Компьютерно-техническая экспертиза
Судебная компьютерно-техническая экспертиза (КТЭ) – представляет собой обособленный вид инженерно-технических экспертиз, проводимых в целях: выявления и изучения его баз данных в целях расследования преступлений и разбирательств по арбитражным спорам различного правового характера.
В отдельных случаях компьютерную экспертизу ошибочно именуют программно-технической экспертизой, либо компьютерной экспертизой программных средств и компьютерной экспертизой программных продуктов, а также компьютерной экспертизой программного обеспечения, однако на текущий момент наиболее легитимным и широким термином считается именно компьютерная экспертиза, включающая в себя все вышеуказанные направления исследований.
Объектами компьютерно-технической экспертизы являются:
Класс аппаратных объектов:
· Компьютеры персональные (ноутбуки, настольные, портативные);
· Периферийные устройства (принтеры, модемы и т.п.);
· Сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.п.);
· Интегрированные системы (органайзеры, пейджеры, мобильные телефоны, контрольно-кассовые машины и т.п.);
· Встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.);
· Любые комплектующие всех указанных компьютерных компонентов (аппаратные блоки, платы расширения, микросхемы).
Класс программных объектов:
· Системное программное обеспечение компьютеров;
· Прикладное программное обеспечение компьютеров.
Класс информационных объектов (данные):
· Документация, изготовленная с использованием компьютерных средств;
· Компьютерно - информационные данные в мультимедийных форматах;
· Компьютерная Информация в базах данных и других приложений, имеющих прикладной характер и пр.
Вопросы решаемые в рамках судебной компьютерно-технической экспертизы:
1.Вопросы компьютерно-технической экспертизе аппаратных средств:
-Определить, относится ли представленное устройство к аппаратным компьютерным средствам?
-Определить, к какому типу (марке, модели)относится аппаратное (компьютерное) средство?
-Определить технические характеристики и параметры компьютера, представленного на судебную компьютерно-техническую экспертизу?
-Определить функциональное предназначение представленного на судебную компьютерно-техническую аппаратного средства (жучка)?
-Определить роль и функциональные возможности данного компьютера или аппаратного средства в конкретной компьютерной системе?
-Определить, относится ли данное аппаратное средство к той или иной компьютерной системе?
-Определить, используется ли данное аппаратное средство (компьютер) для решения конкретной функциональной задачи?
-Определить первоначальное состояние (конфигурацию, характеристики) имело представленное на судебную компьютерно-техническую экспертизу аппаратное средство?
-Определить фактическое состояние (исправен, неисправен) представленного аппаратного средства (компьютера) ?
-Определить, имеются ли в представленном на судебную компьютерно-техническую экспертизу компьютере отклонения от типовых (нормальных) параметров, в т.ч. физические дефекты?
-Определить эксплуатационные режимы установленные на аппаратном средстве (компьютере)?
-Определить, является ли неисправность данного средства следствием нарушения определенных правил эксплуатации компьютера?
-Определить причины изменения функциональных (потребительских) свойств в начальной конфигурации представленного компьютера (аппаратного средства)?
-Определить, является ли представленный на судебную компьютерно-техническую экспертизу компьютер (аппаратное средство) носителем информации ?
-Определить, какой вид (тип, модель или марку) имеет представленный на судебную компьютерно-техническую экспертизу компьютер?
-Определить, какое запоминающее устройство предназначено для работы с данным накопителем информации?
-Определить, имеется ли в составе представленного компьютера, какое-либо запоминающее устройство для работы с этим носителем информации?
-Определить, какие параметры (форм-факторы, емкость, среднее время доступа к данным, скорость передачи данных и др.) имеет представленный на судебную компьютерно-техническую экспертизу носитель информации?
-Определить, какой метод хранения данных реализован на представленном жестком диске ?
-Определить доступен ли для чтения представленный носитель информации?
-Определить причины отсутствия доступа к носителю информации?
Наша специализация: компьютерная экспертиза, программно-техническая экспертиза, экспертиза программного обеспечения, экспертиза программных продуктов.
2.Вопросы компьютерно-технической экспертизе программных средств:
-Определить общую характеристика представленного на судебную компьютерно-техническую экспертизу программного обеспечения, из каких компонент (программных средств) оно состоит?
