Диссертация (1173964), страница 32
Текст из файла (страница 32)
С помощью специалиста на осматриваемом компьютере (если он находится во включённом состоянии, возможно «спящем» режиме) необходимо: проверить наличие средств защиты информации, вирусных программ и удалённогодоступа. В случае их наличия, следует отключить специальные средства защитыинформации (в особенности те, которые автоматически уничтожают всю информацию при несанкционированном доступе), а также блокировать на компьютереудалённый доступ, т. к. он на компьютере, содержащем искомую следователеминформацию, поможет преступникам не только ее уничтожить, но и произвести скомпьютером и информацией, содержащейся в нем, любые действия, не подходяк обыскиваемому компьютеру.
Так, например, с помощью программы удалённогоуправления LiteManager Pro преступник, находясь в любом месте, может управлять питанием обыскиваемого компьютера (с помощью данного режима можновыключить, перезагрузить или включить компьютер функцией Wake-On-LAN;отключить или включить монитор и отправить его в «спящий» режим); управлятьи просматривать рабочий стол обыскиваемого удалённого компьютера; удалённозапускать программы на обыскиваемом компьютере; блокировать клавиатуру иэкран обыскиваемого компьютера; управлять файловой системой и осуществлятьдругие действия.4.
При осмотре компьютера, определить: какая операционная система установлена: какие были выполнены операции и какие использовались программы,начиная с включения компьютера (в случае, если он был включён). Изображение146на экране компьютера необходимо снять на видео (либо с помощью скриншота), вслучае необходимости, выполняемые программы остановить.На детальной стадии обыска при расследовании киберпреступлений следователю необходимо:5. При осмотре работающего компьютера: с помощью специалиста в случае,если нет угрозы уничтожения компьютерной информации, следует провести поисккомпьютерной информации, имеющей значения для расследуемого киберпреступления, в осматриваемом компьютере.
Поиск проводится, исходя из известных сведений об искомой компьютерной информации. Искомая информация в компьютереможет находиться на жёстком диске и в оперативной памяти. Если компьютернаяинформация, касающаяся расследуемого киберпреступления, найдена, то необходимо определить, где именно она находится.После проведения осмотра компьютера он по всем правилам выключается,упаковывается и изымается.При осмотре неработающего компьютера: зафиксировать его месторасположение, а также (если есть) его периферийных устройств; определить и зафиксировать соединения компьютера с телекоммуникационными сетями, периферийным оборудованием и иными устройствами; разъединить устройства с компьютером и подготовить для упаковки и изъятия.6.
При обнаружении на месте обыска (выемки) мобильного телефона,смартфона или планшетного компьютера для поиска в них нужной информации,относящейся к расследуемому преступлению, совместно со специалистом, можноприменить мобильный комплекс по сбору и анализу цифровых данных «UFED».С помощью этого мобильного комплекса можно извлекать данные на логическом уровне из большого количества устройств, таких как BlackBerry, iOS, Android,Nokia, Symbian, Windows Phone, Palm и телефонов на базе китайских чипсетов, извлекать журналы звонков, телефонную книгу, данные телефона (IMEI/номер телефона), SMS и MMS сообщения, фото- и видеоизображения, звукозаписи, чаты, пароли, разблокировать пароль обыскиваемого устройства одним нажатием, выполнять быстрый поиск и фильтрацию данных по дате, времени, типу связи, лицу, использовать контрольные списки, просматривать события в хронологическом поряд-147ке и по карте, а также извлечь данные приложений и частного пользовательскогооблака.
Мобильный комплекс по сбору и анализу цифровых данных «UFED»упрощает поиск информации в мобильных устройствах и, тем самым, во времяпроизводства обыска даёт возможность проверить наличие искомой информациии, следовательно, необходимость изъятия мобильного устройства.В случае, если нет возможности предварительно исследовать информациюв мобильном устройстве, следователь, по имеющимся у него сведениям, принимает решение о необходимости его изъятия.После производства обыска (выемки) вся обнаруженная компьютерная техника, содержащая искомую информацию по расследуемому киберпреступлению,перед изъятием должна быть правильно упакована и опечатана.
По окончанииобыска (выемки) составляется протокол следственного действия и описи к нему.2.3.3 Следственный эксперимент при расследовании киберпреступленийВ соответствии со ст. 181 УПК в целях проверки и уточнения данных, имеющих значение для уголовного дела, а также для установления их достоверностии получения новых доказательств, следователь вправе произвести следственныйэксперимент путём воспроизведения действий, а также обстановки или иных обстоятельств определённого события.
