Компьютерно техническая экспертиза вопросы: Типичные вопросы, решаемые судебной компьютерно-технической экспертизой?

Содержание

Частые вопросы о компьютерно-технических экспертизах

Можно ли отследить, осуществлялся ли выход в Интернет при помощи конкретного оборудования (USB-модем) и на какие конкретно сайты?

Возможность подтверждения факта использования USB-модема для выхода в Интернет зависит от типа модема. В случае использования модема, работающего с SIM-картой сотового оператора, на компьютерно-техническую экспертизу необходимо предоставить как модем, так и карту. В случае использования модема без SIM-карты (например, yota) факт его использования для выхода в Интернет будет определяться по IMEI-коду модема.

В деле имеются фотографии (на флешке), которые могут подтвердить, что в момент преступления я находился в другом месте. Для этого нужно определить, где, когда и при помощи какого фотоаппарата были отсняты фотографии. Как назначить экспертизу? Что нужно для этого?

Назначить проведение компьютерно-технической экспертизы фотографий в нашем экспертном учреждении может непосредственно суд. При постановлении суда необходимо предоставить фотографии на электронных носителях информации и фотоаппарат, которым предположительно были сделаны снимки.

Кроме того, исследование может быть проведено по инициативе одной из сторон (по ходатайству адвоката или заявлению участника процесса). В такой ситуации по результатам исследования будет предоставлено заключение специалиста, которое также может быть приобщено к материалам дела. При проведении экспертного исследования по собственной инициативе участники процесса также должны предоставить фотографии на электронных носителях информации и фотоаппарат.

Есть подозрение, что скорость интернет-соединения через USB-модем гораздо меньше заявленной провайдером. Хотел бы предъявить претензии. Может ли в данном случае помочь компьютерно-техническая экспертиза?

Да, компьютерно-техническая экспертиза аппаратных средств вполне может разрешить ваш вопрос. Для этого нужно будет предоставить на исследование USB-модем. Специалисты в рамках компьютерно-технической экспертизы определят его технические характеристики: емкость, форм-факторы, среднее время доступа к данным, скорость передачи данных и т. д. Компьютерно-техническая экспертиза также проверит скорость передачи данных на соответствие заявленной в договоре. По результатам исследования вам выдадут письменное заключение в установленной форме. Выводы независимой компьютерно-технической экспертизы могут доказать факт невыполнения провайдером своих обязательств и стать основанием для досрочного расторжения контракта.

Если системный блок компьютера изъят для проведения компьютерно-технической экспертизы, не изменится ли хранящаяся на нем информация?

Компьютерно-техническая экспертиза предусматривает сохранение содержимого носителей информации в неизменном виде. Более того, этого требует Уголовно-процессуальный кодекс РФ, который гласит, что  эксперту запрещено совершать действия, которые могут привести к изменению основных свойств исследуемого объекта. Если данный запрет будет нарушен, это устранит в случае необходимости возможность проверки заключения эксперта  – проведение повторной компьютерно-технической экспертизы.

В ходе проведения компьютерно-технической экспертизы специалист работает через так называемую доверенную операционную систему, которая не записывает ничего несанкционированного на жесткий диск. Он на  исследуемом компьютере может быть и физически защищен от изменений за счет подключения его через особое устройство.

Для проведения собственно компьютерно-технической экспертизы исследователь либо создает файл-образ жесткого диска на своем компьютере, либо через специальное программное обеспечение посекторно копирует на другой жесткий диск. Вся информация на изъятом жёстком диске компьютера сохраняется в неизменном виде.

 

Решает ли компьютерно-техническая экспертиза вопрос о работоспособности программного продукта?

Да, решает. Компьютерно-техническая экспертиза опирается в этом случае на определение работоспособности, содержащееся в ГОСТ 28195-89, в котором указывается, что работоспособность программы означает ее способность функционировать

  • в заданных режимах;

  • в заданных объемах обрабатываемой информации;

  • в соответствии с программными документами.

Исходя из этого, специалист по компьютерно-технической экспертизе, перед которым возник вопрос о работоспособности программы, запрашивает дополнительные материалы – техническую документацию. Она составляется разработчиком программы и может называться «Техническое задание» или «Методика испытаний».

            Если ходатайство эксперта удовлетворяется, он приступает к проведению компьютерно-технической экспертизы, проводя серию экспериментов и сравнивая поведение программы с тестами из «Методики испытаний». По окончании составляется заключение компьютерно-технической экспертизы. Если ходатайство не удовлетворено, то специалист по компьютерно-технической экспертизе составляет мотивированный отказ от выпуска экспертного заключения.

Следует ли в рамках компьютерно-технической экспертизы распечатывать все документы, обнаруженные на исследуемом носителе?

Нет, это не обязательное условие. Компьютерно-техническая экспертиза не требует распечатывать все найденные документы на носителе информации. Для специалиста по компьютерно-технической экспертизе нужно сохранить содержимое исследуемого носителя информации в неизменном виде, создать копию и уже по ней проводить компьютерно-техническую экспертизу. Эту копию на отдельном носителе нужно передать следователю. Эксперт может распечатать для него несколько небольших, но важных документов, но не более того. Отказ от распечатки экономит деньги, бумагу, расходные материалы принтера, время и позволяет специалисту сосредоточиться на проведении собственно компьютерно-технической экспертизы.

Может ли компьютерно-техническая экспертиза определить, является ли определенная программа вредоносной?

Компьютерно-техническая экспертиза не отвечает на подобные вопросы. Вредоносная программа заведомо приводит к несанкционированному уничтожению, блокированию, модификации или копированию информации, охраняемой законом. Это определение указывает на действия человека, проявление его воли и связано с функционированием правовой системы. Следовательно, вопрос о вредоносности программного обеспечения находится вне компетенции специалиста по компьютерно-технической экспертизе. Объектами исследования компьютерно-технической экспертизы являются компьютеры, электронные носители информации, системы обеспечения реализации информационных процессов.

Можно ли проверить качество программного продукта в ходе экспертизы программного обеспечения?

Да, экспертиза программного обеспечения позволяет отследить программное обеспечение ненадлежащего качества, определить степень его совместимости с техникой, выявить причины сбоев и признаки контрафактности программного обеспечения. Конечная цель экспертизы качества программного обеспечения – проверка завершенности и приемлемости программы для конечного пользователя.

На первом этапе экспертизы программного обеспечения проводятся технологические испытания, чтобы проверить соответствие количественных и качественных показателей. Второй этап экспертизы программного обеспечения предусматривает функциональное тестирование, чтобы сравнить функциональные характеристики, указанные разработчиком, с исследуемым программным продуктом. Завершается экспертиза программного обеспечения составлением экспертного заключения.

