Диссертация (1173964), страница 34
Текст из файла (страница 34)
На крышке имеется бумажная этикетка белого цвета с маркировкой: производитель “Seagete”, модель «ST3120022A»,объем «120 Gbytes», серийный номер «S/N 3JT05R5V». Джампер (перемычка) установлен в положение “Master”.Для проведения исследования представленный на экспертизу накопитель на жёстких магнитных дисках (НЖМД) с помощью устройства Mobile Rack был подключён к компьютеру эксперта. Параметры подключения НЖМД к компьютеру определены автоматически, НЖМД опознан компьютером и работает правильно.
При помощи специализированного программного обеспечения Norton Ghost 10 в режиме “Disk to Disk” было осуществлено побитное клонированиежёсткого диска, представленного на исследование системного блока на дополнительный дискстендового компьютера. Полученная точная копия диска использовалась для разрешения поставленных перед экспертом вопросов. При дальнейшем исследовании данного НЖМД установлено,что он имеет 1 раздел (логический диск С) объёмом 118 Гб. Для ответа на поставленный передэкспертом вопрос был осуществлён поиск системного реестра на жёстком диске и его экспорт втекстовой файл. Анализ реестра показал, что программно-аппаратные средства исследуемогокомпьютера работали под управлением операционной системы Microsoft Windows 98.155Далее исследованием структуры каталогов ОС, по адресу С:\Windows\winlogo.
Gif, обнаружен графический файл с логотипом ОС Windows 98. При исследовании реестра операционной системы определено имя компьютера – «007». Далее был проведён поиск информации всистемном реестре операционной системы представленного на исследование жёсткого дискас помощью программы RegView. В ходе исследования обнаружены программные средства исведения об аппаратных ресурсах. Таким образом, из найденных сведений на жёстком дискеэкспертом был сделан вывод, что представленный на исследование НЖМД находился в составе аппаратного комплекса персонального компьютера, в который были установлены или когда-либо подключались вышеперечисленные программные средства и аппаратные ресурсы1.Программно-компьютерная экспертиза назначается для исследования программногообеспечения компьютерной системы.
Компьютерно-сетевая экспертиза - решение аппаратных,программных и информационных аспектов установления фактов и обстоятельств по делам(объекты функционируют в сети). Например, в период январь-май 2005 года с телефонного номера 44-32-**, установленного по адресу г. К. через провайдера ОАО «***» С. осуществлялся неправомерный доступ к сети Интернет с использованием реквизитов сетевого доступа, принадлежащих ООО «М». В последующем, в начале июня 2005 года, он удалил ранее настроенные соединения, о чем дал соответствующие показания. 29 июня 2005 года в ходе обыска, проведённогопо адресу г. К. у Сергеева И.
А. был изъят системный блок персонального компьютера. Быланазначена компьютерно-техническая экспертиза. На разрешение эксперта были поставленывопросы: Имеется ли в составе системного блока персонального компьютера, представленногона исследование, оборудование (модем, иное), предназначенное для обеспечения работы пользователей в сети Интернет? Каковы настройки программ, обеспечивающих дозвон пользователяСергеева И. А.
до провайдера и последующую его работу в сети Интернет? Осуществлялся лидосту к сети Интернет в период с января по май 2005 г. с использованием программных и аппаратных средств системного блока, предоставленного на экспертизу? Имеются ли в файлах нажёстком магнитном диске системного блока компьютера, представленного на исследование,сведения о получении, использовании, передаче логинов и паролей пользователей? Имеются ли нажёстком магнитном диске системного блока компьютера, представленного на исследование,программы, предназначенные для подготовки и осуществления несанкционированных подключенийк сетевым компьютерам, а также иные вредоносные программы? Если да, то имеются ли следыиспользования указанных программ? Имеются ли на жёстком магнитном диске системного блокакомпьютера, представленного на исследование, программы обмена сообщениями? Если да, то, какие именно? Какие сообщения были приняты или отправлены с их помощью?По результатам экспертного исследования было выявлено, что для доступа к сети Интернет с исследуемого системного блока ПК использовалось следующее оборудование:1Архив ГУ Калининградской ЛСЭ Минюста России, заключение экспертов № 2333/21 от 27.09.2007 г.1561.
внешний подключаемый USB модем телефона Motorola 650; встроенный PCI Lucent WinModem. Для модема телефона Motorola 650, связь осуществлялась через IP адрес провайдера"UserInit"="AT+CGDCONT=1,\"IP\",\"internet.volga\, телефон провайдера*99#, оператор GSMGPRS WAP услуг – “Mеgafon”, имя пользователя «inet», пароль «inet». Для модема PCI Lucent WinModemсвязьосуществляласьчерезIPадреспровайдера"UserInit"="AT+CGDCONT=1,\"IP\",\"internet.volga\, по телефону 321414, имя пользователя «card», пароль «050330231card».2. Выход в сеть Интернет осуществлялся с 13 по 14 мая 2005 г.