При этом проверяется возможность восприятия каких-либо фактов, совершения определённых действий, наступления какоголибо события, а также выявляются последовательность происшедшего события имеханизм образования следов.При расследовании производство данного следственного действия необходимо в случаях: сомнения в знаниях подозреваемого (обвиняемого) в области коммуникационно-телекоммуникационных систем и компьютерной техники; необходимости проверки времени подготовки, совершения и сокрытия киберпреступления; получение доказательств совершения конкретным лицом преступления и именно с использованием определённой компьютерной технологии.Тактику производства следственного эксперимента при расследованиикомпьютерных преступлений в своих работах рассматривали Н. Г.
Шурухнов,148Ю. В. Гаврилин, Р. А. Белевский и другие учёные1. В их работах рассматриваютсявопросы применения общетактических рекомендаций по следственному эксперименту в расследовании компьютерных преступлений. По нашему мнению, данныетактические рекомендации могут быть применены к следственному эксперименту врасследовании киберпреступлений с учётом обновлённых особенностей его подготовки.Выделяют следующие виды следственного эксперимента: а) по установлению возможности наблюдения, восприятия какого-либо факта, явления; б) поустановлению возможности осуществления какого-либо действия; в) по установлению возможности существования какого-либо явления; г) по установлению отдельных деталей механизма события; д) по установлению процесса образованияследов преступления.Виды следственного эксперимента2, проводимого при расследовании киберпрестулений, варьируются и зависят, прежде всего, от способов совершения преступления.
В практике при расследовании анализируемых преступлений проводятся следующие эксперименты: по проверке возможности подключения компьютерной техники и совершения действий с использованием определённой криминальной(компьютерной) технологии; по проверке подбора паролей, идентификационных кодов и установлению периода времени для данного подбора; по проверке возможности подключения к компьютерной сети и использования криминальной (компьютерной) технологии; по проверке возможности электромагнитного перехвата; по установлению периода времени, необходимого на отключение технических средств защиты информации; по установлению промежутка времени, необходимого для модификации, копирования компьютерной информации; по проверке возможности совершения определённых действий в киберпространстве в одиночку и другие.См.: Гаврилин, Ю.
В. Расследование преступлений, посягающих на информационную безопасность в сфере экономики: теоретические, организационно-тактические и методические основы…;Белевский, Р. А. Методика расследования преступлений, связанных с неправомерным доступом ккомпьютерной информации в сетях ЭВМ…; и др.2См.: Белкин, Р. С. Эксперимент в следственной, судебной и экспертной практике. М.: Юрид. литра, 1964. С. 223; Белкин, Р. С.; Белкин, А. Р. Эксперимент в уголовном судопроизводстве: методическое пособие. М.: ИНФРА М-НОРМА, 1997. С.
34.1149Перед производством следственного эксперимента следователю необходимо осуществить подготовительные мероприятия:1. Необходимо выяснить какие условия были в момент совершения киберпреступления и воссоздать их.В связи с тем, что киберпреступления совершаются при помощи компьютерной системы, сети и прочего, следователю необходимо выяснить характеристику компьютерной системы, задействованной в совершении киберпреступления; какая была использована сеть при совершении киберпреступления; какоепрограммное обеспечение было использовано преступником и другие обстоятельства, которые можно отнести к совершению расследуемого киберпреступления.Главным из условий сходства с моментом совершения преступления припроведении следственного эксперимента при расследовании киберпреступленийявляется использование подлинного или аналогичного технического средства, которое было использовано в совершении расследуемого киберпреступления.Реконструкция обстановки в данном случае не настолько важна, как техническая составляющая.
Как отмечалось ранее, киберпреступления – это преступления, совершаемые в киберпространстве, поэтому зачастую физическое местонахождения преступника (помещение или улица) в момент совершения киберпреступления для расследования не играет никакой роли. Поэтому в реконструкцииобстановки при производстве следственного эксперимента по большинству киберпреступлений нет необходимости. Однако, в случае, если необходимо провести следственный эксперимент для проверки возможности доступа к компьютерной информации, связанного с проникновением преступника в помещение, гдеустановлены средства компьютерной техники, реконструкция необходима1.2. Продумать содержание опытных действий.1См.: Гаврилин, Ю.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