В нашей компании были установлены компьютерные программы. Есть подозрение, что они контрафактные. Как провести проверку и в случае положительного результата предъявить претензии?

Для этого вам нужно провести компьютерно-техническую экспертизу. Специалист проверит, имеются ли у установленного ПО признаки контрафактной продукции (понятие контрафактности является юридическим, поэтому компьютерно-техническая экспертиза не отвечает на вопрос о контрафактности, а только может указать наличие признаков того, что установленно ПО является контрафактным). Контрафактными считаются произведения, изготовление и распространение которых приводит к нарушению авторских и смежных прав. Было ли такое нарушение в Вашей организации, должны проверить сотрудники правоохранительных органов. Для этого вы можете предоставить им заключение по результатам компьютерно-технической экспертизы.

Компьютерно-технические экспертизы: цели и особенности

Нередко юристы в своей практике прибегают к помощи компьютерно-технических экспертов. Компания RTM Group делится своим опытом в сфере компьютерно-технических экспертиз и рассказывает, как они взаимодействуют с судами, адвокатами и заказчиками. Глава технического департамента фирмы разъясняет, когда есть необходимость в проведении такого исследования, в чем его особенности, как выбрать эксперта и правильно с ним взаимодействовать.

Применение компьютерно-технических экспертиз

Компьютерно-техническая экспертиза может потребоваться в любой ситуации, где возможен спор, связанный с компьютерной техникой, компьютерной информацией и компьютерными программами. Сфера может быть самой разнообразной – от нефтедобывающей промышленности и логистики до общепита и мусора, поскольку практически все отрасли сейчас автоматизированы и работают при помощи компьютеров. 

Случай из практики. Исследовали систему слежения за мусорными грузовиками. Было необходимо установить реальное положение автомобилей по датчикам GPS, так как некие злоумышленники исправляли их положение в базе данных, давая возможность мусорщикам не выполнять свои трудовые обязанности. Позже результаты экспертизы были востребованы в рамках уголовного дела.

Экспертизы необходимы и в тех случаях, когда компьютерная техника или компьютерная информация сами по себе являются предметом разбирательства. 

Как правило, если это арбитраж, то речь идет о качестве товара или программного продукта, или оказанной услуги, связанной именно с разработкой и поддержкой компьютерных программ (в соответствии со статьей 82 АПК РФ, в порядке, указанном в статье 83 АПК РФ). 

В уголовном процессе чаще всего к ней обращаются, когда пытаются доказать фальсификацию улик: запись телефонного разговора, видеозапись регистратора, просят найти монтаж, нарушения в действиях сотрудников оперативных органов и т.д. Все чаще на слуху статья 274.1 УК РФ по несанкционированному воздействию на критическую информационную инфраструктуру, и здесь без компьютерно-технической экспертизы разобраться нельзя.

Когда дело доходит до назначения экспертизы, обычно к экспертам обращаются либо адвокаты, либо непосредственно компетентные органы. Негосударственные учреждения удобны по ряду причин. Во-первых, из-за сроков, тут они, как правило, значительно быстрее, а во-вторых, из-за отсутствия ограничений по методикам: ЭКЦ МВД работает по определенному перечню утвержденных методик и отступить от них не может, в то время как экспертные компании методиками не ограничены. Они могут действовать на основании экспертной практики, опыта в соответствующих отраслях информационных технологий и информационной безопасности и, соответственно, негосударственные компании способны решать более широкий круг вопросов. Для суда нет разницы, какая компания проводила экспертизу – частная или государственная.

На сегодняшний день для арбитража компьютерно-технические экспертизы – это один из самых востребованных видов, шире применяются только документоведческие и почерковедческие экспертизы, поскольку арбитраж так или иначе работает с документами. Суды охотно принимают компьютерно-технические экспертизы, поскольку сама по себе компьютерно-техническая сфера для судьи, юриста по образованию, очень сложная. Соответственно, любое мнение эксперта-специалиста воспринимается судом как помощь в понимании фактических обстоятельств дела.

Взаимодействие суда, сторон и эксперта

Взаимодействие стоит делить по делам на уголовные, арбитражные и гражданские.

Каждая из сторон ходатайствует о назначении экспертизы в связи с тем, что есть вопросы, которые не могут быть разрешены судом без специальных познаний, если, конечно, речь не идет о фальсификации доказательств, где судья самостоятельно может назначить экспертизу. 

Стороны приносят информационные письма от экспертных учреждений, где указано, что экспертное учреждение готово провести экспертизу и предоставить ответы на интересующие вопросы. При этом важным является такой аспект: далеко не все экспертные учреждения готовы принять на себя ответственность и предоставить заключение с однозначными или относительно однозначными ответами, часто используют термины «с большей долей вероятности», «возможно». То есть фактически оставляют вопросы открытыми, без ответов. Что, на наш взгляд, неприемлемо. Если какое-то учреждение берется проводить исследование и готово представить экспертное заключение, то это должна быть не просто формальность «за деньги клиента», должна быть реальная готовность учреждения провести экспертизу данного вида. 

В письме указываются сроки, стоимость, компетенция эксперта. Судья на основании этих писем, своего опыта и иных причин вносит решение о том, что надо назначить экспертизу именно в это учреждение, поставить именно такие вопросы, доставить именно такие материалы. После этого судья обязывает стороны арбитражного дела внести деньги на депозит, предоставить необходимые материалы, если они не находятся в суде, и суд ждет, пока эксперт проведет экспертизу. Если все условия выполнены, экспертиза может быть проведена. После проведения экспертизы эксперт возвращает заключение в суд, а материалы возвращаются по решению суда – либо одной из сторон, либо в сам суд. На этом взаимодействие эксперта и суда заканчивается.

Но здесь может быть несколько нюансов.  

Первый. Материалов, которые переданы эксперту, недостаточно, и эксперт запрашивает дополнительные материалы. Если экспертиза судебная, он делает это только через суд; если это не судебная экспертиза, то, соответственно, запрашивает у заказчика (см. статья 57 УПК РФ).

Второй. Вопросы могут оказаться неразрешимыми, например, носитель информации безвозвратно поврежден. В таком случае заключение не пишется, а пишется формальная бумага, и экспертиза возвращается без исполнения. Такие случаи крайне редкие, но случаются. 

