Комп’ютерно-технічна експертиза

Комп'ютерно-технічна експертиза

Предмет, об'єкти та завдання експертизи

Судова комп'ютерно-технічна експертиза (СКТЕ) – самостійний рід судових експертиз, що відноситься до класу інженерно-технічних експертиз, що проводиться з метою визначення статусу об'єкта як комп'ютерного засобу, виявлення та вивчення його ролі в розслідуваному злочині, а також отримання доступу до інформації на електронних. носіях з наступним всебічним її дослідженням.

Родовий предмет – факти (обставини), що мають значення для кримінальної чи цивільної справи і встановлюються з урахуванням вивчення закономірностей розробки та експлуатації комп'ютерних засобів і систем, які забезпечують реалізацію інформаційних процесів.

Спеціальні знання СКТЕ становлять такі наукові напрями: автоматизація, інформаційні системи та процеси, електроніка, електротехніка, радіотехніка та зв'язок, обчислювальна техніка (у тому числі програмування) та ін.

Видова класифікація організується на основі компонентів, що забезпечують будь-який комп'ютерний засіб [апаратного (технічного), програмного та інформаційного забезпечення] і використовується у вигляді, що відповідає процесам розробки та експлуатації комп'ютерних систем. Тому виділяються такі види експертизи: апаратно-комп'ютерна; програмно-комп'ютерна; інформаційно-комп'ютерна (експертиза даних). Крім того, досить виправданим є виділення ще одного виду - комп'ютерно-мережевої експертизи. Такий поділ на види найповніше охоплює технологічні особливості, експлуатаційні властивості об'єктів експертизи, які пред'являються для дослідження. Ця класифікація дозволяє вже на ранніх етапах становлення експертизи диференційовано підійти до розробок методів.та методик експертного дослідження. Коротко розглянемо кожен із видів.

Сутність апаратно-комп'ютерної експертизи полягає у проведенні дослідження (переважно діагностичного) технічних (апаратних) засобів комп'ютерної системи. До апаратних засобів відносяться: електричні, електронні та механічні схеми, блоки, прилади та пристрої, що становлять матеріальну частину комп'ютерної системи. Предметом цього виду експертизи є факти та обставини, що мають значення для кримінальної чи цивільної справи та встановлюються на основі дослідження закономірностей розробки та експлуатації апаратних засобів комп'ютерної системи – матеріальних носіїв інформації про факт чи подію кримінальної чи цивільної справи.

Для проведення експертного дослідження програмного забезпечення призначений такий вид експертизи, як програмно-комп'ютерна. Її видовим предметом є закономірності розробки (створення) та застосування (використання) програмного забезпечення комп'ютерної системи, представленої на дослідження з метою встановлення істини у кримінальній чи цивільній справі. Завданнями експертизи цього виду є вивчення функціонального призначення та характеристик реалізованого алгоритму, структурних особливостей та поточного стану системного та прикладного програмного забезпечення комп'ютерної системи.

Інформаційно-комп'ютерна експертиза (даних) є ключовим видом СКТЕ, оскільки дозволяє завершити цілісну побудову доказової бази шляхом остаточного вирішення більшості діагностичних та ідентифікаційних питань, пов'язаних із комп'ютерною інформацією. Завданнями цього виду є пошук, виявлення, аналіз та оцінка інформації, підготовленої користувачем або породженою (створеною) програмами дляорганізації інформаційних процесів у комп'ютерній системі.

Система об'єктів СКТЕ за класифікаційною основою видового поділу виглядає так:

У криміналістичному аспекті найбільш важливим є підвид запам'ятовуючих пристроїв і носіїв даних – включає всі відомі на момент проведення експертизи електронні носії даних: мікросхеми пам'яті, магнітні та лазерні диски, магнітооптичні диски, магнітні стрічки, карти тощо;

Методи експертизи

Сучасні методи СКТЕ знаходяться поки що у своєму становленні. Тому на даному етапі розвитку експертизи доцільно розглядати систему методів за основними класами об'єктів експертизи: методи дослідження апаратних засобів, методи дослідження програмних засобів та методи дослідження інформації (даних). Коротко зупинимося на їхньому приблизному змісті.

В основі функціонування апаратних засобів будь-якої комп'ютерної системи покладено цілу низку комплексів спеціальних методів такої наукової галузі як радіотехніка, а також суміжних з нею – аудіовізуальної техніки, радіоелектронної апаратури, радіоелектронних систем та ін. Так, одним з таких комплексів є методи проектування та дослідження цифрових пристроїв та мікропроцесорів. До них відносяться:

  • методи алгебри логіки та методи перемикальних функцій;
  • методи функціонування асинхронних та синхронних автоматів;
  • методи синтезу цифрових вузлів;
  • архітектурні методи мікропроцесорів;
  • методи побудови ВІС та ВІС пам'яті;
  • мікропроцесорні методи проектування та аналізу мікроконтролерів та ін.

За допомогою зазначених методів можна ефективно вирішувати завдання щодо виявлення властивостей апаратних засобів, їх технічних характеристик, встановлення відповідності виявлениххарактеристик типовим, визначення фактичного стану та справності, наявності фізичних дефектів, встановлення фактів недотримання експлуатаційних режимів, обставин використання недокументованих сервісних можливостей тощо. Загалом, видається, що зазначені методи є базовими (визначальними) спеціальними методами експертних досліджень апаратних об'єктів СКТЕ.

