Компьютерно-техническая экспертиза

Судебная компьютерно-техническая экспертиза (КТЭ) – представляет собой обособленный вид инженерно-технических экспертиз, проводимых в целях: выявления и изучения его баз данных в целях расследования преступлений и разбирательств по арбитражным спорам различного правового характера.

В отдельных случаях компьютерную экспертизу ошибочно именуют программно-технической экспертизой, либо компьютерной экспертизой программных средств и компьютерной экспертизой программных продуктов, а также компьютерной экспертизой программного обеспечения, однако на текущий момент наиболее легитимным и широким термином считается именно компьютерная экспертиза, включающая в себя все вышеуказанные направления исследований.

Класс аппаратных объектов

Аппаратно-компьютерная экспертиза применяется для исследования (в основном, диагностического) технических (аппаратных) средств компьютерной системы. К аппаратным средствам относятся: электрические, электронные и механические схемы, блоки, приборы и устройства, составляющие материальную часть компьютерной системы. Предметом данного вида экспертизы являются факты и обстоятельства, имеющие значение для уголовного либо гражданского дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации аппаратных средств компьютерной системы – материальных носителей информации о факте или событии уголовного либо гражданского дела.

1. Компьютеры персональные (ноутбуки, настольные, портативные);
2. Периферийные устройства (принтеры, модемы и т.п.)
3. Сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.п.);
4. Интегрированные системы (органайзеры, пейджеры, мобильные телефоны, контрольно-кассовые машины и т.п.);
5. Встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.);
6. Любые комплектующие всех указанных компьютерных компонентов (аппаратные блоки, платы расширения, микросхемы).

Класс программных объектов

Программно-компьютерная экспертиза предназначена для проведения экспертного исследования программного обеспечения. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или гражданскому делу. Задачами экспертизы данного вида является изучение функционального предназначения и характеристик реализуемого алгоритма, структурных особенностей и текущего состояния системного и прикладного программного обеспечения компьютерной системы.

1. Системное программное обеспечение компьютеров;
2. Прикладное программное обеспечение компьютеров.

Класс информационных объектов (данные)

Информационно-компьютерная экспертиза является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Задачами этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

1. Документация, изготовленная с использованием компьютерных средств;
2. Компьютерно - информационные данные в мультимедийных форматах;
3. Компьютерная Информация в базах данных и других приложений, имеющих прикладной характер и пр.

Класс компьютерно-сетевых объектов

Компьютерно-сетевая экспертиза основывается на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому факты и обстоятельства, связанные с использованием сетевых и телекоммуникационных технологий и устанавливаемые по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу, составляют видовой предмет компьютерно-сетевой экспертизы. Использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в судебной компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с Интернет-технологиями. Объект применения специальных познаний КТЭ может быть довольно разным – от компьютеров пользователей, подключенных к Интернет, до различных ресурсов поставщика сетевых услуг (провайдера) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, www-сервис и пр.

Экспертиза, связанная с восстановлением данных

Кроме ряда вышеизложенных компьютерно-технических экспертиз программ и программных продуктов, поводятся судебные и внесудебные экспертизы с применением экспертных средств и методов по восстановлению данных с накопителей на жестких магнитных диска (НЖМД) и твердотельных накопителей.

Примерный перечень вопросов

Вопросы по исследованию аппаратных средств

1. Относится ли представленное устройство к аппаратным компьютерным средствам?
2. К какому типу (марке, модели) относится аппаратное средство? Каковы его технические характеристики и параметры?
3. Каково функциональное предназначение представленного аппаратного средства?
4. Какая роль и функциональные возможности данного аппаратного средства в конкретной компьютерной системе?
5. Относится ли данное аппаратное средство к представленной компьютерной системе?
6. Используется ли данное аппаратное средство для решения конкретной функциональной задачи?
7. Какое первоначальное состояние (конфигурацию, характеристики) имело аппаратное средство?
8. Каково фактическое состояние (исправен, неисправен) представленного аппаратного средства? Имеются ли в нем отклонения от типовых (нормальных) параметров, в т.ч. физические дефекты?
9. Какие эксплуатационные режимы установлены на данном аппаратном средстве?
10. Является ли неисправность данного средства следствием нарушения определенных правил эксплуатации?
11. Каковы причины изменения функциональных (потребительских) свойств в начальной конфигурации представленного аппаратного средства?
12. Является ли представленное аппаратное средство носителем информации?
13. Какой вид (тип, модель, марку) имеет представленный носитель информации?
14. Какое запоминающее устройство предназначено для работы с данным накопителем информации? Имеется ли в составе представленной компьютерной системы запоминающее устройство для работы с этим носителем информации?
15. Какие параметры (форм-факторы, емкость, среднее время доступа к данным, скорость передачи данных и др.) имеет носитель информации? Какой метод хранения данных реализован  на представленном носителе?
16. Доступен ли для чтения представленный носитель информации?
17. Каковы причины отсутствия доступа к носителю информации?

