Семикаленова

91

2.Какую классификацию имеют конкретные програш^шые средства (системные или прикладные) представленного 1фограммного <^еспечения?

3.Какие наименование, -ran, версию, вид представления на носителе имеет программное средство?

4.Обладает ли представленное программное обеспечение признакшат моитра4ижтиости, есял да, то шжктт7

5.Каковы реквизиты раз1^ботчика и владелы^а представлен­ ного прогршиЕМНого обеспечения?

6.Каков файловый состав представленного про1раммж>го обеспечения, каковы их параметры (объем, дата создания, атрибу­ ты)?

7.Какое общее 4о^и1ац1€№альиое шш18чею1е имеет ^Ю1рш«м- ное средство?

8.Какие требования предъявляет данное профаммное средст­ во к аппаратным средствам компыотерной системы?

9.Какова совместимость KOH]q)eTHoro программного средства

спрограммным и аппг^тным обеспечением компыотфной систе­ мы?

10.Имеются ли 1Ш носитшшх инфс^мации 1ф01раммные сред­ ства для реализации определенной функциональной задачи?

11.Имеют ли единый источник происхождения представ1юнные на исследования компьютертые программы?

12.Используется ли данное программное средство для реше­ ния определенной функционалыюй задачи?

13.Каково фактическое состояние программного ч^редства, ка­ кова его работоспособность по реалижтни отдальнык (ксмнкретаых) функций?

И.Каким стразом организован ввод и вывод данных в 1федставленном щютраммном средстве?

92 IS.Имеются ли в прогршымном средстве отклонения от нор­

мальных параметров типовых программных продуктов?

16.Имеются ли в программном средстве недокументированюю функции?

17.Имеет ли программное средство защитные возможности (программные, аппаратно-программные) от несанкционированного доступа я копнрова1шя?

18.Каким образом организованы защитные возможности про- г}:шммного средства?

19.Каков общий алпфитм 1федставленн(мх> на исследование программного средства?

20.Какие программно-инструментальные средства (языки про- TpaMfdxtpomamBiy компилятсфы, стандартные б]^лноте1я) использо­ вались при разработке представленного программного средства?

21.Имеются ли на носителях информации тексты (листинги) протраммы?

22.Является ли представленное прог(мммное <1редство моди­ фицированной версией дфугого гфограммжмпо средства? В чем это нашло отражение?

23.Им«отся ли в программном продукте, какие-либо харак­ терные отличительные признаки (компоногаса, офс^мление лисшнга, дизайн интерфейса)?

24.Что изменилось (могло измениться) в результате модифи­ кации программного продукта?

25.На что направлены внесенные изменения в программное средство?

26.Достигается ли решение определенных задач после внесе­ ния изме1юний в программное q>eACTBo?

93

27.Каким способом были прои:шедены излл^кеиия в программе (преднам^)енно, воздействие ]ц>едоноснЫ1 программы, ошибка про­ граммной среды, аппаратным сбоем и др.)?

28.Какова хронология использовгшия 1фограммного средства (начиная с момента инсталляции)?

29.Имеются ли в программном средстве функции, которые влекут за собой несашщтшщютватое по^кэователем уничтожение, блокирование, модификацию либо копирование информации, нгфушение р£^ты компьютерной системы?

30.Каковы последствия дальнейшей эксплуатации о1феделенного программного средства?

31.Соответствует ли представленный программный продукт представяеннс^ клесте с ним докунюнтацни?

Подготовка материалов для экспертизы, в том числе и подбор образцов для сравнительного исследования: Правильное производство следственных действий в отношении вычислительных средстве 1фивлечением специалистов в области информационных технологий позш>ляет об­ наружить, зафиксировать и изъять объекты судебной 1фограммнокомпыоте]жой экспертизы. Объектами судебной программнокомпьютерной экспертизы являются: алгоритмы программ, исходные тек­ сты программ, представленные как на электронных, так и на бумажных но­ сителях, и наконец, исполняемые модули и пакеты профамм.

Обнаружить исполняемые модули и пакеты npoq^MM в исследуемом персональном компьют^^е в -большинстве случаев не составляет особой сложности. Это необходимо в случае, когда перед экспертом, наприм^>, по­ ставлен вопрос о поиске определенного 1ф01раммного ^рс^дства на носителях инфо|шации данного компьютера. П^юцесс обш^^экеин» 1фограммного средства зависит от того, в каком из трех еостояннй оно находится: днстрибутив, инсталлированная или работаюощя 1фшрамма.

