Вопросы по компьютерно-технической экспертизе

Целесообразно ли в текущий момент пользоваться компьютером, если в будущем, возможно, встанет вопрос по проведению компьютерно-технической экспертизы по хранящейся в нем информации?

В случае если существует вероятность, что в скором будущем информация, хранящаяся на накопителях информации в компьютере будет подвергнута исследованию в рамках компьютерно-технической экспертизы, то крайне не рекомендуется включать и тем более использовать его для работы, поскольку различные системные журналы как операционной системы, так и программного обеспечения могут потерять криминалистически важную информацию о различных операциях пользователя в связи со спецификой ее хранения, также в ходе работы снижается вероятность восстановления удаленной информации и ее целостность. В редких случаях сам накопитель может выйти из строя, потеряв тем самым ту важную информацию, по которой Вы планировали провести судебное или внесудебное исследования.

Мы хотим провести исследование файлов, как их описать при передаче эксперту, чтобы в последствии можно было определить, те ли самые файлы исследовались или нет?

Для того чтобы идентифицировать файлы, которые передаются на исследование, достаточно указывать значение их хеш-функций по любому из алгоритмов хеширования (например MD5) и размер файла в байтах во избежание коллизий.

Устанавливается ли в рамках компьютерной экспертизы вредоносность программного обеспечения и делаются ли выводы о том, что представленный объект является контрафактной продукцией?

Делать выводы о вредоносности программного обеспечения или о том, что представленные объекты являются контрафактом, эксперт не вправе. Однако в рамках экспертизы при правильной постановке вопросов возможно установить признаки как вредоносности, так и контрафактности, которые уже впоследствии помогут суду в окончательной классификации исследуемых объектов.

Возможно ли в рамках компьютерной экспертизы проведения повторного исследования? Ведь при первичной экспертизе эксперт, подключая исследуемый накопитель на жестких магнитных дисках и изучая в нем информацию, тем самым изменяет объект исследования.

Проведение повторного исследования возможно при соблюдении экспертом методик исследования, позволяющих сохранить объект в том виде, котором он был перед исследованием. Для этого при подключении исследуемого НЖМД стоит использовать аппаратные или программные блокираторы, позволяющие работать с исследуемом накопителем информации в режиме «только чтение», и тем самым не вносить изменения в информацию, имеющую криминалистическое значение. Во избежание возможного выхода из строя исследуемого накопителя, следует снимать образ или делать клонирование накопителя и все исследования проводить уже на них. Исключением является восстановление удаленной информации, поскольку проводить восстановление с образов и клонов накопителя некорректно, и может привести к тому, что эксперт проведет экспертизу не в полном объеме.