Компьютерная экспертиза: методика исследования компьютерной информации

Авторы методики:

  • Г.В. Саенко, О.В. Тушканова ЭКЦ МВД России

Экспертная задача

Поиск компьютерной информации по заданным критериям.

Выполним Компьютерную экспертизу в короткие сроки.

Подробнее о Компьютерной экспертизе

Объект исследования

Компьютерная информация, содержащаяся на следующих машинных носителях:

  • накопителях на жестких магнитных дисках (НЖМД);

  • гибких магнитных дисках (ГМД), zip- и jaz-дисках;

  • магнитных лентах;

  • CD- и DVD-дисках;

  • flash-накопителях;

  • картах памяти и прочих машинных носителях, информация на которых представлена в виде файловых систем.

Сущность методики

Для решения задачи поиска компьютерной информации вопросы, выносимые на компьютерную экспертизу, могут быть сформулированы следующим образом:

Имеется ли на представленных на исследование машинных носителях (дать перечень) информация, содержащая следующие ключевые слова: (дать перечень ключевых слов)?

Имеется ли на представленных на исследование машинных носителях (дать перечень) информация о (изложить о чем)?

Вопросы, выносимые на компьютерную экспертизу, должны соответствовать критериям, изложенным в Приложении 1.

Оборудование

Специализированные программно-аппаратные комплексы, имеющие в своем составе устройства для работы с информацией на представленных машинных носителях, а также имеющие возможность:

  • блокирования записи информации (аппаратно, аппаратно-программно, программно) на исследуемых машинных носителях;

  • посекторного копирования информации с представленных машинных носителей на дополнительные машинные носители не меньшей емкости;

  • вычисления хеш-функции файлов, каталогов, разделов, диапазона секторов;

  • доступа к файловой системе машинных носителей;

  • просмотра и интерпретации информации, создаваемой наиболее распространенным программным обеспечением (офисными программами, графическими редакторами, системами управления базами данных, программами, предназначенными для работы в локальных и глобальных сетях, и т.п.);

  • восстановления удаленной информации;

  • просмотра и интерпретации системной и служебной информации (следовой картины);

  • поиска и манипуляции с информацией по различным критериям (контексту, свойствам, хеш-функциям и пр.);

  • оформления результатов исследования.

Последовательность действий эксперта

1. Осмотреть и описать упаковку объектов, представленных на экспертизу. Опционально – сфотографировать упаковку.

2. Извлечь объекты из упаковки, сфотографировать (с линейкой) и описать.

3. При описании системного блока привести:

  • габаритные размеры (высота × ширина × глубина в мм);

  • цвет корпуса;

  • расположение и описание устройств, кнопок, индикаторов, разъемов, наклеек на передней панели (лицевой стороне) системного блока;

  • описание разъемов, наклеек и т.п. на задней панели (тыльной стороне) системного блока;

  • описание боковых панелей системного блока (при наличии на них кнопок, разъемов и т.п.);

  • описание индивидуализирующих особенностей (надписей, наклеек, повреждений и т.п.);

  • опционально – описание основных компонентов системного блока (маркировочных обозначений на системной плате, платах расширения и пр.); сфотографировать системный блок со снятой боковой крышкой.

После чего извлечь из системного блока машинные носители и описать их.

4. При описании НЖМД указать:

  • размерные характеристики (форм-фактор);

  • основные маркировочные обозначения на НЖМД (марка, модель, емкость, серийный номер).

5. При описании CD- и DVD-дисков (частично словесное описание можно заменить фотографией) указать:

  • диаметр;

  • цвет рабочей и нерабочей поверхностей;

  • индивидуализирующие особенности;

  • номер вокруг посадочного отверстия.

6. При описании ГМД, zip- и jaz-дисков (частично словесное описание можно заменить фотографией) указать:

  • размерные характеристики (форм-фактор);

  • цвет;

  • маркировочные обозначения;

  • индивидуализирующие особенности.

7. При описании flash-накопителей указать:

  • форму и размерные характеристики (длина × ширина × толщина в мм);

  • цвет;

  • маркировочные обозначения.

8. При описании карт памяти указать:

  • размерные характеристики (длина × ширина в мм);

  • цвет;

  • маркировочные обозначения.

9. При наличии системного блока, ноутбука и т.п. извлечь из него машинные носители, просмотреть настройки даты и времени на системной плате с помощью базовой системы ввода-вывода (BIOS) и сопоставить их с текущими (с указанием следующих характеристик текущего времени: часовой пояс, летнее или зимнее время).

