Обыск с извлечением компьютерной информации

  • Автор темы сталкер
  • Дата начала
сталкер

сталкер

Пользователь
Регистрация
30 Июн 2010
Сообщения
28
Своеобразие тактики и технических средств, применяемых для обнаружения и изъятия информации, хранящейся в оперативной памяти компьютера или на физических носителях, позволяет выделить новый вид обыска – обыск средств компьютерной техники. Такой обыск может производиться по делам о неправомерном доступе к информации, о создании вредоносных программ, о нарушении работы вычислительных комплексов, а также по любым делам, где требуется просмотр и изъятие документов, хранящихся не только на бумажных, но и на компьютерных носителях в виде файлов, подготовленных на данном компьютере, полученных с другого компьютера или отсканированных с бумажного документа.

Перед обыском объекта, где по имеющейся информации находятся средства компьютерной техники (СКТ), желательно получить оперативную ориентировку по следующим вопросам.

1. Количество СКТ на месте, где предполагается произвести обыск, наличие устройств бесперебойного питания. Сведения об используемых телекоммуникационных средствах: есть ли модем для связи компьютеров через телефонную сеть, объединены ли несколько компьютеров в локальную сеть внутри организации, имеется ли сервер – компьютер, который обслуживает остальные персональные компьютеры; есть ли подключение к региональной или глобальной сети. Часть этих сведений можно получить на основе предварительного анонимного посещения объекта, часть может сообщить провайдер – фирма – поставщик сетевых услуг. Наличие электронной связи в организации могут прояснить "шапки" бланков писем, реклама, прайс-листы и приглашения "посетить нашу Web-страницу в сети Internet".

2. Профессиональный уровень обслуживания компьютера в организации или уровень владельца – пользователя компьютера, в том числе его профессиональные навыки в области вычислительной техники. Предусмотреть возможность или даже необходимость привлечь при обыске к сотрудничеству лицо, ответственное за эксплуатацию СКТ, а при наличии сети – сетевого администратора.

3. Есть ли на СКТ программные или программно-аппаратные средства защиты от несанкционированного доступа. Если на СКТ имеются средства защиты, попытаться установить код доступа. Можно рассчитывать на последующие специальные приемы "взлома", поскольку некоторые популярные системы, в частности Windows, имеют слабые программные средства защиты и поддаются проникновению с использованием настроек или специальных программ. Выяснить, не защищает ли информацию электронный ключ – компактная электронная приставка размером со спичечный коробок, устанавливаемая на параллельный или последовательный порт (разъем) компьютера. Электронный ключ разрешает пользоваться защищенной программой и ее данными только при своем наличии. Возможно, компьютер защищен от доступа устройством чтения смарт-карт. Если на компьютере эти устройства предусмотрены, но в данный момент не подключены, можно предложить владельцу предъявить их добровольно или найти путем обычного обыска.

Целесообразно обеспечить участие в обыске специалиста в компьютерной технике и информатике: программиста, системного аналитика, инженера по средствам связи или сетевому обслуживанию.

По возможности в качестве понятых пригласить лиц, разбирающихся в компьютерной технике. В последние годы специалистов можно подобрать в солидных компьютерных фирмах с опытом услуг и преподавания на курсах по соответствующему профилю.

Необходимо подготовить переносную аппаратуру для считывания и хранения изымаемой информации. С собой можно взять переносной компьютер и программное обеспечение, набор которого должен быть сформирован по совету с экспертами, а также переносные накопители информации со сменными носителями, способные вместить большой объем информации. Например: стример (ленточные кассеты), сменный жесткий диск, дисководы и диски сверхплотной записи (устройства Zip, arive, DVD) и т.п. Прийти на объект обыска лучше в момент максимального рабочего режима и срочно принимать меры по обеспечению сохранности СКТ и имеющихся на них данных. Необходимо распорядиться, чтобы персонал покинул рабочие места без прекращения работы техники и без завершения программ. Лучший вариант здесь – "оставить все как есть". На обзорной стадии обыска лицам, находящимся в помещении, запрещается прикасаться к включенным СКТ. Можно установить охрану, наблюдение, отделить находящихся на месте обыска сотрудников организации в определенной части помещения и т.д. Не разрешать выключать электроснабжение объекта. Если же электроснабжение на данный момент отключено, то перед его восстановлением желательно отключить от электросети всю компьютерную технику.

Учитывается изображение, существующее на экране дисплея компьютера, если он включен. Если изображение на экране монитора выдает сообщение о текущем процессе удаления (уничтожения) информации, необходимо пойти на крайнюю меру – экстренно отключить компьютер от сети, а последующее включение провести с помощью специалиста. Необходимо занести в протокол названия программ, работавших в момент обыска, название и характер документов, с которыми шла работа.

