Семикаленова
.pdf91
2.Какую классификацию имеют конкретные програш^шые средства (системные или прикладные) представленного 1фограммного <^еспечения?
3.Какие наименование, -ran, версию, вид представления на носителе имеет программное средство?
4.Обладает ли представленное программное обеспечение признакшат моитра4ижтиости, есял да, то шжктт7
5.Каковы реквизиты раз1^ботчика и владелы^а представлен ного прогршиЕМНого обеспечения?
6.Каков файловый состав представленного про1раммж>го обеспечения, каковы их параметры (объем, дата создания, атрибу ты)?
7.Какое общее 4о^и1ац1€№альиое шш18чею1е имеет ^Ю1рш«м- ное средство?
8.Какие требования предъявляет данное профаммное средст во к аппаратным средствам компыотерной системы?
9.Какова совместимость KOH]q)eTHoro программного средства
спрограммным и аппг^тным обеспечением компыотфной систе мы?
10.Имеются ли 1Ш носитшшх инфс^мации 1ф01раммные сред ства для реализации определенной функциональной задачи?
11.Имеют ли единый источник происхождения представ1юнные на исследования компьютертые программы?
12.Используется ли данное программное средство для реше ния определенной функционалыюй задачи?
13.Каково фактическое состояние программного ч^редства, ка кова его работоспособность по реалижтни отдальнык (ксмнкретаых) функций?
И.Каким стразом организован ввод и вывод данных в 1федставленном щютраммном средстве?
92 IS.Имеются ли в прогршымном средстве отклонения от нор
мальных параметров типовых программных продуктов?
16.Имеются ли в программном средстве недокументированюю функции?
17.Имеет ли программное средство защитные возможности (программные, аппаратно-программные) от несанкционированного доступа я копнрова1шя?
18.Каким образом организованы защитные возможности про- г}:шммного средства?
19.Каков общий алпфитм 1федставленн(мх> на исследование программного средства?
20.Какие программно-инструментальные средства (языки про- TpaMfdxtpomamBiy компилятсфы, стандартные б]^лноте1я) использо вались при разработке представленного программного средства?
21.Имеются ли на носителях информации тексты (листинги) протраммы?
22.Является ли представленное прог(мммное <1редство моди фицированной версией дфугого гфограммжмпо средства? В чем это нашло отражение?
23.Им«отся ли в программном продукте, какие-либо харак терные отличительные признаки (компоногаса, офс^мление лисшнга, дизайн интерфейса)?
24.Что изменилось (могло измениться) в результате модифи кации программного продукта?
25.На что направлены внесенные изменения в программное средство?
26.Достигается ли решение определенных задач после внесе ния изме1юний в программное q>eACTBo?
93
27.Каким способом были прои:шедены излл^кеиия в программе (преднам^)енно, воздействие ]ц>едоноснЫ1 программы, ошибка про граммной среды, аппаратным сбоем и др.)?
28.Какова хронология использовгшия 1фограммного средства (начиная с момента инсталляции)?
29.Имеются ли в программном средстве функции, которые влекут за собой несашщтшщютватое по^кэователем уничтожение, блокирование, модификацию либо копирование информации, нгфушение р£^ты компьютерной системы?
30.Каковы последствия дальнейшей эксплуатации о1феделенного программного средства?
31.Соответствует ли представленный программный продукт представяеннс^ клесте с ним докунюнтацни?
Подготовка материалов для экспертизы, в том числе и подбор образцов для сравнительного исследования: Правильное производство следственных действий в отношении вычислительных средстве 1фивлечением специалистов в области информационных технологий позш>ляет об наружить, зафиксировать и изъять объекты судебной 1фограммнокомпыоте]жой экспертизы. Объектами судебной программнокомпьютерной экспертизы являются: алгоритмы программ, исходные тек сты программ, представленные как на электронных, так и на бумажных но сителях, и наконец, исполняемые модули и пакеты профамм.
Обнаружить исполняемые модули и пакеты npoq^MM в исследуемом персональном компьют^^е в -большинстве случаев не составляет особой сложности. Это необходимо в случае, когда перед экспертом, наприм^>, по ставлен вопрос о поиске определенного 1ф01раммного ^рс^дства на носителях инфо|шации данного компьютера. П^юцесс обш^^экеин» 1фограммного средства зависит от того, в каком из трех еостояннй оно находится: днстрибутив, инсталлированная или работаюощя 1фшрамма.
