<<
>>

Методы и технические средства применения специальных знаний

Поиск и закрепление доказательственной информации в ком­пьютерной сети при расследовании компьютерных и иных престу­плений связаны с использованием специальных знаний.

Рассмотрим различные ситуации применения специальных зна­ний, влияющих на порядок проведения исследования:

А.

По функциональному состоянию ПК:

1) на ПК выполняются определенные задачи;

2) ПК находится в неактивном состоянии.

Б. По вхождению ПК в компьютерную сеть:

1) отдельно стоящий ПК не имеет ни проводного соединения, ни беспроводного.

2) ПК подключен к компьютерной сети.

В случае А.1. на компьютере существуют 3 группы следов [14], которые необходимо закрепить до завершения работы всех процес­сов и работы системы, т.е. исследование необходимо проводить по месту нахождения объекта исследования. Дальнейшее исследова­ние аналогично А.2, т.е. может проводиться в экспертном учреж­дении.

В случае Б.2. целесообразно исследовать отдельные параметры, зависящие от работы сети, без вычленения ПК из объективной об­становки.

При нахождении функционирующего ПК в сети, предлагается начать КТЭ на месте проведения следственного действия и закон­чить в экспертном учреждении.

При исследовании компьютерной сети подлежат установлению и закреплению:

1. Системное время и время ОС. Время устанавливается в слу­чаях необходимости сравнения времени в электронных журналах и др. Однако системное время (BIOS) может отличаться от времени опера­ционной системы. Так, например, в ОС Linux команды: time/date - вы­водит время и дату операционной системы; clock - выводит системное время. Результат выполнения указанных команд может не совпадать.

2. Следы сетевого взаимодействия. Исследование сетевых идентификаторов требует выполнения специальных программ, при­чем результат выполнения будет содержать:

1. Непонятные неспециалистам слова, коды, аббревиатуры, спе­циальные последовательности.

Например, NIC, DHCP, DNS, WINS, Physical Address [15].

Результат выполнения команды F:\>ipconfig /all для сетевого адаптера, который получает настройки от сервера сети (DHCP).

2. Результаты, расшифровки которых нет в официальных ис­точниках на национальном языке. Например, недокументированных сетевых параметров сети MicroSoft

3. Данные, существующие непродолжительное время. Напри­мер, содержимое arp-таблицы, сетевых соединений; результат вы­полнения команды arp-a.

3. Настройки системы, устройств. А.В.Горбачев [18] предла­гает определить количество и тип установленных операционных си­стем (ОС). Если установлены системы семейства Microsoft Windows, то необходимо установить серийный номер каждой и имена зареги­стрировавших их лиц.

Предлагается любой из двух способов:

1. С помощью специализированных программ. При их исполь­зовании необходимо зафиксировать полученные данные, сохранив их в отдельный файл.

2. Используя данные реестра. Реестр - база данных операционной системы, содержащая конфигурационные сведения. Физически вся информация реестра разбита на несколько файлов. Реестры Windows 9х и NT, XP частично различаются. Например, по пути реестра за­пущенной операционной системы - HKEY_LOCAL_MACHINE \ Software \Microsoft \Windows(Windows NT) \ CurrentVersion, в зна­чении строкового параметра ProductKey (ProductID) храниться се­рийный номер ОС, RegisteredOrganization, RegisteredOwner - дан­ные лица и организации, зарегистрировавших данную копию ОС, PathName - рабочий каталог Windows. Аналогично, зная путь к иско­мому параметру, специалист устанавливает необходимую КИ. Отме­тим, что такие способы характерны для каждой ОС. Так, настройки для ОС Linux находятся в папке etc.

4. Исследование процессов и привилегий. Некоторые измене­ния отражаются не в видимых признаках, а в изменении определен­ных параметров, например, привилегий. Такая КИ будет важной для решения вопросов о несанкционированном доступе и др.

5. Проведение экспериментов, исследование почты и фик­сация трафика.

Специальные знания применяются не только для исследования следов событий, которые уже произошли. На практи­ке возникает необходимость подготовить и провести определенное исследование. Например, оценить пропускную способность предо­ставленного канала связи. Для этого существует ряд программного обеспечения, такого, как ping, bang, iptraff и другие биллинговые си­стемы. П. Павел [19] предлагает подробное описание действий, по­зволяющих исследовать почтовый сервис: службы whois и DNS для получения информации о том, какие почтовые серверы обслужива­ют доменное имя. Предлагаются методики оценки правильности ра­боты почтовых серверов, для этого следует выполнить подключение к порту отправки (25-smtp) и выполнить ряд команд, в зависимости от реакции на такие команды специалист (эксперт) делает выводы о настройках почтового сервиса.

6. Создание образов данных и контрольных параметров. Ис­следование компьютерной техники и сети на месте проведения след­ственного действия необходимо для закрепления следов, которые могут быть утрачены после выключения компьютера, а также для проведения исследования компьютера в сети без его вычленения из объективной обстановки, с целью получения полной и объективной информации.

Если такие данные закреплены, то дальнейшее исследование может быть продолжено в экспертном учреждении. В целях обеспе­чения сохранности информации на носителях, необходимо создавать копии внутренних носителей информации (даже если для исследова­ния изъят системный блок).

И. Ена указывает на необходимость копирования программ и фай­лов, которые находятся на винчестере (жестком диске) в случае, если на момент проведения обыска компьютер был включен. Однако такой подход потребует больших ресурсов (сменных носителей и времени) и не может обеспечить резервирования современных носителей [23].

