Дослідження, аналіз і оцінка вилученої комп'ютерної інформації

Оскільки результати комп'ютерно-технічної експертизи, особливо експертизи програмного забезпечення прямо залежать від зберігання інформації на внутрішніх і зовнішніх магнітних носіях, необхідно при вилученні об'єктів дотримуватись правил, які були вказані вище.

Під час розслідування злочинів, які пов'язані з комп'ютерами та комп'ютерними системами, найважливіше - уникнути дій, які можуть пошкодити чи змінити наявну інформацію, тим чи іншим шляхом змінити цілісність вилучених даних.

Комп'ютери та їх комплектуючі опечатуються шляхом наклеювання на місця з'єднань аркушів паперу із закріплених їхніх країв на бокових стінках комп'ютера густим клеєм або клейкою стрічкою, щоб виключити роботу з ними у відсутності власника або експерта. Магнітні носії упаковуються та транспортуються у спеціальних екранованих контейнерах або у стандартних дискетних чи інших алюмінієвих футлярах заводського виробництва, які виключають шкідливий вплив електромагнітних і магнітних полів, направлених випромінювань. Опечатуються тільки контейнери або футляри. Пояснювальні написи можуть наноситись тільки на самоклейні етикетки для дискет, причому спочатку робиться запис, а потім етикетка наклеюється на призначене для неї місце на дискеті. Якщо на дискеті вже є етикетка з яким-небудь написом, проставляється тільки порядковий номер, а пояснювальні написи під цим номером робляться на окремому аркуші, який вкладається в коробку.

У постанові про призначення експертизи вказують серійний номер комп'ютера та його індивідуальні ознаки (конфігурація, колір, написи на корпусі).

Повинно стати нормою в слідчій та експертній практиці робити повну копію системи, що досліджується, і всі дослідження проводити з копією, а не з самим оригіналом. Як правило, такий шлях можливий у будь-якому випадку. З точки зору дослідника, дані, які існують у системі, можливо поділити на три великі категорії. Перша категорія - це дані, які існують на файловому рівні, друга - це дані, які були знищені, але існує можливість їх відновлення на срайловому рівні, третя - це окремі частки даних, що раніше були частками окремих файлів, і які вже неможливо відновити на рівні файлу.

Зазначимо, що проведення досліджень з цих питань - процес, який коштує великих грошей та вимагає значних затрат часу.

480

Неможливо перелічити всі методи, обладнання та програмне забезпечення, які використовуються для аналізу електронної інформації. Можна лише підкреслити, що для цієї мети використовують як загальнодоступні програмні засоби, так і спеціально розроблені програми для правоохоронних органів та експертних лабораторій. Вивчення вилученого матеріалу проводиться, як правило, у спеціалізованих підрозділах, органах судової експертизи, спеціалізованих приватних компаніях, науково-дослідних установах, дослідницьких центрах.

У ході розслідування можуть бути випадки, коли слідчий чітко знає, який доказ він бажає знайти в комп'ютерній системі - конкретний документ чи угоду. У цьому випадку завдання полегшується і потрібно тільки встановити місцезнаходження цієї інформації в системі. Але ситуація різко змінюється, якщо конкретно невідомо, яка інформація може представляти інтерес для слідства. У цьому випадку особа, що веде розслідування, вимушена за допомогою експерта ознайомитись з усіма вилученими матеріалами. Сам експерт не може виконати цю роботу, оскільки у повній мірі не володіє обставинами справи і не може оцінити доказову силу тієї чи іншої інформації.

Як характерні приклади електронних доказів можна навести існуючу в комп'ютерних системах інформацію про робочі контакти, листування, укладені контракти та угоди, бухгалтерські баланси та звіти, платіжні перекази та виплати тощо.

Не можна дозволяти стороннім особам та непідготовленому персоналу вмикати та користуватися вилученим обладнанням. Якщо це можливо, всі дослідження необхідно проводити за участю фахівців спеціальних підрозділів або в судових лабораторіях. Це гарантує від випадкових помилок та зберігає цілісність вилученої доказової інформації. Всі операції, які здійснюються з системою, повинні ретельно фіксуватися.