Следует определить, соединены ли СКТ, находящиеся на объекте обыска, в локальную вычислительную сеть и есть ли управляющий компьютер – сервер. Серверу нужно уделить особое внимание, так как там находится большой объем информации. Хотя и на рядовом компьютере сети (на рабочей станции) тоже может находиться собственная информация. В случае сетевого соединения с другим компьютером по внутренней сети или по глобальной - установить его сетевой адрес.

Изымаются (при наличии) документы регистрации включения информационной системы и подключения к ней, журнал оператора ЭВМ, иные записи, относящиеся к работе на СКТ. В некоторых ситуациях, особенно перед изъятием, желательно составить для протокола план – эскиз помещения, указав на нем расположение СКТ. Возможно изъятие официальных планов или схем, составленных и утвержденных в самой организации. Подробно описывается порядок соединения между собой всех устройств, фиксируется наличие либо отсутствие используемого канала связи (модемы, сеть). Устанавливается тип связи, используемая в этих целях аппаратура, абонентский номер. Отмечается серийный номер (если он доступен) компьютера и его индивидуальные признаки. Рекомендуется исследовать, а при необходимости приобщать к делу магнитные носители информации: дискеты и жесткие диски, кассеты ленточных стримеров. В последнее время избранная информация может записываться по инициативе владельца на лазерный диск, поэтому при наличии таких дисков их тоже можно исследовать.

В отдельных случаях при обыске нужно искать тайники, где могут храниться сменные компьютерные носители информации; с помощью специалиста вскрывать корпуса аппаратных средств компьютерной техники, чтобы обнаружить специально отключенные внутренние носители информации, например дополнительный жесткий диск.

Если обыск проходит по делу о разработке программ в преступных целях, необходимо найти и изъять текст программы с компьютера или его распечатку. По делу о незаконном производстве пиратских программ для нелицензионного распространения без разрешения разработчика необходимо описать найденную "готовую продукцию", перечень программ, размещенных на лазерных дисках, попросить предъявить разрешение фирмы или автора на выпуск именно этой программной продукции. С другой стороны, в организациях при обыске можно определить по компьютеру перечень установленных программ и потребовать лицензию или другие документы, подтверждающие законность их использования. Установленной считается программа, которая извлечена из сжатого (архивного) состояния и – после прохождения этапа предупреждения о необходимости лицензионного использования ~ установлена (инсталлирована) в рабочий каталог.

После выполнения указанных мероприятий можно приступить к поиску информации на компьютере. Машинные носители информации не читаемы визуально. В связи с этим следователь стоит перед дилеммой: изымать все СКТ "вслепую" и разбираться, есть ли на них значимая для дела информация после завершения обыска, или изучить с помощью специалиста на месте обыска содержащуюся на СКТ информацию, чтобы определить, что следует изъять.

Значительную долю данных на компьютере занимают программы, а документы составляют только часть. Кроме технических сложностей существуют и экономические: в случае выхода из строя ЭВМ банк, как правило, может "продержаться" не более двух дней, оптовая фирма – 3-5, компания обрабатывающей промышленности – 4-8, страховая компания – 5-6 дней. В связи с этим радикальное изъятие компьютерной техники грозит последующими претензиями пострадавших организаций. Поэтому желателен экспресс – анализ информации, содержащейся на СКТ, который, кстати, целесообразен и для оптимизации дальнейших поисковых действий следователя.

В ситуации, когда изъять СКТ и приобщить к делу в качестве вещественного доказательства невозможно либо нецелесообразно, следует распечатать интересующую информацию на принтере либо скопировать интересующие следствие сведения на дискеты, а большой объем информации – на стример, на переносной диск сверхбольшой емкости типа Zip или даже на дополнительный жесткий диск. Не изымая весь компьютер, можно изъять из системного блока жесткий диск, провести контрольную распечатку идентификации принтера на нескольких видах бумаги. В организациях с большим объемом информации может применяться резервное копирование на выделенный компьютер, который надо отсоединить от сети и временно расположить в отдельной комнате для исследования в ближайшие дни. Понятым даются необходимые пояснения.

"Средний" пользователь обычно не догадывается, что фрагменты или целые файлы, которые программы создают как временную подсобную базу для работы, нередко остаются на диске и после окончания работы. Во всяком случае, такие хранилища обрывков временных файлов целесообразно проверять при обыске. Популярный программный пакет Microsoft Office после установки на компьютере ведет негласный файл – протокол, куда заносит дату и время всех включений компьютера. Программы связи и работы с сетью запоминают адреса многих интернет – контактов пользователя, документы электронной почты с адресами отправителя.

