Семикаленова
.pdf101 выполнение заданного набора действий в кон]фетный промежуток ^>емени.
Именно последнее основание назначения дополнительной суд^ной программно-компьютерной экспертизы чаще всего встре^ется в практике. В суде дополнительная экспертиза назначается лишь после дачи экспертом заключения в стадии суд^ного ра^ирательства дела, и если неясность или иеполжпу заключения не предст^ялось возможем ус1|»нитъ 1^тем допроса экcпepтa^^.
Дополнительная экспертиза всегда является экспертизой того же ро да, Ю1да и подвида, что и первичная. От новой экспертизы дополнительная отличается тем, что решаемые ею вопросы связаны с рш1ее решенными, и эксперту не нужно заново проводить полное исследование 1фограммного обеспечения - он может использовать некоторые результаты ранее 1фоведенного. Поэтому целесообразно по возможности поручать производство дополнительной экспертизы тому же эксп^пу (эвоспертам). Если же вновь назначенная экспертиза никшс не связана с предыдущей, то она будет не дополнительной, а нсшой, самостоятельной эксп^пизой ^.
Как уже было ска^шо, по последсквательности эксхкртизы делятся на первичные и повторные. Повторной называется эксп^)тиза, Ефоводш^юя но тем же программным объектшл и решающая те же во1фосы, что и первич ная экспертиза, заключение которой признано необоснованным или вызы вает сомнение. Необходимо учитывать, что повторная судебная программ но-компьютерная экспертиза может быть назначена когда:
^^ Россннская Е.Р. KoMMemaimtt к Федервльнсшу эеаваиу «О 1Ч)суд|фствен1|Ы} су- дебшо-жакрпкЛ д«ггел>ности в Российскс^ Фетреащк», - М.: {фаяо я шкш1; ЮрбйтИЗ;^, 2002. с 253-254.
^ Комменпцжй к заксжодательству о ^дебаой эясоертяэе. Угожмвное, траждт- ское, 1фбитраж1юе судопроизводство / Огв.реадло.и., профессор 6.Ф. Суэцкими -Ыл Нкфма, 2004 С.75 - 76
102
-заключение первичнее 3Kcnq>TH3bi противоречит щ>угтл доказательствам, собранным по делу;
-вызывают сомнение полученные результаты и сделанные
выводы;
-выводы не вытекают из проведенного исследования, вслед ствие неполноты исследования;
-были допущены wskpymcmtn процессуальных HO|»i, penmментирующих назначение и производство суд^ных гфограммнокомпьют^>ных экспертиз;
-заключение активно оспарив^пх^я кем-то из участников
процесса.
Основанием для назначения повторной СПКЭ не мохжт являться:
недовольство следователя или суда в^юятной фсфмой выводов, 1фотиворечие косвенным доказательствам, полученным в результате следствия или судебного разбирательства.
В уголовном процессе законодателем предусмотрена специальная форма - бланк постановления о назначении дополнительной и повторной экспертизы. В нем предусмотр^ю указание основания 1фОведения дополнителыюй или noBTOfwott этсспертизы.
§2Л. Основы методики производстш1 ^дебной программнокомпьютерной экспертизы
Принято под экспертной методикой понимать систему предписаний категорических или альтернативных по выбору и применению в определен ной последовательности и в определенных существующих или соэдав^мых условиях методов и средств решаемых задач. Она является основньны доку ментом, одновременно регулирующим, информационно сбеоючиваюоцш и
103 регламентирующим процесс решения коюфетяой экспертной задачи в рам ках производства судебной эксп^этизы^^.
Как уже было отмечено, любая эксп^)тная методика в своей основе должна решать конкретные задачи, которые ставит перед данным рощял и ви дом эксп^тгазы следственный или судебный орган, обеспечиють получение качественного экспертного заключения. В своем обобщенном виде все эти за д а ^ могутдавитьсяна две катеп^яш: .^апюсптеасяе и идезгтифшсационные. Именно это основные задачи должны решать в своем роде экспертиз, ча стные экспертные методики. Их решение должно строиться на диалектиче ском методе познания, использовании общенаучных и спещшльных методов криминалистики, а также спещ1алы1ых методов других наук.
Так как любая экспертиза долхша ^зироваться на требованиях ее со ставных частей***:
1. Нормативные предписания, являющиеся определяющим факто ром и источником методических рекомендащ1Й криминалистики;
2.Практика, экспертная, следственная, 01юративно-розыскная;
3.Наука, и в первую очередь, 1^жминалистическая наука является треты1м, источником криминалистических методических рекомендаций.
