Задачи компьютерно-технической экспертизы

Экспертные задачи, которые являются одной из ключевых категорий общей теории судебной экспертизы, принято дифференцированно рассматривать как задачи рода, вида, подвида судебной экспертизы и задачи конкретного экспертного исследования. Применим данный подход к КТЭ.

Родовые задачи КТЭ обозначены выше в определении целей данного рода судебных экспертиз. Для достижения объективности получения сведений о фактах дела и установления обстоятельств в сфере современных информационных технологий, значимых для расследования и судебного рассмотрения, видовые задачи КТЭ определяются в соответствии с видовыми предметами экспертиз. За основу классификации задач КТЭ принимается конечная цель исследования по решению диагностических и идентификационных вопросов. Причём при определении диагностических задач исследуются не только свойства и состояние объекта КТЭ, но и механизм, процессы и действия по результатам применения (использования) компьютерного средства. А идентификационные задачи КТЭ имеют своей целью установить факт индивидуально-конкретного тождества или общей групповой принадлежности представленных объектов экспертизы. Кратко рассмотрим решаемые задачи каждого из указанных видов КТЭ.

При производстве аппаратно-компьютерной экспертизы решаются в основном следующие диагностические задачи:

определение вида (типа, марки), свойств аппаратного средства, а так же его технических и функциональных характеристик (например, для решения определённых функциональных задач);

определение фактического состояния и исправности аппаратного средства, наличия физических дефектов;

установление первоначального состояния аппаратного средства; выяснение изменений, внесённых в первоначальную конфигурацию (например, добавление дополнительных устройств (плат) расширения);

определение причин и условий изменения свойств аппаратного средства (например, причин износа и его степени, соблюдения (или несоблюдения) эксплуатационных режимов, появления дополнительных функций);

диагностирование свойств и состояния аппаратного средства по его отображению (например, в отношении пользователя - выявление уровня профессиональных навыков по использованию определённых аппаратных средств);

определение структуры механизма и обстоятельства события по его результатам за счёт использования выявленных аппаратных средств, как по отдельности, так и в комплексе в составе компьютерной системы;

определение условий (обстановки) применения аппаратных средств; установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения;

определение условий (обстановки) применения аппаратных средств, восстановление хронологической последовательности их использования, места действия и функционирования, установление причинности (например, причины неисправности, сбоя аппаратного средства).

В то же время этим видом экспертизы может проводиться установление групповой принадлежности и отождествление конкретных аппаратных средств по выделенным признакам – общим и частным (например, серийные номера, форм-факторы, ёмкость и структура накопителя, среднее время доступа к данным, скорость передачи данных, способ и плотность магнитной записи и др.).

При проведении программно-компьютерной экспертизы решаются следующие экспертные задачи, основными из которых являются, прежде всего, задачи криминалистической диагностики:

определение основных характеристик операционной системы;

выявление и исследование функциональных и потребительских свойств, а также настроек программного обеспечения, времени инсталляции;

определение фактического состояния программного продукта и состава соответствующих файлов, их параметров (объемы, даты создания, атрибуты и др.), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, свойства инфицирования, недокументированных функций и т.п.);

выявление признаков отношения программного обеспечения к системному или прикладному и т.д.;

диагностирование алгоритма программного продукта, видов использованных при его разработке инструментальных средств, а также типов поддерживаемых аппаратно - программных платформ;

установление первоначального состояния программы (например, при начальной инсталляции) и выявление возможных изменений;

определение причин, целей и условий изменения свойств и состояния программного обеспечения (преднамеренное изменение каких-либо функций, конфигурирование на конкретную аппаратную среду и др.), установление способа осуществления изменений в программе (например, воздействием вредоносной программы, ошибками программной среды, сбоем на аппаратном уровне, путём несанкционированного доступа и т.д.);

диагностирование свойств и состояния программы по ее отображению в реализованных задачах и подготовленных данных (по содержанию служебных, системных файлов), соответствия обеспечивающих аппаратных средств;

выявление структуры механизма события по результатам работы программного обеспечения и в динамике;

установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями.

Кроме этого, при проведении программно-компьютерной экспертизы могут решаться идентификационные задачи, связанные с индивидуальным отождествлением оригинала программы (инсталляционной версии) и её копии на носителях данных компьютерной системы, установлением групповой принадлежности программного обеспечения по общим признакам, выявление частных признаков программы, позволяющие в последствии идентифицировать её авторство, а также взаимосвязь с информационным обеспечением исследуемой компьютерной системы.