94 В случае, когда про1рамма не инсталлирована на компыокр, она пред ставляет собой набор файлов, находящихся на ОДНСА< или нескольких (щнотипных носителях информащ1и. Под файлом понимается выделенная сово купность данных, хранящихся на одном носителе инфс^шащш, имеющих оп ределенную структуру и уникальный набор ат(жбутов. Однотипные носите ли информации - носители информации с одинаковыми способами и средст-
шеат запоминания, хранения и СЧИТЪШОШЕЯ ^а^/ершткщя^. Подобт1й иабсф файлов можно обнаружить встроенными средсты1ми oпqpaщ{oннoй -системы или средствами, входящими в инструментальный наб(^ прог^кимм, работаю щих с файлами, таких как: Frigate, Wii^av^ator, Wincbws Commander, FAR.
В случае, когда программа уже проинсталлирована на компьютер, она, кроме того, что копируется на носитель информащ1и компьютфа, в боль шинстве случает^ еще и :»ш1юыкжт о оебе инфо|»1ащао в спещ1шяьно Гфедусмотренных файлах операционной системы, в ОС MS Windows таким файлом является файл реестра. Реестр обладает двумя особенностями:
Первая - периодически создается копия реестра. Поэтому, практически всегда можно восстановить из копии реестр и с -его помопц»ю узнать, какие программы были устжювп^ил на компьютере. Однако при этом необходимо учитывать, что записи в реестр может сделать любая прогртм^ш. Кроме того, реестр можно редактировать щт помощи спецшшизированных профшкм, например, Regedit.exe, поэтому информация, находящаяся в реестре, не мо жет во всех случаях быть признана (^ъеггавным доказательствсш. Каждое эксп^тюе исследование peecrj», а также Ш1ализ произведенных в нем изме нений должны проводиться в соответствии со сложившейся эксп^тной си туацией.
Второй особенностью реестра Win<k>ws, котс^хм может име1% хримнналистическое значение является прсшисывшше в реестре уникальных Hoiie-
^ Судебно экс1^угное шхяедсоаяж же»тыопртхк бредет» н светом: Освсяш ме тодического с^еспеч^ия: Учебное пособие/ Уо» А.ИУ/ Под. Ред. Проф. Е.Р. Российской. - М.: издательство «Экэшмен», издательство П1явю иэткон,2003. с.127.
95 ров кштонентов программных пакетов. Как уже было сказано выше, объек ты судебной программно-компьютерной экспертизы могут быть представле ны в виде пакета программ, следовательно могут быть выполнены в качестве нескольких компонентов, их еще называют ССЖ4-компоненты. Это отдель ные программы, выполняющие определенный набор функций. Каждый такой компонент имеет собственный уникальный номер или GU1D. Эти ном^а выдшотся специалыпякш 1цюгрШ11мамн miepcm^MUoi, котсфые гаранпц^ют, что где бы ни был установлен этот компонент, его номер будет уни1ки1ьным. В реестре Windows в разделе "HKEY_CLASSES_ROOT\CLSro" находятся все GUID компоненты, инсталлированных на компьют^)е программ. Кроме это го, в этом разделе каждому QUID сопоставлены некоторые атрибуты этого компонента. Важной особенностью является то, что если QUID компонента не найден в реестре, то этот компонент пл данном компыочщ» не успиювлен и значит не может быть использован другими программами. Бели какая-либо программа обязательно использует данный компонент, а его GUID не зна чится в реестре, то значит Л1^ данная программа не инсталлирована, либо она не корректно работает^'.
Ответ на всшрос: «Прсжнсталлирова^ ли проп^мма или нет на данном компьютере?» — важен при выборе средств изъятия изу<шемого программно го продукта. Эту процедуру обычно выполняет специалист при п|юведении следственных действий.
Если программа не проинсталлирована и находится в дистрибутиве, то она находится на одном из носителей информации. Бели носитель информа ции внешний (FDD, CD, и т.д.), то необходимо изъять этот носитель; если носитель информации является внутренним, то необходимо cKonnpoBaib ин формацию либо на внешний носитель информации, либо на носитель инфор мации, встроенный в специализированную технику, используемую для п^ро-
^' Суде^о экспертное иссле^цоваяие юяёхаютриык qjcae« и сястем: Осш^ ме тодического обеспечения: Учебное пособие / Уххл А.ИУ/ Под. Ред. И^юф. Е.Р. Российской. - М.: издательство «Экзамен», издательство tipoBO и звжхт, 2003.С. t78
96 ведения данного следственного действия. Внешний носитель информации — такой носитель, кото1Ш^й можно изъять из работающего юшпьюи^эа'без ос тановки его работы. Внутренний носитель инфорлшции - такой носитель, ко торый является частью конструкции компьютерной системы, и для его изъя тия необходима полная остановка компьют^>а.