Вопросы разработки и пою1шения качества методического обеспече ния судебной программно-компьют^>ной эксп^пизы являются в настоящее время актуальными и находятся постоянно в стадии обсуждения и научных дискуссий. Разрабатываемая методика экспертного исследования программ но-компьютерных средств, должна в своей сущности соответствовать сле дующим критериям: научной обоснованности, безопасности, законности, этичности, эффективности, рентабельности и котфетносш.
^ Этщкяоастл судс€«ой жсаерпаи I Под ред. Т.В. РлеяриакякЯк • В.К Р«оеся»- ской.-М.:Юр11сг, 1999.
'^ Б. Р. Российская 1ф1шинаяшлггаса. Вопросы и ответы: Учеб. посоСше дяя вузов. -М.: Ъакхж и III»BO, 2000.
104 Пртктическая реализация методики экспертного исследования должна включать в с^я определенные 1фиминалистические методы, с помощыо ко торых производится исследование обеспечивать сочетание видов экспертно го исследования, а также разработку вопросов по применению эксп^тного
инструментария.
В любой экспертной методике должны быть описаны три основных этгша проюводатва судебжШ экспертасзы:
-Подготовительный.
-Аналитически этап, на котором проводится само исследование
объектов.
-Завершающий этап с составлением заключения эксперта. Рассмотрим подробнее каждый из этапов применительно к общей ме
тодике проведения судебной 1фограммно-компыоте{жой 3Kcnq>TK»i.
Подготовительный этап производства судебной программнокомпьютерной экспертизы. Этот этап включает в себя: экспертный осмотр объектов, выдвиж^ше экспертных гипотез (версий), о возможшк путях ре шения вопросе» экспертизы, составление плана экспертного исхледования, проведение организащюнно-техни^ксюЕХ мер, необходишлс для последующих исследований.
Экспертный осмотр объектов СПКЭ всегда начинается с ознакомле ния с основаниями проведения СПКЭ, 1федоставл№нными эксперту мате риалами и уяснения сущности тех объектов, с котс^ыми 1федстоит рабо тать. Далее следует сам осмотр представленных объектов. Во время его осуществления эксперту необходимо, в п^>вую очередь, о^)атитъ внима ние на наличие и целостность упаковки, ее особенности, способ опечаты вания и целостность печатей. Надо отметить, что из-за CBodS специфично сти объекты судебной щюграммно-компьют^жоИ экс1К|П113Ы мшуг^ытъ представлены как в электронном вцде, так и Ш1 "бумежяых носителях. Ос мотр объектов представленных в э1юктронн(ш вцде проводапрся по с^пшм
105
правшюм, 1фименимым к объектам к(»тыотерно-техш1ческой экстщтхял
101
По характеру выполняемых действий осмотр объектов СШСЭ можно разделить на: общий осмотр, осмотр вложений и внешний осмотр компыотерных средств (в частности, носителей информации).
В процессе общего осмотра проводится:
}) Установление х]№Лостиости утгаковки (ксфобок, пакетов, меыпсов и пр.), наличия и состояния печатей, подписей следователя и понятых. Особое внимание нужно уделить объектам судебной гфограммно-компьютерной экспертизы, представленным в электронном виде, поскояы^ они могут быть предоставлены как на внешних носителях информации (FDD, CD стрим^>- ных кассетах и др.), тшс и на внутренних. Необходимо проверить возможносш доступа к про1ршммному продукту после изъятия объекта. В случае, ко гда профаммный продукт предоставлен на внешнем магнитном носителе информации, достаточно просто установить целостность упаковки, в 1«>т(фой они представлены, и печатей Ш1 ней. Если же программный щк^хукг пред ставлен на внутреннем носителе информации, то надо проверить целостность упаковки, если тшсовая имеется, или опечатывания всех разъемов и мест вскрытия к<^н|уса.
2) Установление полного соответствия 1федставленных мате{»1аяов постановлению о назначении экспертизы и перечню приложений, указанных
всопроводительном письме.
Впроцессе осмотра вложений производится:
1)Вскрытие упаковки, по возможности без повреждения печатей и надщисей, и сопоставление содержимого с внутренней описыо вложений (при наличии тшЕОвЫ}).
>»' См., нш1рим^).Суд(бно-э1сс11ерт1ше «^ся^1^тттскштжт^шх€рт:пн4жтем: СХгновы мето;шческого ибеспечення: Учебное пособие / Усов А.А7/ Под ред. 11роф. Е.Р.Росс11ш;кой. - М: Издательстто «^^кэшяев», издательство 4^%)Шо и закон», 2003.
106
2)Составление описи объектов исследования, абна^/ушгеиных внут ри упаковки;
3)Фиксация целостности упаковки вложений и признаков мех£шических повреждений.
