Назад в новини
Можливості комп'ютерно - технічної експертизи безмежні
09.02.2017 | 17:26
Можливості комп'ютерно - технічної експертизи безмежні Кожен раз, коли ви вважаєте, що "видалили" файл з комп'ютера, файл в системі просто виділяється, ховається, і позначається як інформація, яка очікує перезапису. Комп'ютерні аналітики використовують цей факт у своїх інтересах і за допомогою програм, призначених для виявлення прихованих файлів, копіюють і відкривають приховані дані.
Однак недостатньо просто володіти технічними навичками, щоб знайти докази на комп'ютерних носіях. Сувора послідовність дій і її документування обов'язкові при зборі доказів. Для того, щоб визначити, чи має комп'ютер інформацію, яка може служити як доказ, професіонал спочатку створює точний образ диска. Експерт перевіряє тільки його, щоб захистити оригінал від випадкових змін. Такий образ повинен бути не просто копією даних, це точне, біт за бітом, повторення оригіналу. Створення таких копій вимагає застосування спеціальних методів комп'ютерно - технічної експертизи.
Комп'ютерно - технічна експертиза корисна в питаннях, які на перший погляд не мають відношення до комп'ютерів. Часто особисті дані зберігаються в комп'ютерах. Так, при розлученні, чоловік сховав спільні кошти на таємному банківському рахунку. В іншому випадку, співробітник перейменував програмне забезпечення, розроблене за завданням свого роботодавця, і планував у подальшому використовувати це забезпечення для побудови власного бізнесу. В іншому випадку співробітник компанії посилав непристойні електронні листи співробітникам жіночої статі протягом декількох місяців. Хоча всі вищесказані зловмисники видаляли інформацію зі своїх комп'ютерів, фахівці в області комп'ютерної експертизи змогли отримати викриваючі їх докази.
Що повинен робити адвокат, якщо вважає, що докази можуть зберігатися на комп'ютері клієнта? По-перше, приборкати свою цікавість! Придушити своє природне бажання перевірити його. Необхідно пам'ятати, що ввімкнувши комп'ютер потягне за собою зміну файлів, і багато хто з них порушить важливі дані, а будь-який доступ до диска створить ризик запуску перезапису відповідної інформації і знищення логічного ланцюга. Робіть все можливе, щоб переконатися, що комп'ютер залишається недоторканим, поки кваліфікований експерт не зможе створити грамотну, біт за бітом копію диска. Потім образ може бути досліджений без шкоди для розслідування.
Припустимо, ви дізнаєтеся, що хтось уже намагався вивчити диск. Кращим способом дій в такому випадку буде залишити комп'ютер таким, яким він є, незалежно від того, включений він чи ні. Поясніть ситуацію експертам.
Хороший експерт здатний:
- Відновити вилучені комп'ютерні файли навіть після того, як жорсткий диск переформатували;
- Показати які веб-сайти відвідувалися і які файли були завантажені, навіть після видалення історії користування;
- Показати, які документи були відправлені на принтер, навіть якщо документи надруковані безпосередньо з інших носіїв;
- Виявити, коли до файлів було останнє звернення або коли файли були видалені;
- У багатьох випадках розшифрувати зашифровані файли;
- Виявити видалені листи з електронної пошти, навіть якщо на основі сервера електронної пошти використовувалися Yahoo, MSN або Hotmail.
Назад в новини
Однак недостатньо просто володіти технічними навичками, щоб знайти докази на комп'ютерних носіях. Сувора послідовність дій і її документування обов'язкові при зборі доказів. Для того, щоб визначити, чи має комп'ютер інформацію, яка може служити як доказ, професіонал спочатку створює точний образ диска. Експерт перевіряє тільки його, щоб захистити оригінал від випадкових змін. Такий образ повинен бути не просто копією даних, це точне, біт за бітом, повторення оригіналу. Створення таких копій вимагає застосування спеціальних методів комп'ютерно - технічної експертизи.
Комп'ютерно - технічна експертиза корисна в питаннях, які на перший погляд не мають відношення до комп'ютерів. Часто особисті дані зберігаються в комп'ютерах. Так, при розлученні, чоловік сховав спільні кошти на таємному банківському рахунку. В іншому випадку, співробітник перейменував програмне забезпечення, розроблене за завданням свого роботодавця, і планував у подальшому використовувати це забезпечення для побудови власного бізнесу. В іншому випадку співробітник компанії посилав непристойні електронні листи співробітникам жіночої статі протягом декількох місяців. Хоча всі вищесказані зловмисники видаляли інформацію зі своїх комп'ютерів, фахівці в області комп'ютерної експертизи змогли отримати викриваючі їх докази.
Що повинен робити адвокат, якщо вважає, що докази можуть зберігатися на комп'ютері клієнта? По-перше, приборкати свою цікавість! Придушити своє природне бажання перевірити його. Необхідно пам'ятати, що ввімкнувши комп'ютер потягне за собою зміну файлів, і багато хто з них порушить важливі дані, а будь-який доступ до диска створить ризик запуску перезапису відповідної інформації і знищення логічного ланцюга. Робіть все можливе, щоб переконатися, що комп'ютер залишається недоторканим, поки кваліфікований експерт не зможе створити грамотну, біт за бітом копію диска. Потім образ може бути досліджений без шкоди для розслідування.
Припустимо, ви дізнаєтеся, що хтось уже намагався вивчити диск. Кращим способом дій в такому випадку буде залишити комп'ютер таким, яким він є, незалежно від того, включений він чи ні. Поясніть ситуацію експертам.
Хороший експерт здатний:
- Відновити вилучені комп'ютерні файли навіть після того, як жорсткий диск переформатували;
- Показати які веб-сайти відвідувалися і які файли були завантажені, навіть після видалення історії користування;
- Показати, які документи були відправлені на принтер, навіть якщо документи надруковані безпосередньо з інших носіїв;
- Виявити, коли до файлів було останнє звернення або коли файли були видалені;
- У багатьох випадках розшифрувати зашифровані файли;
- Виявити видалені листи з електронної пошти, навіть якщо на основі сервера електронної пошти використовувалися Yahoo, MSN або Hotmail.