В ряде случаев имеет важное значение то, в какой системе установлена протр№к1ма, поскольку ^>^«ожна щжшятт роботы щоерашшто^хл продуш^тш к аппаратному и программному (^еспечению (нащ>нмер: инсталлированные программ), возможны установки на самоуничтожение, если лфедпринята по пытка копирования. Поэтому даже при назначении экспертизы гфогршммных средств, изъятие лучше производить л1^о полностью сшпемы, либо создани ем клона носителя информации с описанием всех аппс^тных средств ис1юаь^^емых системой. В сяучае^ когда объектом жащпшши является KOMI&- ютерная программа, позволяющая простое копирование, возможен перенос данных с одного носителя информации на щ>угой несколькими способами.
Если объем информации мал, то возможно копирование информации на дис кеты или FLASH-i^yni с последующим их опечатыванимк!. Бели объем инфо1»1ации велик, то здцесь необходщмо подключ«]|№ вненших устройств. Од ним из решений по копированию кримшяалистч&ски значимой информации является копирование информшдаи ч^>ез USB или LPT пс^. Ил компьютере - источнике информащ1и запуск{мется программа, котс^мм после необхО|2Ц1мых настроек посылает информацию в USB (LPT) порт, Компьют^ - 1фиемннк информации считыв^т поступающую к нему инфсфмацию и сохраняет
еена собственном носителе.
Втех случаях, когда объектом исследовш1ия являются исходные тек сты или алгоритмы программ, они могут ^ытъ щхдставлены либо на бу-
мажкых носителях, тогда их изымают и npttOEtcttxBnsKn на экспертазу как документы, либо в виде файлов, тогда их можно 1ЦХ)сто скопировать на внешний носитель информации и направить на СШСЭ.
97 ^обходимо о1ыетить х{ф£исгерт|ую особенность 1федставления прогршммных продуктов на экспертное исследование. Она заключается в ттл, что при переносе программного продукта, во время изъятия, на магнитный носитель специалиста возникает сложность с сохранением объекта в пер воначальном виде. Это связанно с тем, что в процессе копирования файла может измениться ряд его внешних характеристик (время создания, место расположение на иос1гтеяе). Для того, чтобы В1юс1юдст»»1 избежать о61шнений в подлоге, необходимо документировать все действия специаяиста, связанные с изъятием объекта, и изменения, щюисходящие с объектсмг!. В завершении необходимо, если это внешний носитель инфо{»1ации, упако вать и опечатать по местам вскрытия упаковки. Если это внутренний носи тель информации, являющийся частью спецтехники, его либо надо по возмоясности отделить от тюшнки и тис же подгототть к передаче эксперту, как и внешний носитель информации, либо п^)едаватъ вместе с оборудо ванием, которое необходимо упаковать и опечатата. В связи с изложен ным, хотелось бы отметить, что для изъятия объектов судебной про1рамм- но-компьютерной экспертизы целесообразно привлекать в качестве спе
циалисте», экспертов, KOTOjpuM впоследсткнн будет Ш1:^»чена давиая :жспертза (ст. 168 УПК РФ).
При решении жадач связанных с нарушением автс^ких и смежных п{»ю, при установлении авторства программного продукта 1фактически всегда требуются образцы для сравнительного исследования. Бели при ре шении задач, связанных с нарушением авторских и смежных прав, вопрос о предоставлении образцов решается достаточно просто - по средстве»! отправления запроса с прос1^ой предоставить лицензионный (автс^жкий) программный продукт-аналог исследуемому, то для решения %щач по >ч;- тановлению авторства программного продукта необходимо щюведение следственных действий. Так, программные продуты - 0бр&щи могут ^ыть изъята! как в процессе того же следственного дейстюм, что и сшм объект экспертиз, itiK и при щюведании дополнительных следственных
98 меропртатий. IloflrotoBKa и объектов, и образцов проводится по одинако вой схеме, рассмотренной выше.
Решение вопроса о целесообразности назначения дополнитель ной, повторной, комиссионной, комплексной экспертизы: Решение о назначении комиссионной эю^пертизы программно-компьютерных средств принимает следователь, суд или руксшоднтель государственж>го эксперт ного учреждения, в котором была назнач«1а экспертиза. Однако у экспер тов также есть возможность выступать с ходатайством о привлечении к экспертизе других экспертов, что в итоге и порождает ком1«;сионную эксперти^.^^ Комиссионная судебная экспертиза производится несколькими, но не менее чем двумя экспертами, одной или разных специальностей^^. Чаще всего комиссионные эксп^угизы назначаются тогда, когда необхо димо общее решение экспертов, спедиализирующихся в разных класса, родах, видах судебной экспертизы. При отнесении экспертизы к одному виду комиссия экспертов назначается при большой наукоемкости и трудоемкост решаемых задач.