-Определить, какую классификацию имеют конкретные программные средства (системные или прикладные) представленного программного обеспечения?
-Определить, обладают ли представленные на судебную компьютерно-техническую экспертизу объекты признаками контрафактности либо нет?
-Определить наименование, тип, версия, вид представления (явный, скрытый, удаленный) имеет программное средство?
-Определить реквизиты разработчика и владельца представленного программного средства?
-Определить состав файлов программного обеспечения представленного на компьютерную экспертизу, каковы их параметры (объемы, даты создания, атрибуты)?
-Определить общее функциональное предназначение имеет программное средство?
-Определить, имеется ли на компьютере, представленном на судебную компьютерно-техническую экспертизу программные средства для реализации определенной функциональной задачи?
-Определить, какие требования предъявляет данное программное средство к аппаратным средствам компьютерной системы?
-Определить совместимость конкретного программного средства с программным и аппаратным обеспечением компьютерной системы?
-Определить, используется ли данное программное средство для решения определенной функциональной задачи?
-Определить фактическое состояние компьютера (программного средства), какова его работоспособность по реализации отдельных (конкретных) функций?
-Определить, каким образом организованы ввод и вывод данных в представленном компьютере (программном средстве)?
-Определить, имеются ли в программном средстве отклонения от нормальных параметров (например, свойства инфицирования, недокументированных функций)?
-Определить, имеет ли программное средство (компьютер) защитные возможности (программные, аппаратно-программные) от несанкционированного доступа и копирования?
-Определить, каким образом организованы защитные возможности программного средства (компьютера)?
-Определить общий алгоритм представленного программного средства?
-Определить, какие программные инструментальные средства (языки программирования, компиляторы, стандартные библиотеки) использовались при разработке представленного программного средства (компьютерной программы)?
-Определить, имеются ли на носителях информации тексты (коды) представленных на судебную компьютерно-техническую экспертизу с первоначальным состоянием программы?
-Определить, подвергался ли алгоритм программного средства (компьютера) модификации по сравнению с исходным состоянием? В чём это нашло отражение?
-Определить, какой вид имело программное средство до его последней модификации?
-Определить, использованы ли в алгоритме программы и её тексте какие-либо специфические (нестандартные) приёмы алгоритмизации и программирования?
-Определить, с какой целью было произведено изменение каких-либо функций в программном средстве (компьютерной программе)?
-Определить, направлены ли внесённые изменения в программное средство (компьютерную программу) на преодоление его защиты?
-Определить, достигается ли решение определённых задач после внесения изменений в программное средство (компьютерную программу)?
-Определить, каким способом были произведены изменения в компьютерной программе (преднамеренно, воздействием вредоносной программы, ошибками программной среды, аппаратным сбоем и др.)?
-Определить хронологию внесения изменений в программном средстве (компьютерной программе)?
-Определить хронологию использования программного средства начиная с её инсталляции?
-Определить, имеются ли в программном средстве компьютера какие-либо враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной системы?
-Определить последствия дальнейшей эксплуатации определенного программного средства (компьютерной программы)?
3.Вопросы компьютерно-технической экспертизе информации (данных):
-Определить, каким образом был отформатирован носитель информации (компьютер) и в каком виде на него записаны данные?
-Определить характеристики физического размещения данных на носителе информации (компьютере)?
-Определить основные характеристики логического размещения данных на носителе информации (компьютере)?
-Определить, какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные, хранящиеся на носителе информации (компьютере)?
-Определить, какого вида (явный, скрытый, удалённый, архив) имеется информация на носителе (компьютере)?
-Определить, к какому типу относятся выявленные в ходе компьютерно-технической экспертизы данные (текстовые, графические, база данных, электронная таблица, мультимедиа, запись пластиковой карты, данные ПЗУ и др.) и какими программными средствами они обеспечиваются?
-Определить, каким образом организован доступ (свободный, ограниченный и пр.) к данным на носителе информации и каковы его характеристики?
-Определить, какие свойства, характеристики имеют выявленные средства защиты компьютерных данных и какие возможны пути её преодоления?
-Определить, какие признаки преодоления защиты (либо попыток несанкционированного доступа) имеются на носителе информации (компьютере)?