Вопросы по исследованию программных средств

18. Какова общая характеристика представленного программного обеспечения, из каких компонент (программных средств) оно состоит?
19. Какую классификацию имеют конкретные программные средства (системные или прикладные) представленного программного обеспечения? Обладают ли они признаками контрафактности либо нет?
20. Какие наименование, тип, версия, вид представления (явный, скрытый, удаленный) имеет программное средство?
21. Каковы реквизиты разработчика и владельца представленного программного средства?
22. Каков состав соответствующих файлов программного обеспечения, каковы их параметры (объемы, даты создания, атрибуты)?
23. Какое общее функциональное предназначение имеет программное средство?
24. Имеется ли на носителях информации программные средства для реализации определенной функциональной задачи?
25. Какие требования предъявляет данное программное средство к аппаратным средствам компьютерной системы?
26. Какова совместимость конкретного программного средства с программным и аппаратным обеспечением компьютерной системы?
27. Используется ли данное программное средство для решения определенной функциональной задачи?
28. Каково фактическое состояние программного средства, какова его работоспособность по реализации отдельных (конкретных) функций?
29. Каким образом организованы ввод и вывод данных в представленном программном средстве?
30. Имеются ли в программном средстве отклонения от нормальных параметров (например, свойства инфицирования, недокументированных функций)?
31. Имеет ли программное средство защитные возможности (программные, аппаратно-программные) от несанкционированного доступа и копирования?
32. Каким образом организованы защитные возможности программного средства?
33. Каков общий алгоритм представленного программного средства?
34. Какие программные инструментальные средства (языки программирования, компиляторы, стандартные библиотеки) использовались при разработке представленного программного средства?
35. Имеются ли на носителях информации тексты (коды) с первоначальным состоянием программы?
36. Подвергался ли алгоритм программного средства модификации по сравнению с исходным состоянием? В чём это нашло отражение?
37. Какой вид имело программное средство до его последней модификации?
38. Использованы ли в алгоритме программы и её тексте какие-либо специфические (нестандартные) приёмы алгоритмизации и программирования?
39. С какой целью было произведено изменение каких-либо функций в программном средстве?
40. Направлены ли внесённые изменения в программное средство на преодоление его защиты?
41. Достигается ли решение определённых задач после внесения изменений в программное средство?
42. Каким способом были произведены изменения в программе (преднамеренно, воздействием вредоносной программы, ошибками программной среды, аппаратным сбоем и др.)?
43. Какова хронология внесения изменений в программном средстве?
44. Какова хронология использования программного средства (начиная с её инсталляции)?
45. Имеются ли в программном средстве враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной системы?
46. Каковы последствия дальнейшей эксплуатации определенного программного средства?

Вопросы по исследованию информации (данных)