10. Подготовить стендовое оборудование и машинные носители к проведению исследования:

  • установить переключатели, заслонки и т.п. на машинных носителях в режим защиты от записи (при наличии такой возможности);

  • выбрать устройства для подключения машинных носителей и при необходимости настроить стендовое оборудование на доступ к ним в режиме «только чтение»;

  • подготовить дополнительные машинные носители для последующего посекторного копирования на них информации, подлежащей исследованию.

11. Подключить машинные носители к аппаратно-программному комплексу и установить структуру расположенной на них информации:

  • количество, наименование и размер разделов;

  • серийные номера разделов (опционально);

  • наличие неразмеченного пространства и его размер;

  • наименование файловой системы в каждом разделе;

  • размер занятого в разделе пространства (в байтах или мегабайтах);

  • значения хеш-функции для машинного носителя (опционально).

Данные сведения целесообразно представлять в табличной форме:

* Номер объекта указывается, если исследованию подлежит информация, расположенная более чем на одном объекте.

12. Провести посекторное копирование информации с машинных носителей на дополнительные носители. Отключить скопированные машинные носители. Для дальнейшего исследования использовать посекторные копии. Допускается исследование информации на машинных носителях с использованием блокирования записи. В случае отсутствия возможности у эксперта скопировать (либо заблокировать) информацию с машинного носителя и необходимо получить разрешение следователя на изменение компьютерной информации в процессе исследования.

13. Восстановить удаленную информацию. Необходимость восстановления информации, выбор конкретных инструментальных средств и режимов восстановления информации (после удаления, после форматирования, advanced и пр.) определяются экспертом в зависимости от решаемой задачи и изучения структуры информации на машинном носителе. В некоторых случаях может оказаться целесообразным проводить восстановление информации в различных режимах и различными инструментальными средствами.

14. Опционально – проверить скопированную и восстановленную информацию антивирусным программным обеспечением.

Подзадачи

Поиск информации, созданной с помощью прикладных программ

1. Определить область поиска.

Основу области поиска составляет информация, поиск и просмотр в которой можно осуществлять средствами программно-аппаратного комплекса без дополнительных преобразований.

Дополнительно в зависимости от задачи в процессе определения области поиска осуществляются:

  • поиск зашифрованных областей на машинном носителе и определение возможности их расшифровки;

  • поиск файлов-контейнеров (в том числе проведение стеганоанализа), файлов-архивов; определение возможностей доступа к информации в этих файлах;

  • поиск файлов, доступ к содержимому которых закрыт паролем;

  • поиск файлов и каталогов, доступ к содержимому которых ограничен операционной системой;

  • сигнатурный анализ (сопоставление сигнатуры файла расширению файла);

  • просмотр (в том числе информационных источников) либо экспериментальный запуск программного обеспечения, имеющегося на машинном носителе, в целях установления форматов, обрабатываемых этим программным обеспечением файлов и возможностей поиска и просмотра содержимого таких файлов. Экспериментальный запуск производится на аппаратно-программном комплексе эксперта (возможно применение различных технологий, в том числе виртуальных машин) либо с использованием представленных устройств (при наличии) и копий машинных носителей.

Обнаруженная информация по возможности приводится к формату, пригодному для поиска, и добавляется к области поиска.

В зависимости от задачи и с учетом возможностей инструментальных средств:

  • в область поиска помимо файлов, имеющихся на машинном носителе, включаются восстановленные файлы, свободные области, «межкластерные» зазоры, загрузочная запись и т.п.;

  • из области поиска исключаются системные файлы, файлы с прикладным программным обеспечением и пр.

2. Сузить область поиска до области просмотра.

Сужение осуществляется путем проведения поиска по различным критериям:

  • ключевым словам;

  • расширениям, свойствам и метаданным файлов;

  • сигнатурам и пр.

В зависимости от поставленной задачи к формулированию критериев поиска могут привлекаться эксперты других специальностей.

Если критерии поиска сформулировать невозможно, то область просмотра может быть приравнена к области поиска.

3. Просмотреть информацию из области просмотра.

Просмотр можно осуществлять как с помощью программного обеспечения, имеющегося на аппаратно-программном комплексе, так и с помощью программного обеспечения, имеющегося на машинных носителях. В данном процессе могут принимать участие как эксперты других специальностей (комплексная экспертиза), так и лицо, назначившее экспертизу.

4. Оформить результаты поисков.

Если в результате поиска найден небольшой объем информации, удовлетворяющий заданным критериям, то его необходимо описать в тексте заключения эксперта, а саму информацию по возможности распечатать в приложении(ях) к заключению эксперта.

