Следственные действия: психология, тактика, технология
Целесообразно начертить схему осматриваемого помещения с обозначением на ней мест расположения оборудования. Кроме того, осматриваемое помещение должно быть сфотографировано по правилам судебной фотографии - сначала общий вид его, затем по правилам узловой фотосъёмки зафиксировать отдельные компьютеры и подключённые к ним устройства, а в случае вскрытия системного блока - по правилам детальной съёмки отдельные его узлы, особенно те, которые согласно инструкции по эксплуатации не должны устанавливаться на материнской плате или в корпусе блока (это определит специалист).
Осмотр средств вычислительной техники.Непосредственными объектами действия могут быть: отдельные компьютеры, не являющиеся составной частью локальных или глобальных сетей; рабочие станции (компьютеры), входящие в сеть; файл-сервер, т.е. центральные компьютеры сетей; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и пр. При их осмотре в протоколе отражается: положение переключателей на блоках и устройствах вычислительной техники; состояние индикаторных ламп; содержание информации, высвечиваемой на мониторе, и световых сигналов на различных индикаторах и табло; состояние кабельных соединений (их целостность и отсутствие следов подключения нештатной аппаратуры); наличие и содержание всех пометок, специальных знаков, пломб и наклеек на корпусах и устройствах компьютерного оборудования; механические повреждения; наличие внутри компьютерной техники нештатной аппаратуры и различных устройств; следы нарушения аппаратной системы защиты информации и другие признаки воздействия на вычислительную технику.
Помимо этих общих положений, необходимо отметить особенности осмотра работающего и неработающего компьютера.
При осмотре работающего компьютера с участием специалиста следует: установить, какая программа выполняется, для чего осмотреть изображение на экране дисплея и детально описать его (а проще произвести фотографирование или видеозапись); по мере необходимости остановить исполнение программы и установить, какая информация получена после окончания её работы; определить и восстановить наименование вызывавшейся последний раз программы; установить наличие в компьютере накопителей информации (винчестеры, дисководы для дискет, стримеры, оптические диски), их тип (вид) и количество; скопировать информацию (программы, файлы данных), имеющуюся в компьютере (особенно это важно для информации, находящейся в ОЗУ и виртуальном диске, так как после выключения компьютера она уничтожается).
Если компьютер подключён к локальной сети, то необходимо: установить количество подключённых к файл-серверу рабочих станций или компьютеров, вид связи сети, количество файл-серверов в сети; по возможности организовать параллельный осмотр включённых в локальную сеть рабочих станций и компьютеров (по вышеизложенной схеме осмотра работающего компьютера). Если же такая возможность отсутствует, то надо обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера.
При осмотре неработающего компьютера требуется: определить местонахождение компьютера и его периферийных устройств (печатающего устройства, дисплея, клавиатуры, дисководов и прочего) с обязательным указанием в протоколе наименования, номера, модели, формы, цвета каждого из них; установить порядок соединения между собой вышеуказанных устройств, количество соединительных разъёмов, их спецификации, виды проводов и кабелей, их цвет и количество, выяснить, подключён ли данный компьютер в сеть, и если да, то в какую именно и каковы способ и средства его подключения; проверить красящую ленту матричного принтера, на которой могут быть обнаружены следы текста.
В современных СКТ объём хранимой информации огромен и разнообразен. Поэтому выбор интересующих сведений становится весьма трудоёмким. Однако современные программные средства предоставляют широкий спектр возможностей не только пользователю, но и преступнику и следователю.
Многие текстовые и финансовые программы сохраняют список документов последних сеансов работы и могут их мгновенно вызвать, если, конечно, они не удалены или не перемещены в другое место. На диске компьютера пользователи обычно сохраняют документы в каталогах (папках) со стандартными названиями: Мои документы, Архив, Петров, Шек (пользователь). Файлы документов имеют в названии характерное уточнение ("расширение"), т.е. часть имени, которая стоит после точки в названии файла, - письмо.txt, сведения.doc, платёж.xls, архив98.zip, входящие.arj, счета.rar и т. п. Значительный интерес могут составить базы данных или данные из программы-"ежедневника", которые являются компьютерным аналогом записной книжки с адресами. Все компьютерные файлы хранят дату последнего изменения, а после некоторых программ - и дату первоначальной записи файла под этим именем. Мощные программы при сохранении файла приписывают к полезной информации дополнительную информацию (служебные данные, которые удаётся выявить при необходимости специальными программами просмотра).
Имеются в виду сведения о зарегистрированном владельце или организации (если владелец ввёл такие данные при установке программы), об установленном принтере. Иногда внутрь файла попадает "соседняя" информация из документа, который обрабатывался в памяти параллельно.
Автоматический поиск среди огромного объёма информации на диске помогают вести программы поиска документов по имени файла или по дате, размеру и даже по словам в тексте документа. Часть информации хранится в сжатом виде, и её прямой просмотр невозможен. Однако существуют программы поиска и в таких сжатых файлах. Ко многим шифровальным защитам документов и сжатым архивам известны программы подбора "забытых" паролей.
Обычный, не искушённый в тонкостях пользователь, как правило, не догадывается, что фрагменты или целые файлы, которые программы создают как временную подсобную базу для работы, нередко остаются на диске и после окончания работы. Во всяком случае такие хранилища обрывков временных файлов целесообразно проверять при производстве следственного осмотра. Популярный программный пакет Microsoft Office после установки на компьютере ведёт негласный файл-протокол, куда заносит дату и время всех включений компьютера. Программы связи и работы с сетью запоминают адреса многих Интернет-контактов пользователя, документы электронной почты с адресами отправителя.
Если пользователь не попросит иначе, то современные операционные системы удаляют файлы не "начисто", а сначала в "корзину", в некий чулан для хлама, просмотрев который информацию можно восстановить.
Но даже в случае удаления файла, минуя корзину, остаётся вероятность восстановления, поскольку место его на диске не очищается, а только помечается как неиспользованное.
Остающиеся на месте осмотра СКТ можно опечатать путём наклеивания листа бумаги с подписями следователя и понятых на разъёмы электропитания, на крепёж и корпус. Не допускается пробивать отверстия в магнитных носителях, ставить на них печати. Пояснительные надписи на этикетку для дискет наносятся фломастером (но не авторучкой) или жёстким карандашом.
Если есть необходимость изъять СКТ, следует выйти из программы, исполняемой компьютером для операционной системы Windows 95/98, правильно завершить работу самой системы, а затем отключить электропитание всех средств компьютерной техники, подлежащих изъятию. Желательно описать в протоколе рабочие кабельные соединения между отдельными блоками аппаратуры. Аппаратные части СКТ разъединяются с соблюдением необходимых мер предосторожности, одновременно пломбируются их технические входы и выходы. При описании изымаемых магнитных носителей машинной информации в протоколе отражаются заводской номер, тип, название, а при их отсутствии подробно описываются тип, размер, цвет, надписи. Фиксацию указанных сведений в протоколе следственного действия желательно дополнить видеосъёмкой либо фотосъёмкой.
В процессе осмотра нельзя забывать о необходимости соблюдения элементарных правил обращения с вычислительной техникой.