Возможности компьютерно - технической экспертизы безграничны

Каждый раз, когда вы считаете, что "удалили" файл из компьютера, файл в системе просто выделяется, скрывается, и помечается как информация, ожидающая перезаписи. Компьютерные аналитики используют этот факт в своих интересах и с помощью программ, предназначенных для обнаружения скрытых файлов, копируют и открывают скрытые данные.

Однако недостаточно просто обладать техническими навыками, чтобы найти доказательства на компьютерных носителях. Строгая последовательность действий и ее документирование обязательны ​​при сборе доказательств.

Для того, чтобы определить, имеет ли компьютер информацию, которая может служить в качестве доказательства, профессионал сначала создает точный образ диска. Эксперт проверяет только его, чтобы защитить оригинал от случайных изменений. Такой образ должен быть не просто копией данных, это точное, бит за битом, повторение оригинала. Создание таких копий требует применения специальных методов компьютерно - технической экспертизы.

Компьютерно - техническая экспертиза полезна в вопросах, которые на первый взгляд не имеют отношения к компьютерам. Часто личные данные хранятся в компьютерах. Так, при разводе, муж спрятал совместные средства на тайном банковском счете. В другом случае, сотрудник переименовал программное обеспечение, разработанное по заданию своего работодателя, и планировал в дальнейшем использовать это обеспечение для построения собственного бизнеса. В еще одном случае сотрудник компании посылал непристойные электронные письма сотрудникам женского пола в течение нескольких месяцев. Хотя все вышеуказанные злоумышленники удаляли информацию со своих компьютеров, специалисты в области компьютерной экспертизы смогли получить изобличающие их доказательства.

Что должен делать адвокат, если полагает, что доказательства могут храниться на компьютере клиента? Во-первых, обуздать свое любопытство! Подавить свое естественное желание проверить его. Необходимо помнить, что просто запуск компьютера повлечет за собой изменение файлов, и многие из них затронут важные данные, а любой доступ к диску создаст риск запуска перезаписи соответствующей информации и уничтожение логической цепи.

Делайте все возможное, чтобы убедиться, что компьютер остается нетронутым, пока квалифицированный эксперт не сможет создать грамотную, бит за битом копию диска (ов). Затем образ может быть исследован без ущерба для расследования.

Предположим, вы узнаете, что кто-то уже пытался изучить диск. Лучшим способом действий в таком случае будет оставить компьютер таким, какой он есть, независимо от того, включен он или нет. Объясните ситуацию экспертам.

Хороший эксперт способен:

- восстановить удаленные компьютерные файлы даже после того, как жесткий диск переформатировали;

- показать какие веб-сайты посещались и какие файлы были загружены, даже после удаления истории пользования;

- показать, какие документы были отправлены на принтер, даже если документы напечатаны непосредственно с других носителей;

- выявить, когда к файлам было последнее обращение или когда файлы были удалены;

- во многих случаях расшифровать зашифрованные файлы;

- выявить удаленные письма с электронной почты, даже если на основе сервера электронной почты использовались Yahoo, MSN или Hotmail.