Из восьми проведенных соединений, шесть выполнены пользователем с условным именем "help", с помощью USB модема телефона Motorola 650 и два соединения – пользователем с условным именем "050330231", с помощью модема PCI Lucent Win Modem.3. Информации, указывающей на получение, использование и передачу логинов и паролейпользователей на жёстком диске ПК не обнаружено.4. На жёстком диске исследуемого ПК имеются программы: Brutus A2, предназначенная для доступа к сетевым ресурсам и подбора паролей пользователей методом перебора пословарю и Xavior R1.0. Beta, предназначенная для сканирования удалённых компьютеров, выявления открытых для доступа ресурсов и подбора паролей к ним. Кроме того, на диске имеются файлы, содержащие описания компьютерных вирусов и методов несанкционированного доступа к компьютерным системам.5.
На жёстком диске ПК имеется программа для передачи сообщений в сети Интернет– ICQ. Пользователь «help» использовал адрес электронной почты «Flap**@mail. Ru». Пользователь программы ICQ использовал для передачи сообщений имена «Михей», «Кирюха»,«Натаха», «Бегемот».В сообщениях, отправленных и полученных пользователем, содержится информация орегистрационных номерах других пользователей ICQ: 324852705, 252476117, 329878811,329984053 239878811 295984053. Полный архив сообщений программы ICQ скопирован экспертом на компакт-диск формата CD-R, снабжённый наклейкой с текстом «CD ICQ», который прилагается к заключению эксперта1.Информационно-компьютерная экспертиза – это экспертное исследование,направленное на поиск, обнаружение, анализ и оценку информации, подготовленной пользователем или порождённой (созданной) программами для организацииинформационных процессов в компьютерной системе.**** В период январь-май 2007 года курсант И., осуществлял доступ в сеть Интернетс использованием вредоносных программ для сбора конфиденциальной информации.
На экспертизу поступил: НЖМД упакованный в бумажный пакет. На разрешение эксперта были по1Архив ГУ Калининградской ЛСЭ Минюста России, заключение экспертов № 2430/21 от 20.09.2007 г.157ставлены вопросы: 1). Присутствуют ли на представленном жёстком диске файлы-архивы,созданные с использованием пароля и содержащие файл или файлы с именем вида 00000011 ипроизвольным расширением имени? 2). Если да, то каков внутренний формат этого архива? Сиспользованием, какого пароля он создан? Каков внутренний формат файлов, содержащихся вэтом архиве, каковы особенности их применения, назначения, функционирования?По результатам экспертного исследования было выявлено, что на представленном жёстком диске имеется файл-архив «inztall.zip», содержащий файлы с именами 00000011.txt иWonderland .zip. Файл «Wonderland.
Zip», является файлом переименованного компьютерного вируса. Файл «00000011.txt» содержит в шестнадцатеричном виде два символа «0D 0A»1.Судебная компьютерно-техническая экспертиза при расследовании киберпреступлений зачастую назначается на первоначальном этапе расследования, когда уже проведены осмотр места происшествия, обыск и выемка, однако, информации для дальнейшего расследования недостаточно.Следователь принимает решение о необходимости назначения судебнойкомпьютерно-технической экспертизы объектов, найденных и (или) изъятых припроизводстве указанных следственных действий.После принятия решения о производстве СКТЭ следователь сталкивается спроблемой указания разновидности судебной компьютерно-технической экспертизы.
Как отмечает М. М. Менжега, указание следователем той или иной разновидности компьютерной экспертизы может привести к излишнему усложнениюназначения экспертизы, либо к сложностям при производстве экспертизы или приответе на поставленные вопросы2. Схожей точки зрения придерживаются В.
В.Поляков и А. В. Шебалин, отмечая, что следователю достаточно отметить родэкспертизы – СКТЭ, – а эксперт, проанализировав вопросы и оценив объекты, самопределит вид экспертизы3. Однако, с их мнением нельзя согласиться, т. к. эксперт самостоятельно не определяет вид экспертизы.Согласно ст. 199 УПК РФ необходимые материалы при назначении экспертизы направляются руководителю соответствующего экспертного учреждения. РукоАрхив ГУ Калининградской ЛСЭ Минюста России, заключение экспертов № 2433/21 от 29.09.2007 г.2Менжега, М.
М. Указ. соч. С. 122.3Поляков, В. В.; Шебалин, А. В. К вопросу о назначении компьютерно-технической экспертизы,объектом которой является смартфон по преступлениям в сфере компьютерной информации: Сб.м-лов криминалистических чтений / Под ред. Ю. Л. Бойко. Барнаул, 2013. С. 85.1158водитель этого учреждения сам определяет, какой эксперт будет производить экспертизу.
Поэтому можно согласиться с точкой зрения М. М. Менжеги, что в случае,если у следователя нет возможности взаимодействовать со специалистом (экспертом) и получить у него консультацию по определению вида СКТЭ, руководительэкспертного учреждения помогает решить ряд проблем, связанных как с разъяснением вопросов, которые могут быть решены экспертом в рамках назначаемой компьютерно-технической экспертизы, так и определением объёма материалов, вещественных доказательств и объектов исследования, которые необходимы эксперту дляполного и всестороннего исследования с целью ответа на поставленные вопросы1.Информационное взаимодействие следователя и эксперта происходит в двухнаправлениях: следователь - эксперт (следователь должен обеспечить эксперта заданием и необходимой для его исполнения информацией); эксперт - следователь(эксперт передаёт информацию следователю об обстоятельствах, по которым былипоставлены вопросы).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