-Определить, каково содержание защищённых компьютерных данных?
-Определить, каково фактическое состояние выявленных компьютерных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных?
-Определить, какие несоответствия типовому представлению имеются в представленных на судебную компьютерно-техническую экспертизу данных (нарушение целостности, несоответствие формата, вредоносные включения и пр.) имеются в данных?
-Определить, каковы пользовательские (потребительские) свойства и предназначение данных на носителе информации (компьютере)?
-Определить, какие данные для решения определённой функциональной (потребительской) задачи имеются на носителе информации (компьютере)?
-Определить, какие данные с фактами и обстоятельствами конкретного дела находятся на представленном носителе информации (компьютере)?
-Определить, какие данные о собственнике (пользователе) компьютерной системы (в т.ч. имена, пароли, права доступа и пр.) имеются на носителях информации (компьютере)?
-Определить, какие данные с представленных на экспертизу документов (образцов) и в каком виде (целостном, фрагментарном) находятся на носителе информации (компьютере)?
-Определить, каково первоначальное состояние данных на носителе (в каком виде, какого содержания и с какими характеристиками, атрибутами находились определённые данные до их удаления или модификации)?
-Определить, каким способом и при каких обстоятельствах произведены действия (операции) (блокирование, модификация, копирование, удаление) определённых данных на носителе информации (компьютере)?
-Определить механизм (последовательность действий) по решению конкретной задачи отражён в определённых данных на носителе информации (компьютере)?
-Определить, какова хронологическая последовательности действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денежных знаков, ценных бумаг, оттисков печатей т.п.)?
-Определить, какая имеется причинная связь между действиями (вводом, модификацией, удалением и пр.) с данными и имевшим место событием (например, нарушением в работе компьютерной системы, в т.ч. сбои в программном и аппаратном обеспечении)?
-Определить, какова степень соответствия (или несоответствия) действий с конкретной информацией специальному регламенту или правилам эксплуатации определённой компьютерной системы (компьютера)?
4. Вопросы комплексной компьютерно-технической экспертизе (при экспертизе целостной компьютерной системы, (устройства):
-Определить, является ли представленное оборудование компьютерной системой?
-Определить, является ли представленное оборудование целостной компьютерной системой или же её частью?
-Определить, к какому типу (марке, модели) относится компьютерная система?
-Определить, каковы общие характеристики сборки компьютерной системы и изготовления её компонент?
-Определить, какой состав (конфигурацию) и технические характеристики имеет компьютерная система?
-Определить, является ли конфигурация компьютерной системы представленных на судебную компьютерно-техническую экспертизу типовой или расширенной под решение конкретных задач?
-Определить, какое функциональное предназначение имеет компьютерная система?
-Определить, имеются ли в представленных на судебную компьютерно-техническую экспертизу наиболее выраженные функции (потребительские свойства)?
-Определить, решаются ли с помощью представленной компьютерной системы определённые функциональные (потребительские) задачи?
-Определить, находится ли компьютерная система в рабочем состоянии?
-Определить, имеет ли компьютерная система какие-либо отклонения от типовых (нормальных) параметров, в т.ч. физические (механические) дефекты?
-Определить, какой перечень эксплуатационных режимов имеется в компьютерной системе?
-Определить, какие эксплуатационные режимы задействованы (установлены) в компьютерной системе?
-Определить, существуют ли в компьютере представленном на судебную компьютерно-техническую экспертизу недокументированные (сервисные) возможности? Какие это возможности?
-Определить, какие носители информации имеются в представленной компьютерной системе?
-Определить, реализована ли в представленной на судебную компьютерно-техническую экспертизу системе какая-либо система защиты информации?
-Определить, какая система защиты информации имеется в представленной компьютерной системе?
-Определить тип, вид и характеристики этой системы защиты? Каковы возможности по её преодолению?
Мы проводим: компьютерную экспертизу, программно-техническую экспертизу, экспертизу программного обеспечения, экспертизу программных продуктов.
Наиболее часто встречающиеся вопросы судебной компьютерно-технической экспертизы:
-Определить, относится ли представленный на представленных на судебную компьютерно-техническую экспертизу объект к компьютерным средствам?