Описание найденной информации целесообразно представлять в табличной форме:

*В примечания выносится описание особенностей найденной информа- ции (в том числе можно давать сведения о формате файлов/записей; статусе – удаленный, архивный; паролях и пр.). ** LBA – Logical Block Addressing.

Если объем найденной информации не позволяет сформировать приложения на бумажном носителе, то информация может быть распечатана частично (отдельные файлы) или выборочно (часть файла). После чего производится копирование информации на CD- и DVD- диски однократной записи (с указанием места расположения этой информации). Об этом делается запись в заключении эксперта (исследовательской части и выводах) с указанием номера вокруг посадочного отверстия, имеющегося на таких дисках. Запись информации на диск должна производиться без изменения формата, свойств и метаданных. Дополнительно эксперт может записать эту информацию в формате, удобном для ее последующего просмотра лицами, не обладающими специальными познаниями в области судебной компьютерной экспертизы. После записи информации на нерабочей поверхности CD- или DVD-диска с помощью специального маркера должна быть сделана пояснительная надпись с указанием номера и даты экспертизы, номера приложения. Надпись должна быть заверена подписью эксперта.

Допускается вынесение описания обнаруженной информации в приложение (CD- и DVD-диски однократной записи) в случае его большого объема. Запись производится в формате, пригодном для чтения программами из пакета прикладных программ Microsoft Office. Об этом делается соответствующая запись в заключении эксперта (исследовательской части и выводах).

Поиск информации о действиях пользователя

1. Определить установленные операционные системы.

Определение производится для каждого раздела в следующей последовательности:

  • определить файловую систему (FAT, FAT32, NTFS, Ext2, Ext3, Re- iserFS, UFS и пр.);

  • просмотреть каталоги и файлы; установить наличие каталогов и файлов, характерных для различных семейств операционных систем, и просмотреть в соответствующих файлах сведения о наименовании и версии операционной системы;

  • при наличии провести сопоставление системных каталогов с образцами операционных систем по наименованию, структуре и содержанию подкаталогов, наименованию и содержанию файлов (образцы могут быть представлены как в явном виде, так и в виде библиотек хешфункций). Если при проведении сопоставления наряду со сходством выявляются различия (в наименованиях каталогов, наименовании, наличии и содержании файлов), не влияющие на окончательный вывод о наименовании операционной системы, то они должны быть объяснены (особенностями установки, различиями в версиях и сборках, установкой обновлений и пр.). После установления соответствия сделать вывод о наименовании установленной операционной системы;

  • в зависимости от операционной системы и решаемой задачи определить особенности ее установки и функционирования (сведения о версии, дате и времени установки, зарегистрированных пользователях и т.п.).

2. Установить, имеется ли на данном машинном носителе программное обеспечение, с помощью которого могли производиться искомые действия пользователя:

  • выявить программное обеспечение, работа которого требует регистрации в операционной системе;

  • выявить программное обеспечение, работа которого не требует установки в операционной системе;

  • выявить удаленное программное обеспечение либо сведения, оставшиеся в операционной системе от ранее установленного и впоследствии удаленного программного обеспечения;

  • оценить возможности данного программного обеспечения по производству искомых действий. Оценка производится экспертом путем использования собственных знаний и опыта, изучения описаний, руководств, справочных пособий, проведения экспертных экспериментов и т.п.

3. Если наличие такого программного обеспечения установлено, то необходимо определить порядок и особенности его работы в процессе совершения интересующих следствие действий (изучить процесс следообразования). Образование следов происходит путем создания, модификации, удаления информации на машинном носителе и отражается в системных, временных, специализированных файлах, свойствах и метаданных файлов данных и т.п. Установить порядок и особенности расположения следовой информации можно путем проведения экспертных экспериментов, в ходе которых производятся сопоставление между собой двух и более состояний файловой системы, отслеживание обращений программного обеспечения к различным элементам файловой системы и др. Также эти сведения могут быть получены из документации на программное обеспечение, показаний лиц, проходящих по делу, справочных и методических пособий и т.п.

В качестве примера приведены места расположения информации о работе пользователя в сети Интернет в операционной системе Microsoft Windows ХР (см. Приложение 2).

4. Описать и просмотреть наличие и содержимое возможных мест расположения следовой информации на машинных носителях. При необходимости сопоставить найденную информацию между собой на предмет ее непротиворечивости и последовательности по времени.

5. Оформить результаты поисков.