К диагностическим задачам информационно-компьютерной экспертизы (данных) относятся:

установление свойств, состояния и вида представления информации в компьютерной системе при её непосредственном исследовании;

определение фактического состояния информации, выяснение наличия или отсутствия в ней отклонений от типового состояния в соответствующих объектахов КТЭ (например, имеются ли вредоносные включения, несоответствие формата информации и нарушение его целостности);

установление первоначального состояния информации на носителе данных (например, каково было содержание данных до их удаления или модификации);

определение причин и условий изменения свойств исследуемой информации (например, выяснение условий внесения изменений в содержимое файла, запись на пластиковой карте, данные ППЗУ и т.п.);

определение механизма, динамики и обстоятельств события (дела), установление отдельных этапов (стадий, фрагментов) события по имеющейся информации на носителе данных или её копиям (например, подготовка нескольких копий делового письма и его рассылка факсимильной программой в разные адреса);

определение времени (периода), хронологической последовательности воздействия на информацию (например, установление стадий подготовки изображений денежных знаков, оттисков печатей т.п.);

выявление следов возможных участников события по признакам, характеризующих определённые профессиональные и пользовательские навыки, умения, привычки, установление их роли, места и условий при которых была создана (модифицирована, удалена, скопирована) информация;

установление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например, связи между удалением информации и нарушением работоспособности компьютерной системы);

диагностирование возможных последствий по совершенному действию и возможности его совершения (например, определение возможности модификации банковской информации в базе данных и последующего её использования программным обеспечением).;

установление соответствия либо несоответствия действий с информацией специальному регламенту (правилам) (например, диагностирование признаков корректного доступа к защищенной паролем информации).

К идентификационными задачами информационно-программно-компьютерной экспертизы можно отнести индивидуальное отождествление данных содержания файла с данными в копии исследуемого файла, либо в представленном документе (в т.ч. в бумажной копии в комплексе с технико-криминалистическим исследованием документов). Групповая принадлежность может устанавливаться при поиске общего источника происхождения информации на носителях данных компьютерной системы, а также при определение класса, вида и типа программного обеспечения, при помощи которого были порождены (созданы) исследуемые данные.

Для компьютерно-сетевой экспертизы характерна следующая группа экспертных задач:

определение свойств и характеристик аппаратного средства и программного обеспечения по отношению к вычислительной сети; установление места, роли и функционального предназначения исследуемого объекта средства в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства – отношение к серверу, рабочей станции, активного сетевого оборудования и т.д.); установление фактов наличия и использования в средствах сети нестандартного оборудования;

выявление свойств и характеристик вычислительной сети, установление её архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным;

определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии; определение принадлежности средства к серверной или клиентской части приложений; выявление вида реализации серверной части (файл-сервер, сервер приложений, сервер-баз данных и т.п.);

определение фактического состояния и исправности сетевого средства, наличия или отсутствия каких-либо отклонений от типовых параметров, наличия физических дефектов, сбойного программного обеспечения, состояния системного журнала, компонент управлением доступа;

установление первоначального состояния вычислительной сети в целом, и каждого сетевого средства в отдельности, возможных признаков места, времени и технологии изготовления (сборки) и инсталляции, возможного места покупки (приобретения), уточнение изменений, внесённых в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере, либо рабочих станциях и пр.);

определение причин и условий изменения свойств вычислительной сети (например, по организации уровней управления доступом; установление факта нарушения режимов эксплуатации сети; выявление условий противоправной модификации информационных ресурсов сети, фактов (следов) использования внешних («чужих») программ и т.п.);

диагностирование свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, RAID-массивы; жёсткие диски, флоппи-диски, CD-ROM, ZIP-накопители и т.п.); выявление признаков профессионального уровня системного администратора, пользователей рабочих станций по эксплуатации конкретных аппаратно-программных средств, использованию функциональных приложений клиентской части и пр.;

определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т.д.);

определение условий (обстановки) применения сетевых средств, восстановление хронологической последовательности их использования, места действия и функционирования, установление причинности (например, причины аппаратных и программных конфликтов в сети, блокирования серверной и клиентской информации); установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.

Как видно, задачи компьютерно-сетевой экспертизы охватывают практически все основные задачи рассмотренных выше видов КТЭ, т.е. решение аппаратных, программных и информационных аспектов установления фактов и обстоятельств по делам. Тем не менее, следует ещё раз подчеркнуть, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.

В целом, все рассмотренные выше видовые задачи КТЭ могут быть детализированы также и для каждого этапа экспертного исследования (стадии экспертизы). Так, например, частными задачами КТЭ в зависимости от алгоритма доступа и анализа информации, хранящейся на представленных носителях данных, являются: диагностика и установление содержимого носителя, реализация доступа к данным, распознавание форматов данных, разархивация, поиск и просмотр файлов (в.ч. их фрагментов), восстановление удаленных файлов, выполнение программного кода, декомпиляция программного кода и его трассировка, анализ файла регистрации, просмотр и проверка файла данных, снятие парольной защиты, расшифровка и т. д.

Особо следует подчеркнуть, что конкретные экспертные задачи КТЭ ставятся перед экспертом при производстве определённой экспертизы. Вообще говоря, они не тождественны вопросам, сформулированным в постановлении (определении). Иногда несколько вопросов направлены, по существу, к решению одной экспертной задачи. И наоборот, один вопрос может включать решение двух и более задач.