Остающиеся на месте обыска СКТ можно опечатать путем наклеивания листа бумаги с подписями следователя и понятых на разъемы электропитания, на крепеж и корпус. Не допускается пробивать отверстия в магнитных носителях, ставить на них печати. Пояснительные надписи на этикетку для дискет наносятся фломастером, но не авторучкой или жестким карандашом.

Если есть необходимость изъять СКТ после обыска, следует выйти из программы, исполняемой компьютером для операционной системы Windows, правильно завершить работу самой системы, а затем отключить электропитание всех средств компьютерной техники, подлежащих изъятию. Как уже отмечалось, желательно описать в протоколе рабочие кабельные соединения между отдельными блоками аппаратуры. Аппаратные части СКТ разъединяются с соблюдением необходимых мер предосторожности, одновременно пломбируются их технические входы и выходы. При описании изымаемых магнитных носителей машинной информации в протоколе отражается заводской номер, тип, название, а при их отсутствии подробно описываются тип, размер, цвет, надписи. Фиксацию указанных сведений в протоколе обыска желательно дополнить видео съемкой либо фотосъемкой. Магнитные носители информации при транспортировке и хранении не должны оказаться вблизи мощных магнитных полей.
 

Holty

Пользователь
Регистрация
8 Окт 2010
Сообщения
2
Логично использовать внешний жесткий диск, что-бы избежать половины описанных проблем
 
Blondi

Blondi

Пользователь
Регистрация
8 Апр 2011
Сообщения
11
Такой обыск может производиться по делам о неправомерном доступе к информации, о создании вредоносных программ, о нарушении работы вычислительных комплексов
Интересно, по какому принципу определяется вредоносность программы? Я сейчас доделываю проектик проги, которая активируется двумя кликами пользователя, и примерно за 30 секунд осуществляет "легкое" форматирование дисков, которые были прописаны в нее, при этом на экране встает ширма, скрывающая активную прогу. Человек ставит ее себе сам, активирует ее сам, так она считается вредоносной или нет.
 
bathord

bathord

МОДЕРАТОР
МОДЕРАТОР
Регистрация
12 Июл 2010
Сообщения
959
Blondi, а как системный раздел форматируется? он же должен быть"залочен" системой.
 
Blondi

Blondi

Пользователь
Регистрация
8 Апр 2011
Сообщения
11
Blondi, а как системный раздел форматируется? он же должен быть"залочен" системой.
Пишется bat'ник. Это файл, исполняемый операционной системой, для него нет ограничений.
 

Миха

Пользователь
Регистрация
31 Окт 2010
Сообщения
10
Blondi, Насколько я знаю, сей програмный код будет считаться вредоносным, так как пользователь, запуская инстал проги вашей, не прочитал лиц. соглашение, не знал что ставит, а возможно и вообще не знал, что ставит))) такие програмки хорошо к фоткам приклеивать (ИМХО)
 
Blondi

Blondi

Пользователь
Регистрация
8 Апр 2011
Сообщения
11
XКХ, не совсем поняла смысл вопроса. Поставить такую вещицу на компьютер в магазине или офисе на случай маски-шоу?

Миха, то есть если человек прочитал и подписал листочек, где описаны действия и последствия запуска, то это уже не вредоносная прога?

P.S. bathord, это же Виндовс, тут возможно все, кроме, пожалуй, 100% нормальной работы XD
 
Последнее редактирование:
Blondi

Blondi

Пользователь
Регистрация
8 Апр 2011
Сообщения
11
Кстати, уже вторые сутки очень интересная ситуация у меня с доступом к сайту. Когда захожу без регистрации со своим реальным айпишником, то минут через пять все виснет (не может отобразить страницы), хотя другие сайты грузятся. Когда захожу через прокси, то все нормально работает. Интересно, может ли провайдер заносить ресурсы в "черный список", что бы пользователи не могли туда заходить?
 
Blondi

Blondi

Пользователь
Регистрация
8 Апр 2011
Сообщения
11
Blondi, Это говорит о том что у Вас есть БОТ на данном ресурсе, который зарегистрирован на ваш IP
Ну не знаю, регистрировалась один раз, причём с прокси. Т. к. качество соединения через прокси порой оставляет желать лучшего, что бы просто новые сообщения посмотреть, не регистрируясь, захожу со своего IP. Кто-то посторонний на мою сетку вряд ли мог сесть.
 
Blondi

Blondi

Пользователь
Регистрация
8 Апр 2011
Сообщения
11
Blondi, а зачем через проксю ходишь, у нас честный ресурс :)
Я параноик, ибо всякое в жизни бывает, практически на всех ресурсах с прокси. И аськой, и мэйл агентом не пользуюсь, и по возможности на ru почтах не регистрируюсь.