Третий. Что-то пошло не так. К сожалению, самый распространенный случай, когда после ответа эксперта у сторон или у суда возникает еще больше вопросов, чем было поставлено перед экспертом. Например, эксперт в заключении раскрыл аспект дела, который вызывает интерес. В этом случае могут быть назначены дополнительные экспертизы, что регламентировано статьей 87 АПК РФ, статьей 20 73-ФЗ, статьей 87 ГПК РФ. Эксперт может быть вызван в суд для дачи показаний, ему может быть направлен «особенный» вопрос, а если это уголовное дело, то с требованием письменного ответа. Последнее практикуется крайне редко, поэтому основное – это дополнительная экспертиза и допрос эксперта в суде.

Эти действия могут занимать больше времени, чем основная экспертиза. 

Случай из практики. Экспертиза, производство которой заняло два часа, повлекла за собой судебное разбирательство с допросом эксперта продолжительностью три с половиной часа, не считая времени на дорогу в другой город. 

Особенности экспертизы

Самое главное и сложное – необходимо сохранить в неизменном виде объект исследования в соответствии со статьей 16 73-ФЗ. Естественно, владельцы гаджетов, дорогих авто (при исследовании, например, головного устройства) и т.п. всегда желают, чтобы их собственность не претерпела изменений, тем более повреждений. Действия эксперта в условиях проведения исследования зачастую очень ограничены. То есть эксперты получают телефон, компьютер и т.п. Они не имеют права его включать, потому что если они его включили, то объект исследования мог измениться. Поэтому эксперты должны на выключенном устройстве скопировать информацию на свой стенд и начинать его исследовать. Это, пожалуй, основная особенность компьютерно-технической экспертизы.

Вторая особенность заключается в очень большом спектре вопросов, на которые компьютерно-технический эксперт может ответить, начиная от разработки ПО, заканчивая работой промышленных контроллеров на отметке минус 700 метров в шахте Норильска. Все это входит в область компетенции эксперта компьютерно-технического направления.

Стоит отметить, что ни в одном из нормативных актов, регулирующих экспертную деятельность, а именно: 73-ФЗ, АПК РФ, УПК РФ, ГПК РФ – не содержится четких требований к квалификации негосударственных экспертов.

Поскольку вопросы так или иначе бывают узкими, например, анализ данных в Sony PlayStation, многие адвокаты и даже суды ищут эксперта, который занимается именно Sony PlayStation. Такой подход совершенно не обоснован. Эксперт компьютерно-технического направления должен обладать широким кругозором, чтобы рассмотреть вопрос с разных сторон, а не просто обладать специальными познаниями из сервисного центра Sony. Мы же не ищем невролога, который занимается, например, исключительно тройничным нервом.

Немного статистики. За год в Центрально-Черноземном районе проведено меньше 20 экспертиз по Sony PlayStation, соответственно, эксперт, который будет заниматься только ими, рискует остаться без средств к существованию. 

Эксперт нужен не тот, который специализируется на чем-то узком; эксперт нужен тот, который имеет большой опыт экспертизы по разным направлениям, поскольку опыт из другого направления пригодится при производстве последующей экспертизы.

Стоимость 

Стоимость зависит от того, сколько времени эксперт потратит на работу. У себя мы считаем дни, которые потребуются эксперту (это определяется самим экспертом после ознакомления с материалами), это количество умножаем на стоимость рабочего дня, прибавляем командировочные расходы (если они нужны) и получаем итоговую стоимость экспертизы. Экспертиза, которая занимает 20 дней, стоит в два раза дороже, чем та, которая занимает 10 дней, если речь не идет о «срочной» экспертизе, где применяется соответствующий коэффициент. Все достаточно просто.

Что касается сроков выполнения, то каждая конкретная экспертиза оценивается индивидуально. Самые простые экспертизы – по заверению переписки в том же WhatsApp – выполняются за один день. Но если мы говорим об экспертизе разработки программного обеспечения, да еще и по госконтракту, где одно техническое задание занимает 200 страниц, то здесь одним месяцем не обойдешься. Поэтому разброс в сроках крайне большой и определяется непосредственно экспертом в зависимости от предмета экспертизы.

Конкуренция судебных экспертиз в суде

Конкуренция экспертов актуальна ровно до того момента, пока экспертизу не назначили, поскольку, когда суд выбрал одного из экспертов или одно экспертное учреждение, то именно выбранные эксперты или экспертные учреждения и будут проводить судебную экспертизу. Но если одна из сторон не согласна с первой экспертизой, то здесь существует два пути разрешения ситуации. 

Путь первый – ходатайствовать о назначении дополнительной и/или повторной экспертизы в зависимости от того, какие нарушения присутствуют. Но такой путь выбирают достаточно редко. 

Путь второй – обратиться к другому эксперту, чтобы он либо явился в заседание суда и опровергнул предыдущую экспертизу, либо написал «опровержение» (рецензию) в письменном виде.

Если сторона, которая не согласна с заключением, пошла по первому пути и суд назначил повторную экспертизу, то здесь мы имеем две судебные экспертизы. Но такая ситуация возникает  крайне редко. В таких случаях суд может вызвать двух экспертов, чтобы они дали пояснения. При этом, если в деле фигурируют два судебных эксперта, допрашивать их, скорее всего, будут по отдельности. 

Сталкивать лбами двух экспертов суду неинтересно, ему интересно допросить их по отдельности и составить для себя объективное мнение.  

Допрос эксперта производится в соответствии со статьей 205 УПК РФ. Консультация специалиста проводится в соответствии со статьей 87_1 АПК РФ.

Столкнуться два эксперта могут только в том случае, если один эксперт судебный, а второй не судебный. Такая схема встречается не постоянно, но с некоторой регулярностью. Дело в том, что адвокаты, опасаясь мнимой «конкуренции» со стороны экспертов, предпочитают к ним не обращаться. Но здесь стоит отметить, что эксперт – это не «конкурент», а самый настоящий «соратник», и его присутствие в суде способно только укрепить позицию. Что касается материального аспекта, то вполне очевидно, что вызов эксперта на одно заседание вряд ли существенно снизит гонорар юриста, а выиграть дело может помочь.

Стоит отметить, что судьи редко вызывают эксперта в заседание – это непостоянная ситуация. Возможно, юристы считают, что они компетентно допрашивают программиста (с кем-то проконсультировались), но, как правило, такой допрос неэффективен и на вопросы суда не отвечает в полной мере – участники дела просто зря тратят свое время. Поэтому, когда специалист допрашивает судебного эксперта, это наиболее эффективный расклад как для суда, так и для сторон. 

