Скачать книгу

для выявления вредоносных программ в компьютерной системе и отдельных машинных носителях информации,

      – программы получения информации о программах, находящихся в оперативной памяти ЭВМ на месте осмотра, обеспечивающие просмотр буфера памяти компьютера,

      – программы определения настроек аппаратуры и программ, – программы просмотра и вывода на печать содержимого файлов разных типов.

      По прибытии на место происшествия следователь с помощью специалистов выполняет следующие мероприятия:

      • блокирует доступ персонала ко всем компьютерам сети и серверу;

      • выставляет охрану у средств компьютерной техники и электрических распределительных щитов и пультов;

      • отсоединяет удаленный доступ к системе извне, чтобы никто не смог изменить или повредить информацию во время осмотра;

      • устанавливает, не запущена ли на ЭВМ программа уничтожения информации, а если на ЭВМ программа запущена, отключает компьютер от питания[6].

      При осмотре места происшествия специалист-криминалист производит ориентирующую и обзорную видео- и фотосъемку. Фиксируется общий вид здания, все помещения, где расположены средства компьютерной техники, затем фиксируются по отдельности все (если их много) компьютеры и подключенные к ним устройства, а также вскрытые отдельные узлы, модемы, факс-модемы, сканеры, магнитные и оптические носители информации, стримеры, вся распечатка, выполненная на принтерах, техническая и финансовая документация.

      Способ данного осмотра может быть от центра к периферии или от периферии к центру.

      На статической стадии осмотра специалист-криминалист обязательно фотографирует экран монитора, специалист по средствам связи или системный аналитик определяет дату, текущее время и программу, используемую в данный момент.

      Осмотр сети компьютеров на динамической стадии начинают с сервера – специального компьютера, с которого осуществляют общее управление работой сети и который содержит базовую и общую информацию, а в помещениях с несколькими компьютерами осмотр осуществляется последовательно от одного компьютера к другому. При этом специалисты могут выявить внутри них нештатную аппаратуру и следы противодействия аппаратной системе защиты, которая обязательно фотографируется и описывается.

      Исследуются на динамической стадии и физические носители компьютерной информации, а специалист-криминалист устанавливает механические повреждения, выявляет на компьютерных объектах следы папиллярных узоров рук и осматривает документы, выполненные как на бумажных, так и на машинных носителях, а именно:

      • документы, описывающие аппаратуру и программное обеспечение;

      • документы, устанавливающие функциональные правила работы с ЭВМ;

      • учетно-регистрационную и бухгалтерскую документацию.

      Анализ этих документов позволяет выяснить законность использования программного обеспечения и особенности организации работы данного учреждения