94 В случае, когда про1рамма не инсталлирована на компыокр, она пред­ ставляет собой набор файлов, находящихся на ОДНСА< или нескольких (щнотипных носителях информащ1и. Под файлом понимается выделенная сово­ купность данных, хранящихся на одном носителе инфс^шащш, имеющих оп­ ределенную структуру и уникальный набор ат(жбутов. Однотипные носите­ ли информации - носители информации с одинаковыми способами и средст-

шеат запоминания, хранения и СЧИТЪШОШЕЯ ^а^/ершткщя^. Подобт1й иабсф файлов можно обнаружить встроенными средсты1ми oпqpaщ{oннoй -системы или средствами, входящими в инструментальный наб(^ прог^кимм, работаю­ щих с файлами, таких как: Frigate, Wii^av^ator, Wincbws Commander, FAR.

В случае, когда программа уже проинсталлирована на компьютер, она, кроме того, что копируется на носитель информащ1и компьютфа, в боль­ шинстве случает^ еще и :»ш1юыкжт о оебе инфо|»1ащао в спещ1шяьно Гфедусмотренных файлах операционной системы, в ОС MS Windows таким файлом является файл реестра. Реестр обладает двумя особенностями:

Первая - периодически создается копия реестра. Поэтому, практически всегда можно восстановить из копии реестр и с -его помопц»ю узнать, какие программы были устжювп^ил на компьютере. Однако при этом необходимо учитывать, что записи в реестр может сделать любая прогртм^ш. Кроме того, реестр можно редактировать щт помощи спецшшизированных профшкм, например, Regedit.exe, поэтому информация, находящаяся в реестре, не мо­ жет во всех случаях быть признана (^ъеггавным доказательствсш. Каждое эксп^тюе исследование peecrj», а также Ш1ализ произведенных в нем изме­ нений должны проводиться в соответствии со сложившейся эксп^тной си­ туацией.

Второй особенностью реестра Win<k>ws, котс^хм может име1% хримнналистическое значение является прсшисывшше в реестре уникальных Hoiie-

^ Судебно экс1^угное шхяедсоаяж же»тыопртхк бредет» н светом: Освсяш ме­ тодического с^еспеч^ия: Учебное пособие/ Уо» А.ИУ/ Под. Ред. Проф. Е.Р. Российской. - М.: издательство «Экэшмен», издательство П1явю иэткон,2003. с.127.

95 ров кштонентов программных пакетов. Как уже было сказано выше, объек­ ты судебной программно-компьютерной экспертизы могут быть представле­ ны в виде пакета программ, следовательно могут быть выполнены в качестве нескольких компонентов, их еще называют ССЖ4-компоненты. Это отдель­ ные программы, выполняющие определенный набор функций. Каждый такой компонент имеет собственный уникальный номер или GU1D. Эти ном^а выдшотся специалыпякш 1цюгрШ11мамн miepcm^MUoi, котсфые гаранпц^ют, что где бы ни был установлен этот компонент, его номер будет уни1ки1ьным. В реестре Windows в разделе "HKEY_CLASSES_ROOT\CLSro" находятся все GUID компоненты, инсталлированных на компьют^)е программ. Кроме это­ го, в этом разделе каждому QUID сопоставлены некоторые атрибуты этого компонента. Важной особенностью является то, что если QUID компонента не найден в реестре, то этот компонент пл данном компыочщ» не успиювлен и значит не может быть использован другими программами. Бели какая-либо программа обязательно использует данный компонент, а его GUID не зна­ чится в реестре, то значит Л1^ данная программа не инсталлирована, либо она не корректно работает^'.

Ответ на всшрос: «Прсжнсталлирова^ ли проп^мма или нет на данном компьютере?» — важен при выборе средств изъятия изу<шемого программно­ го продукта. Эту процедуру обычно выполняет специалист при п|юведении следственных действий.

Если программа не проинсталлирована и находится в дистрибутиве, то она находится на одном из носителей информации. Бели носитель информа­ ции внешний (FDD, CD, и т.д.), то необходимо изъять этот носитель; если носитель информации является внутренним, то необходимо cKonnpoBaib ин­ формацию либо на внешний носитель информации, либо на носитель инфор­ мации, встроенный в специализированную технику, используемую для п^ро-

^' Суде^о экспертное иссле^цоваяие юяёхаютриык qjcae« и сястем: Осш^ ме­ тодического обеспечения: Учебное пособие / Уххл А.ИУ/ Под. Ред. И^юф. Е.Р. Российской. - М.: издательство «Экзамен», издательство tipoBO и звжхт, 2003.С. t78

96 ведения данного следственного действия. Внешний носитель информации — такой носитель, кото1Ш^й можно изъять из работающего юшпьюи^эа'без ос­ тановки его работы. Внутренний носитель инфорлшции - такой носитель, ко­ торый является частью конструкции компьютерной системы, и для его изъя­ тия необходима полная остановка компьют^>а.

