Компьютерно-техническая экспертиза (КТЭ), проведение ктэ, относится к самостоятельному роду судебных экспертиз, относящихся к классу инженерно-технических экспертиз, которые проводятся с целью установления статуса объекта как компьютерного средства, выявления и дальнейшего изучения его следовой картины в рамках расследования уголовного преступления. Кроме того, компьютерно-техническая экспертиза призвана обеспечить доступ к информации, которая находится на носителях данных с их последующим, всестороннем и тщательнейшим исследованием.
Объектами исследования в рамках проведения компьютерно-технической экспертизы являются:
○ В классе аппаратных объектов:
— Персональные настольные или портативные компьютеры;
— Принтеры, модемы и иные устройства, относящиеся к классу периферийных;
— Сетевые аппаратные средства, к которым относятся серверы, различное активное оборудование, сетевые кабели, рабочие станции и т.д.;
— Различные интегрированные системы, например, органайзеры, пейджеры, мобильные телефоны, контрольно-кассовые аппараты и т.д.
— Любые, основанные на микропроцессорных контроллерах, системы, относящиеся к классу встроенных (например, иммобилайзеры, круиз-контроллеры, транспондеры и т. п.);
— Любые комплектующие детали всех указанных компонент (аппаратные блоки, микросхемы, платы расширения и т.д.).
○ В классе программных объектов:
— Системное ПО (программное обеспечения компьютерного устройства);
— Прикладное ПО;
○ В классе информационных объектов (данные):
— Любые, изготовленные при помощи компьютерных средств, текстовые или графические документы;
— Данные, представленные в мультимедийных форматах;
— Сведения, представленных в форматах баз данных и каких-либо иных приложений, которые имеют сугубо прикладной характер;
Компьютерно-техническая экспертиза призвана ответить на следующий перечень вопросов:
В рамках задач по исследованию аппаратных средств:
— К какому типу (марке, либо модели, либо конфигурации) относится компьютерная система (либо её отдельные части), представленная к исследованию?
— Возможно ли решить определенные функциональные либо потребительские задачи (какие именно – указывается отдельно) с помощью компьютерной системы, представленной для исследования?
— Способна ли компьютерная система, представленная для исследования, исправно функционировать? Какие именно неисправности выявлены в ходе её работы?
— Есть ли какие-либо признаки (конкретный перечень указывается отдельно), указывающих на нарушение правил эксплуатации компьютерной системы в целом?
— Какие именно носители информации представлены в исследуемой компьютерной системе?
— К какому типу (марке, модели, виду) относится представленный носитель информации и каковы его технические характеристики?
— Какое именно устройство определено для работы с представленными носителями информации?
— Присутствует ли в составе компьютерной системы, предназначенное для исследования, устройство, используемое для работы (чтение или запись данных) с представленными носителями информации?
— Присутствуют ли на носителе данных какие-либо сведения (например, имена, пароли, права доступа и т.д.) о собственнике или пользователе компьютерной системы, представленной для исследования?
— Из какого именно оборудования состояло аппаратное обеспечение системного блока, представленного для исследования в рамках КТЭ?
В рамках исследования программных средств:
— Присутствуют ли на носителях информации компьютерной техники, изучаемой в ходе проведения исследования, какая либо информация о подключении и дальнейшем использовании сетевого оборудования в Интернете?
— Какие конкретно коды доступа (логины, пароли) были назначены для подключения к оборудованию провайдера и дальнейшей работы в Интернете?
— В какие именно промежутки времени пользователь подключался к оборудованию провайдера и выходил в Интернет?
— Присутствуют ли на носителях информации компьютерной техники, являющейся объектом исследования в ходе проведении КТЭ, программы, предназначенные для обмена сообщения межу пользователями? Если да, то какие реквизиты отправителя и адресата имеются на носителях информации? Какие именно сообщения были приняты либо отправлены, в какое время, кому и от кого именно?
— Какое именно функциональное предназначение определено для исследуемой прикладной программы?
— Присутствует ли на носителях информации программное обеспечение, предназначенное для решения конкретной потребительской задачи?
— Присутствуют ли на программном обеспечении, представленном для исследования, какие-либо реквизиты разработчика либо правообладателя данного ПО? Если да, то какие они именно?
— Какое именно функциональное предназначение имеет программное обеспечение объекта, представленного для исследования? Какова ее техническая характеристика?
— Какие именно экземпляры программных продуктов присутствуют на CD-дисках, представленных для исследования?
— Присутствуют ли но носителе данных системного блока, являющегося объектом исследования в ходе проведения КТЭ, архивные файлы, которые были созданы с применением кодов доступа и располагающие файлами, обозначенные именем вида «…», а также произвольным расширением имени?
— Если да, то о каком именно внутреннем формате выявленных архивов может идти речь? Какие пароли были использованы для их создания? В каком формате были созданы файлы, присутствующие в выявленных архивах? Каковы их функциональные особенности, назначения?
