений денежных знаков, оттисков печатей т.п.);
        - выявление следов возможных участников события по признакам, характеризующим определенные профессиональные и пользовательские навыки, умения, привычки, установление условий, при которых была создана (модифицирована, удалена, скопирована) информация;
        - установление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например, связи между удалением информации и нарушением работоспособности компьютерной системы);
        - диагностирование возможных последствий по совершенному действию и возможности его совершения;
        К задачам информационно-компьютерной экспертизы можно отнести также отождествление содержания файла с данными в копии исследуемого файла, либо в представленном документе (в т.ч. в бумажной копии в комплексе с технико-криминалистическим исследованием документов). Групповая принадлежность может устанавливаться при поиске общего источника происхождения информации на носителях данных компьютерной системы, а также при определении класса, вида и типа программного обеспечения, при помощи которого были порождены (созданы) исследуемые данные.

        Приемлемые вопросы для экспертизы

        Для следователя и оперуполномоченного важно представлять, что именно может компьютерно-техническая экспертиза (КТЭ) и чего она не может. Также важно уметь верно формулировать вопросы для экспертизы.
        Чтобы правильно сформулировать вопрос, нужно знать большую часть ответа. И разбираться в терминологии. А чтобы знать специальные термины, нужно представлять, что они означают. Короче, нужно самому обладать специальными знаниями в области ИТ.
        Для формулировки вопросов для КТЭ всегда следует привлекать специалиста. Это может быть специально приглашенный специалист. Это может быть неофициальная консультация. В крайнем случае, сам эксперт, которому предстоит проводить КТЭ, поможет следователю верно поставить вопросы.

        Поиск информации
        Поиск на компьютерном носителе документов, изображений, сообщений и иной информации, относящейся к делу, в том числе в неявном (удаленном, скрытом, зашифрованном) виде.
        Рекомендуем не конкретизировать вид и содержание искомой информации. Эксперт вполне может самостоятельно решить, относится ли тот или иной текст, изображение или программа к делу. В ходе поиска информации эксперту приходится просматривать глазами тысячи текстов и изображений. Понятно, что невозможно распечатать и приложить к заключению их все - с тем, чтобы потом следователь решил, что из найденного относится к делу.
        Эксперт в любом случае вынужден проводить первичную селекцию и принимать решение, что именно из найденного приобщать. Вынужден в силу объемов информации. Типичный объем архива электронной почты среднего пользователя - мегабайты.
        Для более активного ного - сотни мегабайт. Это не поместится ни в одно заключение (протокол). Поэтому эксперта следует ознакомить с уголовным делом или хотя бы кратко изложить его фабулу в постановлении о назначении КТЭ, И запросить у него поиск «любой информации, относящейся к данному делу».

        Следы
        Поиск «цифровых» следов различного рола действий, совершаемых над компьютерной информацией. Вопрос лучше формулировать не про следы, а про действия. То есть вместо «имеются ли следы создания таких-то веб-страниц?» лучше поставить вопрос так: «создавались ли на исследуемом компьютере такие-то веб-страницы?».
        Когда компьютер используется как средство доступа к информации, находящейся в ином месте, и когда доступ к информации осуществляется на этом компьютере - в обоих случаях остаются «цифровые» следы, следы в виде компьютерной информации. КТЭ может определить, когда, при каких условиях и каким образом осуществлялся доступ. Кто его осуществлял, КТЭ определить не может. Лишь в некоторых случаях эксперту удается обнаружить некоторые сведения о пользователе исследуемого компьютера.
        Действия, которые оставляют следы на компьютере или на носителе информации, включают: доступ к информации, ее просмотр, ввод, изменение, удаление, любую другую обработку или хранение, а также удаленное управление этими процессами.

        Программы
        Анализ программ для ЭВМ на предмет их принадлежности к вредоносным, к средствам преодоления ТСЗАП, к инструментам для осуществления неправомерного доступа к компьютерной информации, к специальным техническим средствам, предназначенным для негласного получения информации, А также анализ функциональности программ, принципа действия, вероятного их источника, происхождения, автора.
        Иногда необходимо более глубокое исследование программ. То есть исследование не просто их свойств и функциональности, а происхождения, особенностей взаимодействия с другими программами, процесса создания, сопоставление версий. Такое глубокое исследование подразумевает дизассемблирование программы, запуск под отладчиком (пошаговое исполнение), исследование структуры данных.
        Это предмет отдельной экспертизы, иногда ее называют программно-технической. Редко можно найти эксперта, сочетающего специальные знания по ИТ и по программированию. Поэтому рекомендуется проводить две отдельные экспертизы - первая изучает содержимое компьютерных носителей, а вторая особенности обнаруженных программ.
        Такое более глубокое исследование программ необходимо далеко не всегда. Например, вредоносность программы — это совокупность ее функций. Вредоносность может установить эксперт-специалист по ИТ. А вот для сопоставления объектного кода программы с фрагментом исходного кода необходимо участие эксперта-программиста.