В ряде случаев имеет важное значение то, в какой системе установлена протр№к1ма, поскольку ^>^«ожна щжшятт роботы щоерашшто^хл продуш^тш к аппаратному и программному (^еспечению (нащ>нмер: инсталлированные программ), возможны установки на самоуничтожение, если лфедпринята по­ пытка копирования. Поэтому даже при назначении экспертизы гфогршммных средств, изъятие лучше производить л1^о полностью сшпемы, либо создани­ ем клона носителя информации с описанием всех аппс^тных средств ис1юаь^^емых системой. В сяучае^ когда объектом жащпшши является KOMI&- ютерная программа, позволяющая простое копирование, возможен перенос данных с одного носителя информации на щ>угой несколькими способами.

Если объем информации мал, то возможно копирование информации на дис­ кеты или FLASH-i^yni с последующим их опечатыванимк!. Бели объем инфо1»1ации велик, то здцесь необходщмо подключ«]|№ вненших устройств. Од­ ним из решений по копированию кримшяалистч&ски значимой информации является копирование информшдаи ч^>ез USB или LPT пс^. Ил компьютере - источнике информащ1и запуск{мется программа, котс^мм после необхО|2Ц1мых настроек посылает информацию в USB (LPT) порт, Компьют^ - 1фиемннк информации считыв^т поступающую к нему инфсфмацию и сохраняет

еена собственном носителе.

Втех случаях, когда объектом исследовш1ия являются исходные тек­ сты или алгоритмы программ, они могут ^ытъ щхдставлены либо на бу-

мажкых носителях, тогда их изымают и npttOEtcttxBnsKn на экспертазу как документы, либо в виде файлов, тогда их можно 1ЦХ)сто скопировать на внешний носитель информации и направить на СШСЭ.

97 ^обходимо о1ыетить х{ф£исгерт|ую особенность 1федставления прогршммных продуктов на экспертное исследование. Она заключается в ттл, что при переносе программного продукта, во время изъятия, на магнитный носитель специалиста возникает сложность с сохранением объекта в пер­ воначальном виде. Это связанно с тем, что в процессе копирования файла может измениться ряд его внешних характеристик (время создания, место­ расположение на иос1гтеяе). Для того, чтобы В1юс1юдст»»1 избежать о61шнений в подлоге, необходимо документировать все действия специаяиста, связанные с изъятием объекта, и изменения, щюисходящие с объектсмг!. В завершении необходимо, если это внешний носитель инфо{»1ации, упако­ вать и опечатать по местам вскрытия упаковки. Если это внутренний носи­ тель информации, являющийся частью спецтехники, его либо надо по возмоясности отделить от тюшнки и тис же подгототть к передаче эксперту, как и внешний носитель информации, либо п^)едаватъ вместе с оборудо­ ванием, которое необходимо упаковать и опечатата. В связи с изложен­ ным, хотелось бы отметить, что для изъятия объектов судебной про1рамм- но-компьютерной экспертизы целесообразно привлекать в качестве спе­

циалисте», экспертов, KOTOjpuM впоследсткнн будет Ш1:^»чена давиая :жспертза (ст. 168 УПК РФ).

При решении жадач связанных с нарушением автс^ких и смежных п{»ю, при установлении авторства программного продукта 1фактически всегда требуются образцы для сравнительного исследования. Бели при ре­ шении задач, связанных с нарушением авторских и смежных прав, вопрос о предоставлении образцов решается достаточно просто - по средстве»! отправления запроса с прос1^ой предоставить лицензионный (автс^жкий) программный продукт-аналог исследуемому, то для решения %щач по >ч;- тановлению авторства программного продукта необходимо щюведение следственных действий. Так, программные продуты - 0бр&щи могут ^ыть изъята! как в процессе того же следственного дейстюм, что и сшм объект экспертиз, itiK и при щюведании дополнительных следственных

98 меропртатий. IloflrotoBKa и объектов, и образцов проводится по одинако­ вой схеме, рассмотренной выше.

Решение вопроса о целесообразности назначения дополнитель­ ной, повторной, комиссионной, комплексной экспертизы: Решение о назначении комиссионной эю^пертизы программно-компьютерных средств принимает следователь, суд или руксшоднтель государственж>го эксперт­ ного учреждения, в котором была назнач«1а экспертиза. Однако у экспер­ тов также есть возможность выступать с ходатайством о привлечении к экспертизе других экспертов, что в итоге и порождает ком1«;сионную эксперти^.^^ Комиссионная судебная экспертиза производится несколькими, но не менее чем двумя экспертами, одной или разных специальностей^^. Чаще всего комиссионные эксп^угизы назначаются тогда, когда необхо­ димо общее решение экспертов, спедиализирующихся в разных класса, родах, видах судебной экспертизы. При отнесении экспертизы к одному виду комиссия экспертов назначается при большой наукоемкости и трудоемкост решаемых задач.