— Присутствуют ли среди файлов, представленных в выявленных архивах, файлы, предназначенные для исполнения? Если да, то имеются ли признаки модификации, осуществленной после их компиляции?
— Присутствуют ли (здесь следует наименования объекта, представленного для исследования) программы, предназначенные для обхода защитных программ программного продукта «Наименования программного продукта»? Если да, то каково их функциональное предназначение и механизм функционирования?
— Присутствуют ли на накопителе на жестких магнитных дисках экземпляры программного продукта «…»? Если да, то о какой именно версии этой программы либо иных данных, позволяющих индивидуализировать программу, идет речь?
— Способен ли функционировать экземпляр программы, установленной пользователем? Каковы обстоятельства при которых данная программа была установлена и использована в компьютерной системе?
— Используются ли при установке и дальнейшем функционировании данной программы какие-либо средства защиты от ее несанкционированной компиляции? Если да, то о каких именно защитных средствах может идти речь?
— Можно ли говорить о том, что в процессе установки экземпляров данных программ были произведены действия, направленные на отключение средств защиты авторских прав? Если да, то о каких именно действиях может идти речь?
○ В рамках вопросов по изучению информации:
— Имеется ли в представленных базах данных информация о производстве «…» (здесь указывается наименование исследуемого документа, его номер, от какой и на какую дату)? Если да, то о какой именно информации «…» (грузополучатель, грузоотправитель, сумма, НДС и т.п.) может идти речь?
— При каких именно обстоятельствах был создан исследуемый документ?
— Может ли идти речь о том, что при изготовлении документов была использована компьютерная техника, представленная для исследования? Если да, то имеются ли в памяти компьютера признаки изготовления данного документа?
— Какие именно сведения, имеющие отношение к обстоятельствам дела, по которому проводится расследование, присутствуют на носителе данных? Каков формат их представления (скрытый, удалённый, архивный, явный)?
— Присутствуют ли на носителе данных сведения, аутентичные по своему содержанию образцам, представленным для исследования? Каков формат их представления (явный, скрытый, удаленный, архивный)?
— Каков формат выявленных данных (текстовые документы, базы данных, графические файлы и т.д.)? Какие программные средства могут быть использованы для их обработки?
— Присутствуют ли на носителях информации, представленных для исследования (CD-диски, магнитные диски и т.д.) файлы с изображением «…»? Если да, то в какое время они были созданы? Когда в последний раз подвергались редакции, выходили на печать и т.д.?
— Присутствуют ли на (здесь указывается конкретное наименование представленного объекта) сведения о (формат интересующей информации: конкретные имена, названия предприятий и т.д.)? Если да, то в какое время они были созданы? Когда последний раз подвергались редакции, выходили на печать и т.д.?
— Присутствуют ли в компьютерной системе какие-либо признаки (здесь список интересующих признаков) доступа к данным?
— Была ли в компьютерной системе реализована какая-либо система защиты доступа к имеющимся в ней сведениям? Существуют ли какие-либо возможности для их преодоления? Если да, каковы они?
○ Вопросы комплексного изучения системы компьютера (ставятся при проведении экспертизы целостной компьютерной системы, устройства):
— Можно ли говорить о том, что представленное оборудование является компьютерной системой?
— Можно ли говорить о том, что оборудование, представленное для исследования, является целостной компьютерной системой или же ее отдельной частью?
— Марка (тип, модель) компьютерной системы?
— Каковы общие характерные особенности изготовления компьютерной системы в целом или ее компонент?
— Какими техническими характеристиками, а также конфигурацией (составом) обладает исследуемая компьютерная система?
— Можно ли говорить о том, что конфигурация компьютерной системы является типовой, или же она специально она расширена для решения конкретных задач?
— Какие именно задачи решает компьютерная система? Располагает ли она какими-либо наиболее выраженными функциями (потребительскими свойствами)?
— Способна ли компьютерная система решать какие-то определенные функциональные (потребительские) задачи?
— Способна ли компьютерная система нормально функционировать? Имеет ли она какие-либо дефекты (физические либо механические) или отклонения от нормальных функциональных параметров?
— Каким именно перечнем режимов эксплуатации располагает компьютерная система, какие конкретно используются (инсталлированы) в ней?
— Присутствуют ли в компьютерной системе сервисные возможности, не имеющие документации? Если да, то о каких именно возможностях идет речь?
— Какими именно носителями информации обладает компьютерная система? Существует ли в ней какие-либо средства защиты информации? Если да, то используются ли они?
— Какая конкретно система защиты информации присутствует в компьютерной системе, представленной для исследования (её тип, вид, технические характеристики)? Существуют ли какие-либо возможности по их преодолению?
— Какая система защиты информации имеется в представленной компьютерной системе? Каков тип, вид и характеристики этой системы защиты? Каковы возможности по ее преодолению?