Кшс уже упомш1алось комплексме» 9какрти^ - это исследование, проводимое специалистами разных отраслей знаний для решения шкгтав- ленных пq>eд экспертом вопросов, смежных для ршличных родов (видов) судебных экспертиз. Обычно необходимость комшюкснойэтсспертизывы зывается невозможностью разрешения задач эксперти»! на ос]юве ОДШУЙ отрасли знаний, присущей только судебным прог{»ммно-компьютерным экспертизам.
При назначении комплексной экспертизы, вклкихающей в себя экс пертизу программных средств, зачастую встает вопрос о ее производстве
'^ п. 2 ч. 3 ст. S7 УПК РФ, ст. 17 Зшомм РФ «О госущрстеятЛ япякфтиой дмтешиости в Российской Федерации)»
» ст. 2(Ю УШ 1Н1>, ст. 21 закош! РФ <Ю пкх»фепеяш>й экс11е^ Роисийской Федерации»
99 одним эксперт^!, одинаково хорошо владеющим сразу несколькими зна ниями в области науки и техники.^ П1»исп11ш показыШ1ет, что сегодня экс перты, занимающиеся судебной компьютерно-технической экспертизой, в которую как род входит судебная программно-компьютерная экспфтиза, часто владеют всеми видами СКТЭ. Поэтому комплексную экспертизу программно-компьютерную и аппаратно-компьютерную, программнокомпьютерную и компьюте1»10-сетежую может кваша^циромишо провес ти один эксперт. В ряде случаев подобное проведение экспертизы является наиболее приоритетным. Прим^юм этому может служить обследование аппаратно-программного комплекса ЭВМ на предмет возможности выпол нения с его помощью спещ1фических (заданных) функций.
В последнее время в государственных экспертных учреждениях ста ли появляться :этссперты, обладающие знаниями не только в обхюсти про граммирования и информационных технологий, но и в области тов^юведения. Они имеют право проводить эксп^этизы по этим двум направлени ям. Бсть такие эксперты, например, в Российском федеральж»! цешре су дебной Э1хпертизы при Минюсте России.
Дополнителы1ая и повтсфная^ эксп^зтизы могут назначаться только после проведения первоначальной, когда первое заключение экспертл ор ганом или лицом, ее назначившим, уже получено и оценено, в результате чего выявлены какие-то его недостатки и хфобелы. По щзинятой на 1фшстике терминологии первая экспертиза по отношению к дополнительной считается основной, а по отношению к повторной — первоначальной или
^Курс 1фимишигастгаж: Учеб. пособие дш вузов. - Э-е вэд., дрттаввшое - М.:. Закон и право, 2001. с 618.
^ст. 207 УПК, СТ.20 з-н РФ «О госудщхпвеяж^ эксаертсМ яежтамости в Рос сийской Федерации»
100 предшествующей^. По объему исследования aKcnqnuiui делятся на ос новные и дополнительные.
Дополнительная экспертиза назначается при недостаточной ясности или полноте ранее данного заключения, что может быть результатом су жения объема задания экспертом, исследования не всех объек1ч>в, упуще ния некоторых вопросов. Примером этому может служить ситуащм, когда щт решении вопроо! о наличии п{жжа1юв контр^юстности про^^мяшого продукта, экспертами исследуются внешние признаки, охватывающие описание носителя информации и файловый состав, ^^нкщюнальные ха рактеристики, свойства интерфейссш, и не исследуются поступившая вме сте с ней техническая документащм. Неясность также может выражаться в том, что по данному заключению нельзя судить о конкретных фактах, устаношпъ, являются ля выводы положительными или отрицательными, ка тегорическими или вероятными. Например, при решении вопроса о том, переустанавливалось ли системное программное обеспечение компьютер ной системы, экспертом дан ответ: «систем1юе программное обеспечение могло быть п^>еустановлено в данной компьютерной системе».
Дополнительная экспертиза на^шчается также в тех случаях, когда после экспертного исследовшшя возникают новые вопросы, связанные с исследованием того же объекта, котс^яде {ЖЕ^ не ставились перед экспер том. Так, если после исследования прог(К1ммного обеспечения, подверг шейся атаке компьютерной системы, устанавливается, что в момент обна ружения происшествия ЭВМ не была подключена к -сети, то назначается дополнительная суд^ная программно-компьютерная экспертаза. На ее разрешение ставится вопрос о поиске возможных не документированных функций программного обеспечения, установленных на шстиви^цию и
^ Ксиммент^жй к законодапельству о судебной жсперпае, Угаштное, трежтн- ское, {фбитражное судопроизводство / Отв. ред. д.го.н., профессор В.Ф. Optfiraa. ~Ы.: Нор ма, 2004 C.75