По поводу твоего файла-вируса форматирующего системный раздел, как в одноименном фильме "Не верю!".
Системный раздел из под винды не отформатируешь, он залочен системой.
Ответила в ЛС
 
Последнее редактирование:

Tasm

Пользователь
Регистрация
10 Апр 2011
Сообщения
9
конспирация это конечно хорошо,но какой смысл,прокси не поможет,если есть реально то, за что могут вас искать...100% безопасность требует немалых усилий.А вот web камеру если есть неплохо бы с закрытым объективом держать)))насчет форматирования диска так и не понял,системный диск не получится таким образом форматнуть.С любых носителей после обычного форматирования можно все восстановить.Очень часто пользуюсь такими прогами,иногда бывает удалишь что-нибудь случайно,но это не проблема.Для удаления без возможности восстановления есть несколько способов,самый простой и доступный,форматнуть диск,сделать текстовый файл из нулей и единиц и полностью заполнить винт такими текстовыми файлами.А лучше не хранить ничего проблемного на компе)))
 
Blondi

Blondi

Пользователь
Регистрация
8 Апр 2011
Сообщения
11
конспирация это конечно хорошо,но какой смысл,прокси не поможет,если есть реально то, за что могут вас искать...100% безопасность требует немалых усилий.А вот web камеру если есть неплохо бы с закрытым объективом держать)))насчет форматирования диска так и не понял,системный диск не получится таким образом форматнуть.С любых носителей после обычного форматирования можно все восстановить.Очень часто пользуюсь такими прогами,иногда бывает удалишь что-нибудь случайно,но это не проблема.Для удаления без возможности восстановления есть несколько способов,самый простой и доступный,форматнуть диск,сделать текстовый файл из нулей и единиц и полностью заполнить винт такими текстовыми файлами.А лучше не хранить ничего проблемного на компе)))
Прокси достаточно для серфинга по сайтам, взлома интересующих (без нормальной СБ) почт и т. д.. Для чего-то более нормального и серьезного, есть две ноги или машина и максимум ломанных сеток WiFi по всему городу)))) Бесплатные по городу не годятся, ибо обычно у них всегда есть око "Большого брата". Веб-камера всегда, кроме отдельных случаев, отключена через BIOS.
Форматнуть диск качественно не возможно за 30 секунд, это просто дает отсрочку. Если захотят, дадут ссыль. Я работаю на проект, заказчикам не понравится, если дам исходники и описание. По поводу не хранить на проблемном компе, как будет время, напишу статью, как хотя бы по низкому качеству оградить себя.
Но тут тоже все сложно. Однокашник работал 2 года в букмекерской конторе. Каждые полтора - два месяца - маски-шоу. Из описанного выше поста, бьют прикладами по рукам. Самой что запомнила: "Пошёл чел за железом на склад, выходит с серверным оборудованием, а там, автомат в морду, стоять, мляяя, и не двигайся)) Человек час простоял у стены, потом просто пролз вниз с тихим шепотом:"...........".
 

Vadim

Пользователь
Регистрация
3 Май 2011
Сообщения
2
форматирование винта - не удалит всю инфу, выход - просто забить винт полностью чем-нибудь не нужным)
 
bathord

bathord

МОДЕРАТОР
МОДЕРАТОР
Регистрация
12 Июл 2010
Сообщения
959
шифрованные контейнеры и палевная инфа хранимая там спасет отца русской демократии!)
 
orenstyle

orenstyle

Пользователь
Пользователь
Регистрация
24 Фев 2011
Сообщения
78
Если важно, чтобы файл хранился на вашем компе, то архивируйте раром и ставьте пароль.
Ну архив WinRar тоже можно взломать. Если к примеру милиции этот заархивированный файл понадобится, то некоторые умельцы смогут его открыть.
 

Исеть

Участник
Пользователь
Регистрация
28 Мар 2013
Сообщения
114
Это-то все понятно - как правильно вести дела на компе. Но все ли живут одни? Нет, есть родственники наверно у каждого, вот тут слабое место, дверь не званным гостям по незнанию может открыть мама(папа), сестра брат.
 
Zebb

Zebb

МОДЕРАТОР
МОДЕРАТОР
Регистрация
18 Апр 2011
Сообщения
1,397
шифрованные контейнеры и палевная инфа хранимая там спасет отца русской демократии!)
Это точно. Но есть временные файлы, которые будут лежать в нешифрованной области жестяка. По этому целесообразней шифрануть винт полностью тем же тру криптом
 

addas

Пользователь
Регистрация
24 Сен 2013
Сообщения
4
Логично использовать внешний жесткий диск, что-бы избежать половины описанных проблем
При обыске, изымаются все "носители информации". Если только его легче спрятать\выкинуть.
 
Ваш адрес электронной почты не будет общедоступным. Мы будем использовать его только для связи с вами, чтобы подтвердить ваше сообщение.

Сверху Снизу