М. Разумов предлагает создавать образ исследуемого носителя и в дальнейшем производить поиск информации на нем. Первым ша­гом в экспертном исследовании жесткого диска компьютера необходи­мо создать «побитную» копию или образ (image), содержащий каждый бит информации, независимо от того, является ли он частью файловой системы или нет.

Создание образа позволяет получить основу, которая может быть подвержена глубокому анализу без опасения изменения со­держания исходного вещественного доказательства. Для снятия образа в компьютерной экспертизе используют различные утилиты, некото­рые из наиболее популярных EnCase SafeBack Data dumper (dd) [24].

После создания образа начинается поиск криминалистически значимой информации. Существуют как коммерческие инструменты для анализа образов, так и свободно распространяемое ПО с откры­тым кодом - TASK и Autopsy. Для анализа диска и файлов предлага­ются следующие инструменты:

• find: инструмент Unix для поиска модифицированных фай­лов. Такой инструмент позволяет проводить поиск файлов, ключевых слов с помощью регулярных выражений;

• Forensic Toolkit [25]: то же самое для Windows для анализа файловой системы NTFS;

• The Coroner’s Toolkit [26]: инструмент Unix для анализа по­врежденных и взломанных систем.

Актуальной проблемой является сертификация используемого программного обеспечения и определение следующих параметров: во-первых, необходима оценка ошибки в действиях ПО; во-вторых, необходим алгоритм выполняемых действий; в-третьих, следует оце­нить компьютерную информацию, которая модифицируется вслед­ствие работы ПО. Указанные вопросы имеют важное значение и тре­буют определенного вклада со стороны экспертных учреждений.

При создании копий возникает проблема подтверждения це­лостности и аутентичности копии. Для этого возможно использова­ние алгоритма MD5. Такой алгоритм дает число, называемое «дайд­жест сообщение», значение которого определяется расположением данных на диске (MD5 также можно использовать для нахождения дайджестов файлов).

Существуют также и готовые инструменты для контроля це­лостности: Tripwire [27]: коммерческий продукт, как для Unix, так и для Windows; AIDE [28]: схожий, но бесплатный исходно открытый инструмент для Unix.

<< | >>
Источник: П.В. Лещев, Р.Р. Юлдашев. КРИМИНАЛИСТИКА: ИСПОЛЬЗОВАНИЕ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ В ЭКСПЕРТНЫХ ИССЛЕДОВАНИЯХ Учебное пособие. 2013

Еще по теме Методы и технические средства применения специальных знаний:

  1. ВОПРОС О МЕТОДЕ РАСКРЫТИЯ И РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ
  2. 2. КЛАССИФИКАЦИЯ СРЕДСТВ КРИМИНАЛИСТИЧЕСКОЙ ТЕХНИКИ
  3. 2. ТЕХНИЧЕСКИЕ СРЕДСТВА ОРГАНОВ ДОЗНАНИЯ (ТЕХНИКА СОТРУДНИКОВ ОРГАНОВ ДОЗНАНИЯ)
  4. 2. ОБЩИЕ ПОЛОЖЕНИЯ СОБИРАНИЯ КРИМИНАЛИСТИЧЕСКОЙ ИНФОРМАЦИИ ТЕХНИЧЕСКИМИ СРЕДСТВАМИ
  5. 3. ФОРМЫ ИСПОЛЬЗОВАНИЯ ТЕХНИЧЕСКИХ СРЕДСТВ И СПЕЦИАЛЬНЫХ ЗНАНИЙ ДЛЯ ПОЛУЧЕНИЯ КРИМИНАЛИСТИЧЕСКОЙ ИНФОРМАЦИИ
  6. 4. ПРЕДЕЛЫ ДОПУСТИМОСТИ ИСПОЛЬЗОВАНИЯ ТЕХНИЧЕСКИХ СРЕДСТВ И СПЕЦИАЛЬНЫХ ЗНАНИЙ ПРИ ПОЛУЧЕНИИ ИНФОРМАЦИИ
  7. Методы сбора и обработки информации
  8. Глава 23. Использование специальных познаний в деятельности органов следствия и дознания
  9. 4.1. ОБЩАЯ, СПЕЦИАЛЬНЫЕ И КОНКРЕТНЫЕ ЗАДАЧИ КРИМИНАЛИСТИКИ
  10. 4.2.  Общая  характеристика  форм,  методов  и  средств фиксации  доказательственной  информации
- Авторское право - Аграрное право - Адвокатура - Административное право - Административный процесс - Акционерное право - Бюджетная система - Горное право‎ - Гражданский процесс - Гражданское право - Гражданское право зарубежных стран - Договорное право - Европейское право‎ - Жилищное право - Законы и кодексы - Избирательное право - Информационное право - Исполнительное производство - История политических учений - Коммерческое право - Конкурсное право - Конституционное право зарубежных стран - Конституционное право России - Криминалистика - Криминалистическая методика - Криминальная психология - Криминология - Международное право - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Образовательное право - Оперативно-розыскная деятельность - Права человека - Право интеллектуальной собственности - Право собственности - Право социального обеспечения - Право юридических лиц - Правовая статистика - Правоведение - Правовое обеспечение профессиональной деятельности - Правоохранительные органы - Предпринимательское право - Прокурорский надзор - Римское право - Семейное право - Социология права - Сравнительное правоведение - Страховое право - Судебная психиатрия - Судебная экспертиза - Судебное дело - Судебные и правоохранительные органы - Таможенное право - Теория и история государства и права - Транспортное право - Трудовое право - Уголовное право - Уголовный процесс - Философия права - Финансовое право - Экологическое право‎ - Ювенальное право - Юридическая антропология‎ - Юридическая периодика и сборники - Юридическая техника - Юридическая этика -