4)Внешний осмотр носителей информации содержащих объекты судебной программно-компьютерной экспертизы. В процессе него произво дятся следую1Щ1е дейстшнкя:
4.1) При представлении объекта СПКЭ на внутреннем носителе информации компьютерной системы:
-устанавливаются технические параметры компыот^>ной системы (фиксируются pa3Mq>H корпуса, наличие устройств для рг^ты с носителями информации, наличие и соспю разъемов, плат расширения, iMU^Aymex, накле ек, маркировок);
-устанавливаются конструктивные параметры клавжпур, монито ров, устройств-манипуляторов «мышь», шнуров питания и pp. внешних со ставных частей системы;
-фиксируются явные призншси механических понфезюцений компыотерной системы, затрудняющих работу с ней в шта-пиш реяжме;
-фиксируются серийные и инвент^ные номера осматриваемой
системы.
4.2) При представлении объекта СПКЭ на Ш1еишем носи теле информации компыотерной системы:
-определяется тип носителя информации (накопитель на жестком магнитном диске (HDD), гибкий мапштный диск (FDD, дискета), компактдиск (CD, DVD), магнитооптический диск, ZIP-диск, JAZ-диск, стримерная кассета, FLASH-карга;
-устанавливаются технические трамегры нс»ситея1 информации (фиксируются размеры, наличие наклеек, м^фкировок);
-фиксируются явные признаки механических повреждений носи теля информации, зат1:^дняю1Щ1е работу с ним в штатном pc^KiHtie;
107
-фикс1фу10тся с^ийные и инвентарные номера осматриваемых
объектов.
4.3) При представлении объекта СПКЭ на бумажном но сителе информации компьютерной системы, в основном, они совпадают с осмотром до10^ентов, поступивших для проведения технико-криминалистического исследования документов'^^:
-устш1авливается тип, размер и ^ет бумажного носителя инф<^ мации (например, лист белой бумага формата А4);
-изучается содержание документа как с лицевой, так и с оборот ной стороны;
-устанавливается наличие или отсутствие реквизитов или иных характерных признаков;
Экспертный осмотр объектов судебной программно-компьютерной экспертизы должен оканчиваться подробным описанием признаков иссле дуемых носителей информации. Для апп£фатных носителей, 1^к внешних, так и внутренних, этими признаками являются: тип (ввд, модель); ф(фмфактор и геометрические размеры; цвет; наличие или отсутствие cepHfeoго номера, кода и т.п.; отличительные 1физнаки и особенности с полным их описанием и составом (кнопки, переключатели, наклейки, х^>вктерные надписи, по]Ц>еждения и т.п.). Длябумажных нос№гея^ - тип, 1К1змер, цвет, наличие по]^>еждений, способ нанесения информации, реквизиты, иные характерные отметки (например, комментарии на полях). Признаки самих программных объектов устанавливаются в ходе экспертного исследования.
Проведение экспертного осмотра носителей, на котс^ых представле ны объекты судебной программно-компыотерной эксп^утизы, может чюпровождаться фиксацией внешнего вщщ, р«»1^юв и iD|>ynix призшиков в
'^ См., например^ Аверышсюа Т.В., Бешош Р.С, Kofpiyxtm ЮТ., I4>eemicKM £.Р., Криминалистию. Учебник для вузов. Под ред. %юлужю1Ного допет науки Р.Ф., профес сора Р.С. Велкина. - М.: Изда-рельская группа Н(^МА - 1Ш44^А • М, 1999, с. 302-314.
108 изображениях, получаемых с помощыю цифровой фотокам^>ы или скане ра. Впоследсгаии, 1юлученные изображения оформляются в шзде фототаб лицы, распечатываются и прикладываются к заключению эксперта в части, касающейся описания объектов.
Следующие действия эксперта связаны с выдвижением экспертных версий (гипотез) о возможных путях решения вопросов и о выводах, кото рые предполагает 1юлу«шть эксп^гт. Здесь мсс1кртом О Ж Э выЕДШ1гаегся рабочая гипотеза, в которой выводятся предположения о том, каким, по его мнению, может быть результат исследования (предварительный, подлежа щий проверке вывод эксп^гга), на основе чего ставятся задачи и пути их возможного реш»1ия *^^.
Например, перед экспертом стоит задача исследования тжста про- грвммы, изъятого у подозреваемого лица, на щзедмет обнаружения В 116Aft признаков вредоносности. В этой ситуации эксперт принимает гапотезу о том, что исходя из анализа представленных материалов дела, можсно эошяочтъ - в тексте программы имеются функции, приводящие к несанкциони рованному копированию инфо1»||ации на Инте^жет-адфес неизвестного ли1щ. Пл оснсше этого предпожккения эксткрг составляет план этеспертного исследования.