Кшс уже упомш1алось комплексме» 9какрти^ - это исследование, проводимое специалистами разных отраслей знаний для решения шкгтав- ленных пq>eд экспертом вопросов, смежных для ршличных родов (видов) судебных экспертиз. Обычно необходимость комшюкснойэтсспертизывы­ зывается невозможностью разрешения задач эксперти»! на ос]юве ОДШУЙ отрасли знаний, присущей только судебным прог{»ммно-компьютерным экспертизам.

При назначении комплексной экспертизы, вклкихающей в себя экс­ пертизу программных средств, зачастую встает вопрос о ее производстве

'^ п. 2 ч. 3 ст. S7 УПК РФ, ст. 17 Зшомм РФ «О госущрстеятЛ япякфтиой дмтешиости в Российской Федерации)»

» ст. 2(Ю УШ 1Н1>, ст. 21 закош! РФ <Ю пкх»фепеяш>й экс11е^ Роисийской Федерации»

99 одним эксперт^!, одинаково хорошо владеющим сразу несколькими зна­ ниями в области науки и техники.^ П1»исп11ш показыШ1ет, что сегодня экс­ перты, занимающиеся судебной компьютерно-технической экспертизой, в которую как род входит судебная программно-компьютерная экспфтиза, часто владеют всеми видами СКТЭ. Поэтому комплексную экспертизу программно-компьютерную и аппаратно-компьютерную, программнокомпьютерную и компьюте1»10-сетежую может кваша^циромишо провес­ ти один эксперт. В ряде случаев подобное проведение экспертизы является наиболее приоритетным. Прим^юм этому может служить обследование аппаратно-программного комплекса ЭВМ на предмет возможности выпол­ нения с его помощью спещ1фических (заданных) функций.

В последнее время в государственных экспертных учреждениях ста­ ли появляться :этссперты, обладающие знаниями не только в обхюсти про­ граммирования и информационных технологий, но и в области тов^юведения. Они имеют право проводить эксп^этизы по этим двум направлени­ ям. Бсть такие эксперты, например, в Российском федеральж»! цешре су­ дебной Э1хпертизы при Минюсте России.

Дополнителы1ая и повтсфная^ эксп^зтизы могут назначаться только после проведения первоначальной, когда первое заключение экспертл ор­ ганом или лицом, ее назначившим, уже получено и оценено, в результате чего выявлены какие-то его недостатки и хфобелы. По щзинятой на 1фшстике терминологии первая экспертиза по отношению к дополнительной считается основной, а по отношению к повторной — первоначальной или

^Курс 1фимишигастгаж: Учеб. пособие дш вузов. - Э-е вэд., дрттаввшое - М.:. Закон и право, 2001. с 618.

^ст. 207 УПК, СТ.20 з-н РФ «О госудщхпвеяж^ эксаертсМ яежтамости в Рос­ сийской Федерации»

100 предшествующей^. По объему исследования aKcnqnuiui делятся на ос­ новные и дополнительные.

Дополнительная экспертиза назначается при недостаточной ясности или полноте ранее данного заключения, что может быть результатом су­ жения объема задания экспертом, исследования не всех объек1ч>в, упуще­ ния некоторых вопросов. Примером этому может служить ситуащм, когда щт решении вопроо! о наличии п{жжа1юв контр^юстности про^^мяшого продукта, экспертами исследуются внешние признаки, охватывающие описание носителя информации и файловый состав, ^^нкщюнальные ха­ рактеристики, свойства интерфейссш, и не исследуются поступившая вме­ сте с ней техническая документащм. Неясность также может выражаться в том, что по данному заключению нельзя судить о конкретных фактах, устаношпъ, являются ля выводы положительными или отрицательными, ка­ тегорическими или вероятными. Например, при решении вопроса о том, переустанавливалось ли системное программное обеспечение компьютер­ ной системы, экспертом дан ответ: «систем1юе программное обеспечение могло быть п^>еустановлено в данной компьютерной системе».

Дополнительная экспертиза на^шчается также в тех случаях, когда после экспертного исследовшшя возникают новые вопросы, связанные с исследованием того же объекта, котс^яде {ЖЕ^ не ставились перед экспер­ том. Так, если после исследования прог(К1ммного обеспечения, подверг­ шейся атаке компьютерной системы, устанавливается, что в момент обна­ ружения происшествия ЭВМ не была подключена к -сети, то назначается дополнительная суд^ная программно-компьютерная экспертаза. На ее разрешение ставится вопрос о поиске возможных не документированных функций программного обеспечения, установленных на шстиви^цию и

^ Ксиммент^жй к законодапельству о судебной жсперпае, Угаштное, трежтн- ское, {фбитражное судопроизводство / Отв. ред. д.го.н., профессор В.Ф. Optfiraa. ~Ы.: Нор­ ма, 2004 C.75