Пример из практики. В прошлом году арбитражный суд назначил экспертизу по разработке технического задания между ВУЗом и конторой-разработчиком. Соответственно, ВУЗ был недоволен качеством разработанного технического задания, а контора утверждала, что все сделано хорошо. Экспертиза выявила нарушения в разработке технического задания, но контора-исполнитель с этим была не согласна, соответственно, эксперта вызвали в суд в качестве специалиста, и его допрашивал представитель конторы с техническим образованием. Их диалог лег в основу судебного решения. Решение было не в пользу конторы, оно было в пользу университета, но в конечном итоге именно такой формат допроса, когда эксперта допрашивал специалист, а не юрист, наиболее эффективен.

Как выбрать эксперта

К сожалению, существуют эксперты, которые и врут, и плохо пишут. Даже в судебной практике есть эксперт, который был осужден за заведомо ложное заключение по статье 307 УК РФ. Что касается компетентности – нам как-то попалось заключение стороннего эксперта, который силу тока указал в вольтах. Сила тока измеряется в амперах, а не в вольтах, в вольтах – напряжение: фактически эксперт провалил судебную экспертизу и под этим подписался. Это вопрос о компетенции. 

Прежде всего необходимо обратить особое внимание на статус – имя – эксперта и искать отзывы о конкретном эксперте. При таком поиске всегда находятся статьи, материалы дел с участием эксперта, количество не принятых во внимание судом экспертиз, вопросы, которые были заданы эксперту, и его ответы на них. Это также можно узнать и по картотеке арбитражных дел – тяжело, но весьма эффективно. Некоторые эксперты и экспертные организации сами заботятся о вопросе репутации и  указывают перечень основных дел, где участвовал эксперт. Ознакомившись с этими данными, более-менее грамотному человеку понятно, что если эксперт участвует в десяти делах в год и два из них проходят со «скандалом», то обращаться к этому эксперту не стоит. А если у эксперта послужной список в те же десять дел, но они прошли без «скандалов», оспаривания – с таким экспертом уже стоит иметь дело.

Основные моменты, на которые стоит обращать внимание при выборе эксперта:

  • Опыт эксперта. Понятно, что молодым тоже надо давать дорогу, но для экспертизы стоит выбирать эксперта с опытом более двух лет.
  • Образование и повышение квалификации. Эксперт, который получил диплом по криминалистике в 2005 году, а с тех пор сидит и ничего не предпринимает для повышения своего образования – это пол-эксперта. 
  • Практический опыт в сфере информационных технологий, информационной безопасности. Опять же, эксперт, который сидит в лаборатории и получает корочки каждый год, оторван от жизни, от практики. Да, у него есть методики (этим часто грешат эксперты ЭKЦ МВД), но практики у него никакой нет. Такие эксперты оторваны от актуальности информационных технологий, актуальных вопросов информационной безопасности, а это большой минус.
  • Резюме. Необходимо узнать, какими вопросами занимался эксперт. Если эксперт занимался исключительно вопросами контрафактного софта, то даже в вопросах контрафактного софта не стоит к нему обращаться. Если эксперт всю жизнь занимался вопросами проектирования информационных систем, то по этой теме обратиться можно, но в целом не стоит, потому что у эксперта очень узкий кругозор.

Как адвокату взаимодействовать с экспертом

Если мы говорим про судебную экспертизу, адвокат может позвонить эксперту, поинтересоваться, производит ли эксперт данный вид экспертизы, какова методика, может уточнить вопросы, на которые эксперт ответит, стоимость экспертизы, сроки экспертизы. Эксперт в свою очередь попытается выяснить, какие материалы могут быть ему представлены на исследование, потому что исследовать техническое задание на 20 страниц – это одно, а исследовать техническое задание на 200 страниц и 25 серверов с программным обеспечением – это другое.

С момента, когда суд вынес определение о назначении экспертизы, общение с экспертом надо прекратить. Потому что можно поставить под удар не только эксперта и адвоката, но и заключение, которое может быть в пользу стороны. Если всплывет факт общения с экспертом, то заключение поставят под сомнение и придется проводить экспертизу заново. Эксперты это прекрасно понимают и на контакт не идут – все общение через секретаря.

Общение с экспертом после назначения судебной экспертизы исключено – эксперт независимый. Данный факт является основополагающим и закреплен в статье 7 73-ФЗ.

Если же экспертиза внесудебная (по обращению одной из сторон), то здесь никто никого не ограничивает, самое главное – это четко определить вопросы. Правильно поставленные вопросы – это уже половина успеха, которая зависит от работы адвоката. Необходимо отметить, что содержание заключения эксперта строго регламентировано статьями 25 73-ФЗ, 86 АПК РФ, 86 ГПК РФ, и правильно сформулированные вопросы, а также ответы на них будут отражены в заключении эксперта. Не ленитесь изучать судебную практику, зачастую в решениях судов уже сформулированы правильные вопросы.

Рекомендации

Если требуется компьютерно-техническая экспертиза, ее лучше провести, потому что на словах что-то доказать судье проблематично. 

Если требуется компьютерно-техническая экспертиза, лучше проконсультироваться с экспертом, прежде чем заявлять ходатайство о ее проведении, потому что есть ряд случаев, когда адвокаты обращаются за экспертизой, а эксперт смотрит и понимает, что экспертиза делает только хуже.  

Вопросы интервью компьютерной криминалистики | Infosec Resources

Компьютерные криминалисты пользуются большим спросом. От экспертов-криминалистов, которых часто называют цифровыми криминалистами, ожидается, что они будут обладать базовыми навыками в области ИТ, разбираться в архитектуре компьютеров и сетях, могут сотрудничать с различными группами и составлять подробные отчеты. Специалист по цифровой криминалистике должен обладать аналитическими и следственными навыками и вниманием к деталям.

Ниже приведены 25 вопросов для собеседования, которые помогут вам подготовиться к следующему собеседованию в области компьютерной криминалистики.

Что такое контрольная сумма MD5?

Контрольная сумма MD5 — это 128-битное значение, которое помогает определить уникальность файла. У вас может быть два имени файла, но каждое из них будет иметь разную контрольную сумму. Вы используете эти контрольные суммы для сравнения двух разных файлов, чтобы определить, являются ли они одинаковыми.

Какие общие источники данных используются во время расследований?

Несмотря на то, что компьютерные криминалисты используют во время расследования множество источников данных, наиболее распространенными являются следующие:

  •         Файлы журнала
  •         Сетевой трафик
  •         Образы системы
  •         Базы данных
  •         Данные приложения
  •         Пользовательские данные

Назовите некоторые распространенные алгоритмы шифрования, используемые для шифрования данных.

Некоторые распространенные алгоритмы включают тройной DES, RSA, Blowfish, Twofish и AES.