47. Как отформатирован носитель информации и в каком виде на него записаны данные?
48. Каковы характеристики физического размещения данных на носителе информации?
49. Каковы характеристики логического размещения данных на носителе информации?
50. Какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные на носителе информации?
51. Какого вида (явный, скрытый, удалённый, архив) имеется информация на носителе?
52. К какому типу относятся выявленные (определённые) данные (текстовые, графические, база данных, электронная таблица, мультимедиа, запись пластиковой карты, данные ПЗУ и др.) и какими программными средствами они обеспечиваются?
53. Каким образом организован доступ (свободный, ограниченный и пр.) к данным на носителе информации и каковы его характеристики?
54. Какие свойства, характеристики имеют выявленные средства защиты данных и какие возможны пути её преодоления?
55. Какие признаки преодоления защиты (либо попыток несанкционированного доступа) имеются на носителе информации?
56. Каково содержание защищённых данных?
57. Каково фактическое состояние выявленных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных?
58. Какие несоответствия типовому представлению имеются в выявленных данных (нарушение целостности, несоответствие формата, вредоносные включения и пр.) имеются в данных?
59. Каковы пользовательские (потребительские) свойства и предназначение данных на носителе информации?
60. Какие данные для решения определённой функциональной (потребительской) задачи имеются на носителе информации?
61. Какие данные с фактами и обстоятельствами конкретного дела находятся на представленном носителе информации?
62. Какие данные о собственнике (пользователе) компьютерной системы (в т.ч. имена, пароли, права доступа и пр.) имеются на носителях информации?
63. Какие данные с представленных на экспертизу документов (образцов) и в каком виде (целостном, фрагментарном) находятся на носителе информации?
64. Каково первоначальное состояние данных на носителе (в каком виде, какого содержания и с какими характеристиками, атрибутами находились определённые данные до их удаления или модификации)?
65. Каким способом и при каких обстоятельствах произведены действия (операции) (блокирование, модификация, копирование, удаление) определённых данных на носителе информации?
66. Каков механизм (последовательность действий) по решению конкретной задачи отражён в определённых данных на носителе информации?
67. Какова хронологическая последовательности действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денежных знаков, ценных бумаг, оттисков печатей т.п.)?
68. Какая имеется причинная связь между действиями (вводом, модификацией, удалением и пр.) с данными и имевшим место событием (например, нарушением в работе компьютерной системы, в  т.ч. сбои в программном и аппаратном обеспечении)?
69. Какова степень соответствия (или несоответствия) действий с конкретной информацией специальному регламенту или правилам эксплуатации определённой компьютерной системы?

Вопросы, комплексного исследования компьютерной системы (при экспертизе целостной компьютерной системы, (устройства)

70. Является ли представленное оборудование компьютерной системой?
71. Является ли представленное оборудование целостной компьютерной системой или же её частью?
72. К какому типу (марке, модели) относится компьютерная система?
73. Каковы общие характеристики сборки компьютерной системы и изготовления её компонент?
74. Какой состав (конфигурацию) и технические характеристики имеет компьютерная система?
75. Является ли конфигурация компьютерной системы типовой или расширенной под решение конкретных задач?
76. Какое функциональное предназначение имеет компьютерная система?
77. Имеются ли в компьютерной системе наиболее выраженные функции (потребительские свойства)?
78. Решаются ли с помощью представленной компьютерной системы определённые функциональные (потребительские )задачи?
79. Находится ли компьютерная система в рабочем состоянии?
80. Имеет ли компьютерная система какие-либо отклонения от типовых (нормальных) параметров, в т.ч. физические (механические) дефекты?
81. Какой перечень эксплуатационных режимов имеется в компьютерной системе?
82. Какие эксплуатационные режимы задействованы (установлены) в компьютерной системе?
83. Существуют ли в компьютерной системе недокументированные (сервисные) возможности? Какие это возможности?
84. Какие носители информации имеются в представленной компьютерной системе?
85. Реализована ли в компьютерной системе какая-либо система защиты информации?
86. Какая система защиты информации имеется в представленной компьютерной системе? Каков тип, вид и характеристики этой системы защиты? Каковы возможности по её преодолению?