Составление плана экспертного исследования представляет собой логически проработанную последователыюсп действий, предпринимае мых экспертом СПКЭ для решения поставленной эадти. Именно этот план впоследстш1и и станет тем логичес]жм остовом, опираясь ira котсфый эксперт должен будет в процессе проведения исследования 1фог[»ммного продукта составлять экспер-гаое зшслкгаение. Логичес1Шя пр(^М1£ботанность
'^' ЭНЦИКЛ01ЮДИЯ судебной экспертизы /Под ред. TJB. АикритотоЛ и£.Р. Роесин-
ской. -М.: Юрист, 1999.
109
и обосноюнность плана экспертного исследовгшия способствует получе-
104
нию заключением статус источника доказателыггв .
Проведение организационно-технических мер, необходимых для по следующих исследований, включает определение требуемого технического (стеццового обс^удования либо специального апп^^атно-хфограммного ин струментария) и организационно-методического обеспечения (экспертных методапс, росомецщщий, инструкхщй и пр.). В в|>оцессе STKK дейспшй жс- перт судебной программно-компьют^>ной экспертизы должен, в соответст вии с разработанным планом действий, наметтъ перечень аш1^>атнопрограммных средств, которые он будет использовать 1фи исследовании, оп ределить степень своего участия и способ взаимодействия с щ^угими экспер тами при проведении комплексной и комиссионной эксп^угизы программ ных продуктов*^.
Основные инструментальные средства для исследования объектов су дебной программно-компьютерной экспертизы представляют собой компью терные программы.
Их задача выявить признаки исследуемого объекта, кот(фые смогут по служить основанием для гипотез, выводов или утвержд«1Ий в рамках iqxmo-
ДИМОЙ ЭКС1ЮрТИЗЫ.
Все средства мояшо условно поделить на средства, котс^ые наследуют динамическЁле характеристики прог^^ммы и средства, котс^ые исследуют
статические характеристики.
К статическим харшстеристикам программы относятся ее структура, используемые модули, интерфейсы, разм^ файла, в котором сод^>жится код программы, дата его создания. К динамическим харшстертстикш^! - ^>емя и
'^ Усов АЛ. Методы и средотш! решения задач компьют^энотехнической экспертизы: Учебное поссбие. -М.: ГУ !ЖЦ Ь/ШД России, 2002.
'^ См., ивщяш/ер. Отчет о научш>-1юсжд(»«геякж(й рвЁ<пе иМеатл я средства решения задач пшт^л^^жо-техштавской жом^рт»! // Зсжлючнтелышй отчет. Тема НИР №3.7. Коллектив авторов. ЖЦ МВД Роееии и ЮИ^^Д РФ, 20^.
no
скорость выполнения отдельных функций щюграммы, используемые ресур сы операционной системы, генерируемые сообщения (для MS WindowsX ис пользуемые программой функции операционной системы (для Windows - API функции), используемые внешние устройства.
В рамках проводимой в ЭКЦ МВД научно исследовательской работе «Методы и средства решения задач компьютерно-технической экспертизы» ^1ли жхледовшш средств позволяющее выявлять статические характери стики программы:
OLE/COM Object View'^ - этот программный продукт входит в ком плект утилит, поставляемых компанией Microsoft с Vislшl Studk>. Он предна значен для просмотра информации о в<жх OLE и СОМ объектах, установлен ных на компьютере. OLE и СОМ объекты - это отдельные программные мо- ;^ли, которые могут быть использ(»аны одной или несколькими прогрвыьш- ми. Каждый такой объект имеет (юбственный интерфейс, то есть правила, по которым внешние программы могут его использовать. Про1рамма позволяет просматривать информацию об интерфейсах, 1фоме этого, прогреалыа. позво ляет определить GUID компонента. Всю информацию 1ф01рш4»ю выбирает из реестра операционной системы (ОС). С пояющью этой профаммы эксперт может найти программный компонент'^, а затем сделать предположения о исполняемых им функциях.
ActiveX Control Test Contain^'"* - средство, поставляемое компанией Microsoft с пакетом программ Visual Studio и гфедназначенное для исследо вания объекта суд^ной программно-компьютерной эксперти%1, щзедстав-
'^ Использованы матерталы сайтов сети Интернет: http://1ivedocs.macroinedia.C(Mn/col<ffiisicHi/6.1/11(тккхя/сбЯ>^16.htni; liti]>://wwwjnicrosoil.coni/oledev; tit^://c|)p.h(^niail.ni/iiidexJibid.
^^ Под программным компонентом шшюмется »oMnu0vq)Haa щ/сяршшл, ноторая моясет загружаться в память я яс1Ю«>зо»аться цругтюл пропммлмамн
'^ Использованы Ш1те1»1алы асурнала Cotncput^rwcjiM # 27 1997 г. 0ittp://osp^anet.niAnpv/1997/27/iiidex.htm)