Что такое файл .ISO?

Файл ISO содержит приложение или образ компакт-диска из нескольких файлов и исполняемых файлов. Большинство прикладных программ можно преобразовать в ISO-образ, который затем монтируется как виртуальный диск и позволяет просматривать файлы в ISO-образе. Новые версии Windows поставляются с внутренними возможностями монтирования ISO.

Что такое файл SAM?

Файл SAM, или Security Accounts Manager, используется на компьютерах Windows для хранения паролей пользователей. Он используется для аутентификации удаленных и локальных пользователей Windows и может использоваться для получения доступа к компьютеру пользователя.

Что такое интеллектуальный анализ данных?

Интеллектуальный анализ данных — это процесс записи как можно большего количества данных для создания отчетов и анализа данных, введенных пользователем. Например, вы можете собирать данные с различных веб-сайтов, а затем регистрировать взаимодействие пользователей с этими данными, чтобы оценить, к каким областям веб-сайта обращаются пользователи при входе в систему.

Что такое вырезание данных?

Извлечение данных отличается от извлечения данных тем, что вырезание данных ищет необработанные данные на жестком диске без использования файловой системы. Это позволяет эксперту-криминалисту восстановить удаленный файл с жесткого диска. Вырезание данных важно для следователей компьютерной криминалистики, чтобы найти данные, когда данные на жестком диске повреждены.

Что такое геотеги?

Геотегирование относится к добавлению географической информации к цифровым носителям. Стандартным методом геотегов является добавление GPS-координат к данным, фотографиям и видео. Его можно использовать для отслеживания людей и объектов и добавления контекста в файл.

Какой у вас опыт анализа электронной почты?

Компьютерная криминалистика опирается на анализ электронной почты. Вы должны иметь опыт работы с почтовыми серверами, такими как MS Exchange, и бесплатными веб-платформами, такими как Gmail и Yahoo.

Что такое стеганография?

Стеганография скрывает сообщение внутри сообщения. Другими словами, кто-то может отправить электронное письмо с содержимым, которое говорит об одном, но каждое третье слово содержит второе сообщение, которое имеет смысл для получателя.

Какие общие номера портов существуют?

Номера портов TCP — это виртуальные соединения, созданные компьютерами и приложениями. Общие номера портов: 21 для FTP, 80 для веб-служб, 25 для SMTP и 53 для DNS.

Опишите хэш SHA-1

Алгоритм безопасного хеширования 1 — это алгоритм хеширования, который создает 160-битный или 20-байтовый дайджест сообщения.

Опишите свой опыт виртуализации

Не врите. Честно расскажите о своем опыте виртуализации, но обязательно опишите виртуальные инфраструктуры, с которыми вы знакомы, например, Virtualbox, VMWare и т. д. Убедитесь, что вы указали типы операционных систем, с которыми вы работали. Вам не нужно доказывать, что вы системный администратор, но вы должны, по крайней мере, понимать виртуальную память, разбиение на разделы, как войти в виртуальный ящик и преимущества, а также проблемы безопасности с виртуализацией. Это может сэкономить деньги компании, комбинируя использование ресурсов и сводя к минимуму количество оборудования, которое компания должна приобрести. Но если есть проблемы с разрастанием виртуальных машин, когда администратор дублирует машину и забывает о ней, это создает уязвимость, потому что эти машины не исправлены и не защищены. Это распространенная проблема.

Как бы вы справились с получением данных с зашифрованного жесткого диска?

Сначала определите используемый метод шифрования. Для простых типов шифрования попробуйте найти файл конфигурации. Используйте такие инструменты, как EaseUS Data Recovery, Advanced EFS Data Recovery или Elcomsoft Forensic Disk Decryptor. Вы также можете использовать методы грубой силы.

Через какой порт работает DNS?

53

Какие проблемы безопасности связаны с облаком?

Самой большой проблемой является повышенная вероятность утечки или эксфильтрации данных, а также вероятность захвата учетной записи. Атака «Человек в облаке» — это новая угроза, связанная с использованием облака. Это похоже на атаку MitM, когда злоумышленник крадет токен пользователя, который используется для проверки устройств без необходимости дополнительных входов в систему. Облачные вычисления приводят к небезопасному использованию API, что обсуждается в списке 10 основных уязвимостей OWASP.

Опишите некоторые из уязвимостей, перечисленных в списке 10 основных уязвимостей OWASP?

Этот список ежегодно обновляется с учетом 10 основных угроз безопасности приложений. Межсайтовый скриптинг — это один из пунктов, который год за годом фигурирует в списке. Но другие в текущем списке включают инъекции SQL, ОС и LDAP, неправильные настройки безопасности, раскрытие конфиденциальных данных и недостаточно защищенные API.

Как узнать на шестнадцатеричном уровне, что файл был удален в FAT12?

Запустите fsstat для раздела FAT, чтобы собрать сведения. Запустите fls, чтобы получить информацию о файлах изображений. Это обходная информация об удаленных файлах и информация о метаданных.

Какие инструменты используются для восстановления удаленных файлов?

Recuva, Pandora Recovery, восстановление данных ADRC, Directionslete, Active UNDELETE, восстановление активного раздела или файла и многое другое. Ознакомьтесь с 7 лучшими инструментами компьютерной криминалистики Infosec, чтобы узнать больше об инструментах криминалистики.

Что такое встроенная система?

Встроенная система — это компьютерная система, установленная на устройстве для выполнения определенных задач. Встроенные системы сегодня можно найти во многих устройствах, таких как бытовая техника, автомобили и даже игрушки. С ростом распространенности InternetThingsings (IoT) встроенные системы будут становиться все более важным источником информации для компьютерных криминалистов.

Как вы остаетесь в курсе последних тенденций в области кибербезопасности?

Это личный вопрос; убедитесь, что вы можете делиться информационными бюллетенями, веб-сайтами и подкастами о кибербезопасности, которые вы часто посещаете. Это могут быть еженедельные сводки новостей кибербезопасности InfoSec, Cyberwire, информационные документы по ИТ, подкасты или вебинары от таких компаний, как Nessus, Metasploit и SANS.

Как вы справляетесь с противоречивыми указаниями разных заинтересованных сторон?

Этот вопрос поможет вам понять, как вы справляетесь с конфликтами. Сначала вы должны проконсультироваться со своим непосредственным руководителем, объяснить конфликт и попросить совета о том, как действовать дальше.

Если бы вам нужно было зашифровать и сжать данные для передачи, что бы вы сделали в первую очередь и почему?