Наиболее часто встречающиеся вопросы при производстве КТЭ

88. Относится ли представленный объект к компьютерным средствам?
89. Является ли объект экспертизы компьютерной системой либо представляет какую-либо его компоненту (аппаратную, программную, информационную)?
90. Каковы тип (марка, модель), конфигурация и общие технические характеристики представленной компьютерной системы (либо ее части)?
91. Решаются ли с помощью представленной компьютерной системы определённые (указываются конкретно какие) функциональные (потребительские ) задачи?
92. Находится ли компьютерная система в рабочем состоянии? Имеются ли какие-либо неисправности в ее работе?
93. Имеются ли признаки (указывается интересуемый перечень конкретных признаков) нарушения правил эксплуатации компьютерной системы?
94. Реализована ли в компьютерной системе какая-либо система защиты доступа к информации? Каковы возможности по её преодолению?
95. Какие носители данных имеются в представленной компьютерной системе?
96. Какой вид (тип, модель, марку) и какие параметры имеет представленный носитель данных?
97. Какое устройство предназначено для работы с представленным носителем данных? Имеется ли в составе представленной компьютерной системы устройство, предназначенное для работы (чтение, запись) с указанным носителем данных?
98. Какую общую характеристику и функциональное предназначение имеет программное обеспечение приставленного объекта?
99. Каковы реквизиты разработчика, правообладателя представленного программного средства?
100. Имеет ли программное средство признаки (указывается интересуемый перечень конкретных признаков контрафактности?
101. Имеется ли на носителях данных программное обеспечение для решения конкретной (потребительской) задачи?
102. Каково функциональное предназначение представленной прикладной программы?
103. Имеются ли программы с признаками (указывается интересуемый перечень конкретных признаков) вредоносности?
104. Какая информация, имеющая отношение к обстоятельствам дела (указывается интересуемый перечень конкретных данных, либо ключевых слов), содержится на носителе данных? Каков вид ее представления (явный, скрытый, удаленный, архивный)?
105. Имеется ли на носителе данных информация, аутентичная по содержанию представленным образцам? Каков вид ее представления (явный, скрытый, удаленный, архивный)?
106. К какому формату относятся выявленные данные (текстовые документы, графические файлы, базы данных и т.д.) и с помощью каких программных средств они могут обрабатываться?
107. Имеются ли в компьютерной системе признаки (указывается интересуемый перечень конкретных признаков) неправомерного доступа к данным?
108. Какие сведения о собственнике (пользователе) компьютерной системы (в т.ч. имена, пароли, права доступа и пр.) имеются на носителях данных?
109. Имеются ли признаки функционирования данного компьютерного средства в составе локальной вычислительной сети? Каково содержание установленных сетевых компонент?
110. Имеются ли признаки работы представленного компьютерного средства в сети Интернет? Каково содержание установок удаленного доступа и протоколов соединений?
111. Компьютер какой модели предоставлен на исследование?
112. Каковы технические характеристики его системного блока и периферийных устройств?
113. Какие технические неисправности имеет данный компьютер или его отдельные блоки и устройства, и как эти неисправности влияют на работу компьютера (блока, устройства)?
114. Не проводилась ли адаптация компьютера для работы с ним специфических пользователей (лица с плохим зрением, левши и др.)?
115. Содержится ли на данном носителе информация, и если да, то каково его целевое назначение?
116. Содержится ли на данном носителе информация, имеющая ключевые слова?
117. Содержится на данном носителе информация, в которой есть данные, указывающие на предприятие (фирму, организацию)?
118. Когда и кем были созданы исследуемые файлы?
119. Являются ли данные программные продукты лицензионными копиями стандартных систем, или они являются оригинальными разработками?
120. В какой период времени созданы файлы, какая дата последнего редактирования?
121. Не вносились ли в программы данного системного продукта какие-либо коррективы, изменяющие выполнение определенных операций?
122. Находилась ли на носителе информация, которая была уничтожена. Если да, то какая именно?
123. С какого из предоставленных компьютеров осуществлялся выход в сеть Интернет, по каким адресам, в какой период времени?
124. Каков механизм потери информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных?
125. Можно ли с помощью данного программного продукта реализовать функции, предусмотренные техническим заданием на его разработку?
126. Содержатся ли на исследуемом компьютере программные продукты, которые могут использоваться для взлома пароля и несанкционированного доступа к компьютерным сетям?
127. Возможно ли решение определенной задачи с помощью данного программного продукта?
128. Каков уровень профессиональной подготовки в области программирования и работы с компьютерной техникой лица, которое выполнило данные действия с компьютером и программным обеспечением?
129. Соответствует ли стиль программирования исследуемого программного продукта стилю программирования определенного лица?
130. Соответствуют ли приемы и средства программирования, которые применялись при создании исследуемого программного продукта, приемам и средствам, которыми пользуется данный программист?
131. Написана ли данная компьютерная программа определенным лицом (данный вопрос может решаться совместно с экспертом в области автороведения)?
132. Какова стоимость программного обеспечения (на момент его приобретения, изъятия, проведения экспертизы)?
133. Какова стоимость отдельных модулей, входящих в состав программного продукта?
134. Какова стоимость компьютерной техники (отдельных комплектующих) на момент приобретения (изъятия, проведения экспертизы)?