Описание возможных мест расположения следовой информации и способов доступа к ней включается в исследовательскую часть заключения эксперта. В зависимости от объема интерпретированное содержимое этой информации может быть приведено в исследовательской части заключения эксперта или в приложении(ях) к заключению эксперта. Приложения к заключению эксперта могут быть представлены как в бумажном виде, так и на CD- или DVD-дисках однократной записи. Об этом делается запись в заключении эксперта (исследовательской части и выводах) с указанием номера вокруг посадочного отверстия, имеющегося на таких дисках. После записи информации на нерабочей поверхности CD- или DVD-диска с помощью специального маркера должна быть сделана пояснительная надпись с указанием номера и даты экспертизы, номера приложения. Надпись должна быть заверена подписью эксперта.

Формулирование выводов эксперта

По результатам проведенного исследования формулируется вывод о наличии или отсутствии искомой информации на машинных носителях.

Примеры.

На машинных носителях (дать перечень) имеется информация о (изложить, о каких действиях пользователя). Она описана в заключении эксперта (указать, где), распечатана в приложении (дать номер и количество страниц), записана на CD- или DVD-диск однократной записи с номером, нанесенным вокруг посадочного отверстия (дать номер и указать номер приложения).

На машинных носителях (дать перечень) информации о (изложить, о каких действиях пользователя) не обнаружено.

Приложение 1

Требования к вопросам, выносимым на судебную компьютерную экспертизу

Общие требования

1. При постановке вопроса необходимо использовать устоявшийся понятийный аппарат, исключающий жаргонные и полупрофессиональные термины («винчестер», «логи», «взлом» и т.п.). В случае отсутствия терминов, определенных законодательными или нормативными актами, необходимо использовать те термины, которые употребляют разработчики технических средств, программных продуктов в документации, описаниях, справках и т.п.

2. Вопрос должен быть четким и однозначным.

3. Формулировка вопроса не должна касаться этапов исследования информации (описание характеристик носителей информации и особенностей размещения информации на них, восстановление и исследование информации среди удаленных файлов являются обязательным этапом исследования информации).

4. Вопросы не должны носить справочный характер.

5. Вопросы не должны носить правовой характер и выходить за пределы компетенции эксперта.

6. Вопросы должны соответствовать существующей методической и технической базе.

Частные требования

1. Вопросы должны быть направлены на установление конкретных обстоятельств расследуемого события.

2. Вопросы должны быть поставлены так, чтобы при решении конкретных задач расследования затраты (финансовые, технические, временные и пр.) на проведение исследований были минимальными.

3. Вопросы должны соответствовать уровню подготовки и инструментальному оснащению экспертов того экспертного учреждения, которому назначается экспертиза.исследования информации).

4. Вопросы должны соответствовать представляемым на исследование вещественным доказательствам.

Приложение 2

Места расположения информации о работе пользователя в сети Интернет в операционной системе Microsoft Windows ХР (пример)

Файлы реестра и системных событий, расположенные в каталоге %Windir%\System32\Config\;

файл, содержащий перечень и настройки активных подключений Documents and Settings\All Users\Application;

дata\Microsoft\Network\Connections\Pbk\rasphone.pbk;

файлы, содержащие протоколы работы модемов %Windir%\Mo- demLog_%Modemname%.txt;

файлы Index.dat, содержащие сведения об интернет-ресурсах, по- сещаемых пользователем;

файлы, расположенные в каталогах: Documents and Settings\%user- name%\Local Setings\Temporary Internet Files\Content.IE5\;

файлы, расположенные в каталогах: Documents and Settings\%use- rname%\cookies\;

файлы, содержащие настройки и протоколы работы программ, предназначенных для работы пользователя в сети Интернет.

Примечание. Список не является исчерпывающим.

Список литературы:

1. Зубаха В.С., Усов А.И., Саенко Г.В., Волков Г.А., Белый С.Л., Семикаленова А.И. Общие положения по назначению и производству компьютерно-технической экспертизы: Методические рекомендации. – М.: ГУ ЭКЦ МВД России, 2000.

2. Нехорошев А.Б., Шухнин М.Н., Юрин И.Ю., Яковлев А.Н. Практические основы компьютерно-технической экспертизы: Учебно- методическое пособие. – Саратов: Научная книга, 2007.

3. Русских Д.Л., Сыромятников С.В., Бугреева Н.А., Сергеевич М.Е., Баталин С.В. Методические рекомендации по производству комплексной компьютерно-технической и экономической экспертизы и исследования в органах по контролю за оборотом наркотических средств и психотропных веществ / Под ред. д-ра юрид. наук А.М. Черенкова. – М.: ЭКУ 9 Департамента ФСКН России, 2006.

4. Тушканова О.В. Терминологический справочник судебной компьютерной экспертизы. – М., 2005.

5. Уголовно-процессуальный кодекс Российской Федерации. – М., 2001.

Обсуждение

0 комментариев

Свежие новости

Похожие статьи

Ваши данные отправлены