        Время
        Установление времени и последовательности совершения пользователем различных действий.
        Благодаря наличию у компьютера внутренних энергонезависимых часов и простановке в различных местах временных меток становится возможным определить, когда и в какой последовательности пользователь производил различные действия.
        Если внутренние часы компьютера были переведены вперед или назад (в том числе неоднократно), все равно имеются возможности восстановить правильное время и правильную последовательность событий. Перевод часов компьютера сам по себе оставляет следы. А если еще было и сетевое взаимодействие, то есть возможность сопоставить моменты событий, зафиксированные данным компьютером, с событиями по иным источникам и выяснить сдвиг внутренних часов.
        Задача выполнима даже в том случае, если системный блок, содержащий внутренние часы, не находится в распоряжении экспертизы. Только по носителю информации (например, НЖМД*) можно получить кое-какие сведения о последовательности событий. Чем больше информации на носителе, тем полнее будет восстановлена картина.
        Отмечена даже такая экзотическая задача, как подтверждение/опровержение алиби подозреваемого, который утверждает, что в определенное время работал за компьютером. В этом случае, хотя речь не идет о компьютерном преступлении, для проверки алиби потребуется КТЭ.

        Пользователь
        Оценка квалификации и некоторых других особенностей личности пользователя исследуемого компьютера.
        При достаточно интенсивном использовании компьютера человек неизбежно оставляет в нем «отпечаток» собственной личности. Документы, фотографии, музыка, переписка, настройки, оформление, закладки, временной режим работы, подбор программ - все это индивидуализирует информационное содержимое компьютера. Все это отражает интеллект пользователя, его эмоции, наклонности, способности.
        Нет уверенности, что вопрос полностью лежит в сфере КТЭ. Возможно, ради более строгого подхода такая экспертиза должна быть комплексной, компьютерно-психологической. Во всяком случае, вопрос квалификации пользователя в области ИТ точно в компетенции эксперта, проводящего КТЭ. Конечно, для оценки квалификации на исследуемом носителе должны находиться соответствующие объекты, результаты интеллектуальной деятельности — написанные пользователем программы, переписка по нетривиальным техническим вопросам, сложные программные инструменты (например, отладчик).
        Следует заметить, что некорректно ставить вопрос об «установлении личности пользователя компьютера». Любые выводы о личности на основе найденных на диске плодов интеллектуальной и творческой деятельности могут носить лишь предположительный характер.

        Итоги
        Итак, обычно перед экспертом, проводящим компьютерно-техническую экспертизу, ставятся вопросы:
  • о наличии на исследуемых объектах информации, относящейся к делу (в том числе в неявном, удаленном, скрытом или зашифрованном виде);
  • о возможности (пригодности) использования исследуемых объектов для определенных целей (например, для доступа в сеть);
  • о действиях, совершенных с использованием объектов, их времени и последовательности;
  • об идентификации найденных электронных документов, программ для ЭВМ, о признаках пользователей компьютера;
  • о свойствах программ для ЭВМ, в частности, о принадлежности их к вредоносным.

        Неприемлемые вопросы компьютерно-технической экспертизы

  • о лицензионности/контрафактности экземпляров произведений, записанных на исследуемых носителях;
  • о правомерности действий, произведенных с использованием исследуемых объектов;
  • о стоимости компьютеров, носителей, прав (лицензий) на содержащиеся там программы;
  • о переводах найденных текстов, интерфейсов программ, переписки и т.п. (кроме разъяснения терминов и жаргона).

Главная  >>>   Судебная экспертиза  >>>  Компьютерно-техническая экспертиза

Томский экспертно-правовой центр "Регион 70"
АССОЦИАЦИЯ "АКАДЕМИЯ СУДЕБНОЙ ЭКСПЕРТИЗЫ И КРИМИНАЛИСТИКИ"
ТОМСКИЙ ЭКСПЕРТНО-ПРАВОВОЙ ЦЕНТР "РЕГИОН 70"
ООО "СУДЕБНАЯ ЭКСПЕРТИЗА"
Телефоны Экспертно-правового центра "Регион 70" Томск (3822) 783-900, 783-902   /   Хабаровск (4212) 655-021   /   Новосибирск 8-913-488-12-99
Design: KOS