Методи дослідження програмних засобів можуть бути класифіковані за уявленням об'єкта експертизи:

  • методи дослідження вихідних текстів;
  • методи вивчення алгоритмів програм;
  • методи дослідження завантажувальних модулів (виконуваних кодів).

У свою чергу, експертиза завантажувальних програмних модулів використовує у своїй практиці такі основні методи як дисассемблювання програм, їх налагодження та моніторинг, при якому відстежуються всі переривання, що викликаються досліджуваною програмою. Кожен із названих методів може бути представлений групою методів приватно-ужиткового характеру, властивих саме типу розв'язуваних експертних завдань. Наприклад, у методах моніторингу, що застосовуються під час вирішення завдань дослідження шкідливих програм, розрізняють моніторинг оперативної пам'яті (перевірка контрольних сум), моніторинг дискової пам'яті (аналіз файлових сигнатур) та інших.

У ході експертного дослідження криміналістично значущої інформації (даних) широко використовуються методи, реалізовані в більшості стандартних утиліт та сервісних програм. За алгоритмами доступу та аналізу інформації ці методи можуть бути класифіковані як:

Експертні дослідження фактів та обставин, пов'язаних з використанням мережевих та телекомунікаційних технологій, зумовлює розвиток спеціальних методів цього виду СКТЕ. Так, в основі методологіїекспертиз мережевих інформаційних технологій мають бути покладені:

  • методи розподіленої обробки даних;
  • методи ієрархізації протоколів;
  • топологічні методи та методи доступу;
  • методи комутації та маршрутизації та ін.

  • методи протоколювання;
  • методи подання, дискретизації та квантування безперервних повідомлень, сигналів та перешкод;
  • аналогові та цифрові методи передачі повідомлень, методи об'єднання, поділу та комутації каналів (частотні, тимчасові, кодові);
  • методи модуляції та демодуляції радіо- та оптичних сигналів;
  • методи кодування та декодування повідомлень;
  • методи завадостійкого кодування;
  • методи стиснення інформації;
  • методи захисту інформації в мережах та каналах зв'язку та ін.

Можливості експертизи

Сучасний методичний та організаційний рівень СКТЕ характеризується як етап становлення нового роду судової експертизи. У зв'язку з цим більшість експертних завдань можуть вирішуватися поки що при розробці спеціальних експертних методик для кожного окремого випадку. Причому в кожній конкретній судово-слідчій ситуації рекомендується попередньо узгодити можливість проведення необхідного дослідження, а також коло завдань та питань, що ставляться на вирішення експерта.

У кримінальному судочинстві стосовно типових об'єктів аналізованого роду експертизи можливості судово-експертного дослідження комп'ютерних засобів і систем відображені в наступному методичному підході, що відображає сутність сучасної СКТЕ.

Дослідження системного блоку персонального комп'ютера проводиться шляхом:

  • візуального огляду внутрішніх апаратних компонент системного блоку;
  • вилучення зсистемного блоку жорсткого диска;
  • підключення до системного блоку монітора, клавіатури та маніпулятора «миша» та переривання його завантаження для визначення установок програми SETUP BIOS;
  • визначення системної дати, часу комп'ютера, інших конфігураційних установок у програмі SETUP BIOS;
  • завантаження операційної системи із системної дискети експерта та діагностування відповідними програмними засобами апаратних компонентів системного блоку (все виконується без жорсткого диска).

Дослідження носіїв комп'ютерної інформації проводиться шляхом:

Дослідження файлів проводиться шляхом:

Пошук ознак виконання несанкціонованих дій або використання спеціальних програм дистанційного адміністрування здійснюється шляхом:

Крім кримінального, безперервно зростають потреби у СКТЕ та інших видах судочинства. Так, нині, у зв'язку з глобальною комп'ютеризацією комерційної діяльності, виникає велика кількість суперечок (у т.ч. в арбітражних судах). Крім того, в адміністративному порядку захисту споживачів проводяться експертизи відповідно до норм КоАП України. До них відносяться експертизи за фактами порушення прав споживачів на придбання комп'ютерів та комп'ютерних систем належної якості та безпеки для життя та здоров'я, на отримання інформації про товари (комп'ютерні засоби) та про виробників цих засобів тощо.

У ході самозахисту у досудовій суперечці на заявлену вимогу споживача використовуються такі форми спеціальних знань у галузі комп'ютерних технологій: перевірка якості комп'ютерів та комп'ютерних систем (робіт з їх обслуговування, ремонту та ін.); експертиза якості комп'ютерів та комп'ютерних систем (в т.ч. проектних робіт зі створеннякомп'ютерних систем та ін.).

Основним завданням СКТЕ у зазначених справах є діагностика виробничих та експлуатаційних дефектів комп'ютерних засобів з метою встановлення їхньої вартості. Вирішується це завдання з використанням комплексного методичного підходу (в т.ч. з використанням товарознавчих спеціальних знань), за допомогою якого встановлюються факти та обставини наявності тих чи інших дефектів комп'ютерних засобів (загалом та за комплектуючими), зміни їх якостей (сутності зміни якості) , найменування та кількість комп'ютерних засобів, придатності для використання за призначенням та ін.