-Определить, является ли объект экспертизы компьютерной системой либо представляет какую-либо его компоненту (аппаратную, программную, информационную)?
-Определить, каковы тип (марка, модель), конфигурация и общие технические характеристики представленной на судебную компьютерно-техническую экспертизу компьютерной системы (либо ее части)?
-Определить, решаются ли с помощью представленной компьютерной системы определённые (указываются конкретно какие) функциональные (потребительские ) задачи?
-Определить, находится ли компьютерная система представленных на судебную компьютерно-техническую экспертизу в рабочем состоянии? Имеются ли какие-либо неисправности в ее работе?
-Определить, имеются ли признаки (указывается интересуемый перечень конкретных признаков) нарушения правил эксплуатации компьютерной системы?
-Определить, реализована ли в представленных на судебную компьютерно-техническую экспертизу системе какая-либо система защиты доступа к информации? Каковы возможности по её преодолению?
-Определить, какие носители данных имеются в представленной компьютерной системе?
-Определить, какой вид (тип, модель, марку) и какие параметры имеет представленный представленных на судебную компьютерно-техническую экспертизу носитель данных?
-Определить, какое техническое устройство предназначено для работы с представленным на экспертизу носителем данных?
- Определить, имеется ли в составе представленной компьютерной системы устройство, предназначенное для работы (чтение, запись) с указанным носителем данных?
-Определить, какую общую характеристику и функциональное предназначение имеет представленное на судебную компьютерно-техническую экспертизу программное обеспечение ?
-Определить имеют ли на представленном программном средстве реквизиты разработчика, правообладателя?
-Определить, имеет ли программное средство признаки (указывается интересуемый перечень конкретных признаков контрафактности?
-Определить, имеется ли на носителях данных программное обеспечение для решения конкретной (потребительской) задачи?
-Определить, каково функциональное предназначение представленной представленных на судебную компьютерно-техническую экспертизу прикладной программы?
-Определить, имеются ли программы с признаками (указывается интересуемый перечень конкретных признаков) вредоносности?
-Определить, какая информация, имеющая отношение к обстоятельствам дела (указывается интересуемый перечень конкретных данных, либо ключевых слов), содержится на носителе данных? Каков вид ее представления (явный, скрытый, удаленный, архивный)?
-Определить, имеется ли на носителе данных информация, аутентичная по содержанию представленным образцам? Каков вид ее представления (явный, скрытый, удаленный, архивный)?
-Определить, к какому формату относятся представленных на судебную компьютерно-техническую экспертизу данные (текстовые документы, графические файлы, базы данных и т.д.) и с помощью каких программных средств они могут обрабатываться?
-Определить, имеются ли в анализируемой компьютерной системе признаки (указывается интересуемый перечень конкретных признаков) неправомерного доступа к данным?
-Определить, какие сведения о собственнике (пользователе) компьютерной системы (в т.ч. имена, пароли, права доступа и пр.) имеются на носителях данных представленных на судебную компьютерно-техническую экспертизу?
-Определить, имеются ли признаки функционирования данного компьютерного средства в составе локальной вычислительной сети? Каково содержание установленных сетевых компонент?
-Определить, имеются ли признаки работы представленного компьютерного средства в сети Интернет?
-Определить, содержание установок удаленного доступа и протоколов соединений?
Кроме ряда вышеизложенных, компьютерно-технических экспертиз программ и программных продуктов мы проводим судебные и внесудебные экспертизы с применением средств и методов по восстановлению данных.
Экспертиза связанная с восстановлением данных:
с накопителей на жестких магнитных диска (НЖМД), содержащие следующие неисправности:
- неисправность контроллера диска;
- ошибки (повреждения) в логической структуре диска;
- повреждение служебной информации диска (Sеrvicе Аrеа);
- некорректное считывание поверхности диска;
- повреждение внутренней механики диска;
c «Flаsh» и карт памяти содержащие следующие неисправности:
- ошибки (повреждения) в логической структуре диска;
- некорректное считывание поверхности накопителя;
- механические повреждения накопителя;
с компакт-дисков CD, DVD, HD-DVD, Bluе-Rаy Disc, FD содержащие следующие неисправности:
- ошибки (повреждения) в логической структуре диска;
- некорректное считывание поверхности накопителя;
- механические повреждения накопителя.