Сжать, затем зашифровать. Поскольку шифрование требует ресурсов и может быть громоздким, имеет смысл сначала сжать данные.

В чем разница между угрозой, уязвимостью и риском?

Потенциальный злоумышленник создает угрозу, потенциально используя системную уязвимость, которая никогда не определялась как риск. Использование этого ответа обеспечивает контекст для трех терминов вместе, но вы можете определить их по отдельности.

  • Угроза — это возможность нападения.
  • Уязвимость — это слабость системы.
  • Риски — это элементы, которые могут причинить вред системе или организации.

Опишите вашу домашнюю сеть

На должностях, связанных с кибербезопасностью, интервьюеры часто хотят знать ваш интерес, если безопасность затрагивает вашу личную жизнь. Убедитесь, что вы знаете функции безопасности вашего маршрутизатора или вашего конкретного интернет-провайдера. Обязательно упомяните любые меры безопасности, которые вы добавили в свою домашнюю сеть.

Советы по цифровой криминалистике, если у вас нет опыта

Во время собеседования вас также могут попросить описать ваше знакомство с различными операционными системами, ваш опыт работы с Encase и/или FTK или другими инструментами. Компьютерная криминалистика все еще развивается; многие кандидаты имеют образовательный опыт, но нуждаются в реальном опыте. Если вам не хватает реального опыта, вы все равно можете обсудить, чем вы занимаетесь в свободное время, чтобы быть в курсе текущих тенденций и того, что отличает вас от других кандидатов. Это востребованная сфера с широкими возможностями. Удачи!

Источники

  • Вопросы для интервью по цифровой криминалистике, Climbtheladder.com

Часто задаваемые вопросы | Компьютерная криминалистика

  • Что такое «Компьютерная криминалистика»?
  • Какие типы цифровых мультимедийных устройств потенциально могут хранить данные?
  • Каковы общие ситуации, в которых используется компьютерная криминалистика?
  • Что может дать компьютерная криминалистическая экспертиза?
  • Можно ли восстановить удаленные электронные письма?
  • Если кто-то использует учетную запись веб-почты, такую ​​как Gmail, Yahoo или Hotmail, можно ли найти это письмо?
  • Можно ли восстановить удаленные файлы?
  • Можно ли получить доступ к файлам, защищенным паролем?
  • Что означает термин «метаданные»?
  • Я думаю, что компьютер в моей компании может содержать важные улики. Что мне делать?
  • Я думаю, что мобильный телефон в моей компании может содержать важные улики. Как мне с этим справиться?
  • Каковы минусы того, что НЕ следует немедленно вызывать эксперта по компьютерной криминалистике?
  • Мы не собираемся подавать на кого-либо в суд и просто хотим убедиться, что сотрудник не нарушает политику нашей компании. Разве мы не можем просто попросить нашего внутреннего ИТ-специалиста взглянуть?
  • Что, если мы уже задействовали наш штатный ИТ-персонал, а восстановление прошло не так, как планировалось, можете ли вы нам помочь?
  • Чем компьютерная криминалистика отличается от восстановления данных?
  • На какие типы данных вы ориентируетесь в своих расследованиях?
  • Как работает процесс восстановления сертифицированных компьютерных криминалистов?
  • Что я получу после компьютерного исследования?
  • Сколько стоит компьютерная судебная экспертиза?

У вас есть вопрос, которого нет в нашем FAQ? Свяжитесь с Эндрю Донофрио, нашим директором по кибербезопасности и цифровой криминалистике

 

 


Компьютерная криминалистика, также известная как цифровая криминалистика, представляет собой научную экспертизу, проводимую сертифицированным специалистом в области компьютерной криминалистики, которая включает в себя идентификацию, сбор, сохранение и анализ всех форм информации, хранимой в электронном виде (ESI) (также известной как цифровая информация или электронные данные). ), таким образом, чтобы полученная информация могла быть впоследствии использована в качестве доказательства в суде.
Эту информацию, хранящуюся в электронном виде (например, сообщения электронной почты, цифровые изображения, файлы сетевых журналов и т. д.), можно найти на жестких дисках компьютеров, серверах и других цифровых носителях (например, компьютерах, флэш-накопителях, DVD, компакт-дисках, мобильных телефонах). . Сюда входит любое устройство, имеющее цифровой «мозг» для хранения информации.
Компьютерная криминалистика используется для создания цифрового изображения или изображения ESI, поэтому эксперт может позже найти цифровые доказательства на полученном изображении и попытаться воссоздать временную шкалу того, как данные использовались по отношению к делу. под следствием.

Компьютерная криминалистика — это специализированная служба, которая предоставляет и документирует цифровые доказательства для возможного использования в судебных процессах. Компьютерное судебно-медицинское расследование требует высокой дисциплины, и его результаты могут быть воспроизведены и подтверждены как точные, что крайне важно для того, чтобы любые цифровые доказательства были допустимы в суде.
вернуться к началу

Какие типы цифровых мультимедийных устройств потенциально могут хранить данные?

  • Компьютеры
  • iPad и ноутбуки
  • Смартфоны и большинство других мобильных телефонов
  • Музыкальные MP3-плееры, iPod
  • Жесткие диски
  • Цифровые фотоаппараты
  • USB-накопители
  • КПК (персональные цифровые помощники)
  • Резервные ленты
  • CD-ROM и DVD

наверх

Каковы общие ситуации, в которых используется компьютерная криминалистика?

  • Несанкционированное раскрытие корпоративной информации
  • Кража интеллектуальной собственности или коммерческой тайны
  • Злоупотребление сотрудниками Интернетом или другие нарушения компьютерной политики
  • Другие неправомерные действия на рабочем месте
  • Оценка и анализ ущерба (после инцидента)
  • Промышленный шпионаж
  • Случаи халатности, сексуальных домогательств и обмана
  • Сбор доказательств для будущего увольнения сотрудника
  • Уголовное мошенничество и должностные преступления
  • Более общие уголовные дела и многие гражданские дела

наверх

Что может дать компьютерная криминалистическая экспертиза?

наверх

Можно ли восстановить удаленные электронные письма?
Удаленные электронные письма можно восстановить в большинстве случаев, но нет гарантии . Удаленные электронные письма можно восстановить в зависимости от типа почтового клиента (Outlook, Entourage, Thunderbird и т. д.) и конфигурации сервера (Exchange, Lotus Notes).

Когда сообщения электронной почты удаляются из папки «Входящие», все еще существует вероятность того, что они находятся на сервере или в других областях компьютера. Компьютерные криминалистические инструменты и методы позволяют извлекать данные и исследовать хранилище электронной почты, включая информацию, которая ранее была удалена.

вернуться к началу

Если кто-то использует учетную запись веб-почты, такую ​​как Gmail, Yahoo или Hotmail, возможно ли найти это электронное письмо?
Почтовые веб-программы, такие как эти, позволяют восстанавливать информацию, даже если компьютер не подключен к Интернету. Веб-браузеры (Internet Explorer, Firefox, Chrome, Safari и т. д.) хранят временные интернет-файлы на компьютере, которые впоследствии могут быть извлечены с помощью компьютерной криминалистики.

наверх

Можно ли восстановить удаленные файлы?
Хотя каждая ситуация уникальна, существует очень большая вероятность того, что следователь компьютерной криминалистики сможет восстановить удаленные файлы с жесткого диска субъекта. При удалении файла стандартными методами содержимое файла фактически не стирается с жесткого диска; операционная система просто стирает указатель на файл, чтобы файл не отображался в папках или каталогах, файл на самом деле все еще там. Вопреки распространенному мнению, цифровые файлы не испаряются при нажатии кнопки удаления, поэтому такие файлы обычно можно восстановить и использовать.

вернуться к началу

Можно ли получить доступ к файлам, защищенным паролем?
Сертифицированный судебно-медицинский эксперт должен иметь комбинацию сложных аппаратных инструментов и программного обеспечения для разблокировки определенных типов файлов, защищенных паролем. В зависимости от типа файла и скорости компьютера некоторые программы могут перебирать сотни тысяч паролей в секунду. Однако взломать более длинные и сложные пароли сложнее.

наверх

Что означает термин «метаданные»?
Метаданные — это данные о данных. Метаданные очень важны в компьютерных криминалистических расследованиях, поскольку они описывают важные аспекты данных (или документа), включая информацию об авторе документа, времени последней печати или времени создания, доступа или изменения файла. Поскольку метаданные по своей сути являются данными, они требуют такой же судебной экспертизы, как и любая другая форма данных, и часто не видны, если не используются специальные инструменты и методы.

вернуться к началу

Я думаю, что компьютер в моей компании может содержать важные улики. Что мне делать?

Самое главное, давайте начнем с того, что НЕ следует делать:

НЕ используйте компьютер и не пытайтесь искать улики, так как любое дальнейшее использование компьютера может повредить и испортить любые улики, которые могут существовать на устройстве. .

НЕ включайте его. Если подозрительный компьютер выключен — оставьте его выключенным.

Обученный компьютерный эксперт-криминалист будет использовать специальные методы, инструменты и процедуры для извлечения и сохранения критической информации, хранящейся в электронном виде. Включив систему, вы рискуете навсегда изменить данные на компьютере и потерять ценные улики.

Если компьютер включен, НЕ НЕ инициируйте обычный процесс «Завершение работы» и не выключайте компьютер. Если вам необходимо выключить компьютер, отсоедините его от задней части корпуса или от розетки.

Если компьютер включен или работает, важно собирать информацию о запущенных программах или приложениях. Когда компьютер используется или выключается, ценная информация будет безвозвратно потеряна. Также, когда компьютер выключен, он инициирует набор команд и действий, которые могут изменить содержимое жесткого диска. При расследовании включенного компьютера, который был скомпрометирован или содержит доказательства, очень важно провести судебную экспертизу живого компьютера, если это возможно

НЕ печатать на клавиатуре и не перемещать мышь.

НЕ разрешайте внутреннему ИТ-персоналу проводить предварительное расследование.

НЕ извлекайте USB-накопители/устройства, SD-карты или другие устройства, подключенные к компьютеру.

Кроме того, всегда ОБЯЗАТЕЛЬНО выполняйте следующие действия:

Храните компьютер в надежном месте и/или, по возможности, защищайте область, в которой находится компьютер.

Делать вести подробный журнал

  • кто имел/имеет доступ к компьютеру

  • что было сделано, если что

  • когда это было сделано

  • где компьютер хранился после инцидента

Сделать снимок экрана, если компьютер «включен» и что-то отображается на мониторе.

Выполните немедленное обращение в отдел расследований MSA.

наверх

Я думаю, что мобильный телефон в моей компании может содержать важные улики. Как мне с этим справиться?
Сотовые телефоны, iPad, цифровые камеры и другие мобильные устройства хранят данные непосредственно во внутренней памяти, которая является более энергозависимой и может быть потеряна при выключении устройства или разрядке (или удалении) аккумулятора. Пожалуйста, следуйте этим рекомендациям, чтобы защитить эти устройства для будущих проверок:

Если устройство «выключено», не включайте его.

Если устройство включено, оставьте его включенным. Выключение устройства может привести к включению пароля, что предотвратит доступ к доказательствам и/или приведет к потере данных.

Фотоаппарат и экран дисплея (при наличии).

Пометьте и соберите все кабели и транспортируйте их вместе с устройством.

Держите устройство заряженным.

Если устройство нельзя держать заряженным, анализ должен быть выполнен специалистом до разрядки батареи, иначе данные могут быть потеряны.

Задокументируйте все этапы изъятия устройства и его компонентов.

вернуться к началу

Каковы минусы того, что НЕ следует немедленно вызывать эксперта по компьютерной криминалистике?
Чем дольше компьютер или цифровое устройство используется или ожидает проверки, тем выше вероятность того, что цифровые доказательства будут испорчены или утеряны. Важно понимать, что операционная система компьютера постоянно перезаписывает данные на жестком диске и делает это случайным образом. Это означает, что чем дольше используется компьютер, тем больше вероятность того, что улики будут потеряны. К счастью, операционная система часто записывает улики одновременно в нескольких местах, поэтому, если данные перезаписываются в одной области, они могут по-прежнему находиться в другой.

Верно и то, что простое включение компьютера или просмотр файлов может потенциально повредить те самые данные, которые вы ищете. Даты создания файлов могут измениться, файлы могут быть перезаписаны, а улики могут быть повреждены. Но все эти риски можно уменьшить, если немедленно связаться с экспертом по компьютерной криминалистике и как можно быстрее получить образ компьютера, не уничтожая и не изменяя никаких ценных доказательств.

вернуться к началу

Мы не собираемся подавать на кого-либо в суд и просто хотим убедиться, что сотрудник не нарушает политику нашей компании. Разве мы не можем просто попросить нашего внутреннего ИТ-специалиста взглянуть?

Есть четыре основные причины, по которым собственные ИТ-отделы не лучший выбор для такой задачи:

  • ” оставлены ненадлежащим использованием. Неправильные действия в этих обстоятельствах могут безвозвратно уничтожить следы неправомерного использования, что может привести к судебному или уголовному преследованию.

  • Даже если внутренние ИТ-отделы использовали надлежащие методы обработки доказательств, сам процесс сбора изменился и, вероятно, испортил собранные данные. Мы видели, как это произошло. Мы часто получаем компьютеры для проверки после того, как компьютерный персонал компании попытался восстановить с них улики. В своих попытках они уничтожили важные доказательства, такие как дата последнего обращения к файлам.

  • Помимо отсутствия навыков, аппаратного и программного обеспечения, использование штатного сотрудника может сделать вас уязвимым для обвинений в фабрикации доказательств и других нарушениях. Вам следует избегать конфликтов интересов, возникающих при использовании собственного ИТ-персонала, наняв независимого эксперта. Необходимо как можно скорее привлечь внешнего эксперта по компьютерной криминалистике для работы с ИТ-специалистами, юридическим персоналом и/или персоналом по соблюдению нормативных требований, чтобы предложить непредвзятую точку зрения. Суды предпочитают использовать нейтральный анализ третьей стороны.

  • Вряд ли Ваш сотрудник квалифицировался в суде как эксперт в области судебно-медицинской экспертизы ЭВМ. Как неспециалистам, им будет разрешено свидетельствовать только о фактах, и им не будет разрешено свидетельствовать о мнениях или выводах, как это сделали бы эксперты.

Таким образом, штатный ИТ-персонал может иметь значительный объем знаний и опыта работы с компьютерами — возможно, даже в области восстановления данных — очень маловероятно, что они обладают необходимыми знаниями протоколов судебной экспертизы, которые необходимо соблюдать, чтобы найти все доказательств, защиты данных и обеспечения допустимости доказательств в гражданских или уголовных процессах. Мы принимаем меры для защиты компьютерных данных, и у нас есть обучение, опыт и инструменты для проведения тщательного изучения компьютерных данных и интерпретации того, что мы находим. Кроме того, если сотрудник уволен в результате расследования, а судебный процесс все же начнется позднее, у вас почти наверняка будут электронные доказательства, необходимые для поддержки вашего дела в суде.

вернуться к началу

Что, если мы уже задействовали наш собственный ИТ-персонал и восстановление прошло не так, как планировалось, можете ли вы нам помочь?
В зависимости от ущерба, нанесенного внутренним ИТ-персоналом, квалифицированный поставщик компьютерной криминалистики может спасти некоторые поврежденные улики. Однако это может быть трудоемким и трудоемким процессом, который часто стоит в несколько раз больше, чем стоил бы первоначальный анализ.

к началу страницы

Чем компьютерная криминалистика отличается от восстановления данных?
Целью процедур восстановления данных является исключительно восстановление файлов и папок, утерянных с поврежденных дисков, носителей, компьютеров, периферийных устройств или операционных систем из-за сбоя диска или системы, непреднамеренного удаления или других непредвиденных обстоятельств, без контроля использования Устройство. Как правило, восстановление данных можно считать первым шагом в сборе доказательств в компьютерной криминалистике.

При создании образа цифрового носителя (точная копия оригинала) все файлы и папки восстанавливаются вместе с удаленными данными. Кроме того, появляется возможность просмотра любого скрытого или неразделенного пространства. Компьютерная криминалистика — это служба, которая занимается предоставлением доказательств (или доказательством отсутствия доказательств) относительно того, как использовался компьютер, к каким файлам осуществлялся доступ, в какое время и кто к ним обращался. Исследователи компьютерной криминалистики могут находить, собирать, анализировать и объяснять большие объемы цифровой информации, которая не особенно полезна для услуг по восстановлению данных, но бесценна в суде.

вернуться к началу

На какие типы данных вы ориентируетесь в своих расследованиях?
В компьютерной криминалистике нас интересуют три типа данных: активные, архивные и скрытые.

  • Активные данные — это информация, которую мы с вами видим. Файлы данных, программы и файлы, используемые операционной системой. Это самый простой тип данных для получения.

  • Архивные данные — это данные, которые были зарезервированы и сохранены. Это могут быть резервные ленты, компакт-диски, дискеты или целые жесткие диски, чтобы привести несколько примеров.

  • Скрытые (также называемые внешними) данные — это информация, для получения которой обычно требуются специальные инструменты. Примером может служить информация, которая была удалена или частично перезаписана.

вернуться к началу

Как работает процесс восстановления сертифицированных компьютерных криминалистов?
Первым шагом является четкое определение цели и задачи расследования. Затем они защитят рассматриваемую систему от взлома или несанкционированных изменений во время расследования.

Затем расследование обнаруживает все файлы в системе субъекта. Во многих случаях информация, собранная в ходе компьютерного криминалистического расследования, обычно недоступна или недоступна для просмотра обычным пользователем компьютера, например, удаленные файлы и фрагменты данных, которые можно найти в пространстве, выделенном для существующих файлов (известном специалистам по компьютерной криминалистике как slack). космос). Для получения такого рода информации или доказательств необходимы специальные навыки и инструменты.

Затем расследование копирует, защищает и сохраняет доказательства от любых возможных изменений, повреждений, искажения данных или внедрения вирусов, которые могут сделать доказательства неприемлемыми в суде.

Затем исследование восстанавливает все удаленные файлы и другие данные, которые еще не были перезаписаны. Удаленный файл останется на жестком диске до тех пор, пока операционная система не перезапишет весь файл или его часть. Таким образом, чтобы сохранить как можно больше важных данных в компьютерной системе, вы должны приобрести соответствующие компьютеры как можно скорее. Постоянное использование компьютерной системы может уничтожить данные, которые можно было извлечь до того, как они были перезаписаны.

Наконец, расследование включает в себя анализ всех потенциально важных данных, найденных в специальных (и, как правило, недоступных) областях диска. Это включает нераспределенное пространство на диске (в настоящее время неиспользуемое, но, возможно, хранилище предыдущих данных, которые потенциально важны), а также «свободное» пространство в файле.

наверх

Что я получу после компьютерного расследования?
Судебно-компьютерный эксперт предоставит подробный отчет, объясняющий:

  • Процессы, предпринятые для получения и защиты электронных доказательств

  • Квалификация экзаменатора

  • Объем исследования

  • Выводы экспертизы

  • Заключение эксперта

Обратите внимание, что раздел результатов может включать списки файлов, включая дату и время файла, распечатки документов, распечатки электронной почты, цифровые фотографии, аудиофайлы, интернет-журналы, временные шкалы, текстовые фрагменты, извлеченные из нераспределенного пространства на жестком диске, и ключевое слово.