Компьютерно-техническая экспертиза образец

Рубрики Статьи

Компьютерно-техническая экспертиза образец

Исследуемые объекты и документы

Жесткие диски (НЖМД)

Полезные статьи по данной тематике

Компьютерно-техническая экспертиза является одной из самых уникальных. При современном развитии и внедрении компьютерных технологий в процессе создания, изменения и обработки информации в компьютерной среде остается множество криминалистически значимых следов, позволяющих провести анализ и восстановить цепочку событий.

Компьютерная экспертиза является самостоятельным родом судебных экспертиз, относящимся к классу инженерно-технических экспертиз. Ее проводят в целях получения доступа к информации на носителях, ее исследования, изучения следовой картины и получения доказательственной информации, сопряженной с использованием компьютерных технологий. Для выполнения подобных задач экспертизы компьютеров необходимо высокая квалификация экспертов, ведь в случае неаккуратного сбора информации возможно внесение необратимых изменений в информационную среду, что впоследствии способствует утрате и искажению значимой информации. Уникальность экспертизы програмного обеспечения заключается также в росте требований к компьютерно-техническим экспертам, ведь компьютерные технологии развиваются непрерывно, что заставляет экспертов постоянно совершенствовать свои специальные знания, а также разрабатывать новые методики экспертного исследования.

Рекомендованные вопросы на разрешение эксперту:

Возможно ли изготовление представленных документов с использованием представленной компьютерной техники?

Присутствуют ли в памяти представленного компьютера следы изготовления документа, представленного на исследование?

Имеются ли на представленном накопителе на жестких магнитных дисках экземпляры программы? Если да, то какова версия этой программы и иные данные, позволяющие индивидуализировать программу?

Является ли установленный пользователем экземпляр программы работоспособным? Каковы обстоятельства установки и использования программы?

Применяются ли при установке и использовании указанной программы средства защиты авторских прав? Если да, то какие именно средства?

Выполнялись ли в ходе установки экземпляров указанных программ действия, направленные на нейтрализацию средств защиты авторских прав? Какие именно действия такого рода выполнялись?

Если экземпляры указанной программы обнаружены, то установлены ли эти экземпляры программы способом, предусмотренным правообладателем?

Установить дату и время доступа к компьютеру в указанный период?

Возможно ли установить, какие операции с компьютером были проведены в указанный период?

Когда и как изменялось системное время на представленном компьютере?

Соответствует ли разработанное и переданное для исследования техническое задание представленным техническим требованиям?

Имеются ли на носителях информации компьютерной техники, представленной на исследование, сведения о подключении и использовании сетевого оборудования для обеспечения работы пользователя в сети Интернет?

Какие логины и пароли использовались для подключения к оборудованию провайдера и работы в сети Интернет?

В какие временные интервалы в указанный период пользователь был подключен к провайдеру и работал в сети Интернет?

Имеются ли на носителях информации компьютерной техники, представленной на исследование, программы обмена сообщениями? Если да, то каковы реквизиты отправителя и адресатов сообщений? Какие сообщение были приняты или отправлены, когда, от кого и кому?

Присутствует ли в представленных базах данных сведения об изготовлении накладной отгрузки товаров, продукции от указанной даты? Если да, то кто получатель и сумма? Каковы обстоятельства создания и изготовления этого документа?

Центр независимых судебных экспертиз, криминалистики и права

Результаты поиска

Компьютерно-техническая экспертиза

Судебная компьютерно-техническая экспертиза назначается в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к машинным носителям информации с последующим ее исследованием.

В компьютерно-технической экспертизе (КТЭ) выделяют следующие подвиды: аппаратно-компьютерная, программно-компьютерная, информационно-компьютерная, а также компьютерно-сетевая экспертизы.

Кратко рассмотрим каждый из подвидов:

Сущность аппаратно-компьютерной экспертизы заключается в проведении исследования (в основном, диагностического) технических (аппаратных) средств компьютерной системы. К аппаратным средствам относятся: электрические, электронные и механические схемы, блоки, приборы и устройства, составляющие материальную часть компьютерной системы.

По указанным объектам на разрешение эксперту могут быть поставлены следующие вопросы:

  • Каков тип, конфигурация и основные технические характеристики представленного на исследование аппаратного средства?
  • Соответствует ли комплектация аппаратного средства представленной технической документации?
  • Не внесены ли в конструкцию представленного аппаратного средства изменения (например, установка дополнительных встроенных устройств: накопителей на жестких магнитных дисках, модулей оперативной памяти, приводов для работы с компакт-дисками и пр., иные изменения конфигурации)?
  • Работоспособно и исправно ли представленное на экспертизу аппаратное средство?
  • Каковы причины неисправности, неработоспособности?
  • Является ли неисправность представленного аппаратного средства нарушением определенных правил эксплуатации?
  • Пригоден ли для исследования представленный машинный носитель информации?
  • Каковы причины отсутствия доступа к машинному носителю информации?
  • Имеют ли представленные аппаратные средства какие-либо повреждения?
  • Соответствуют ли технические характеристики представленного аппаратного средства техническим характеристикам … ?

Для проведения экспертного исследования программного обеспечения предназначен такой подвид экспертизы, как программнокомпьютерная. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или гражданскому делу. Задачами экспертизы данного вида является изучение функционального предназначения и характеристик реализуемого алгоритма, структурных особенностей и текущего состояния системного и прикладного программного обеспечения компьютерной системы.

На разрешение эксперту могут быть поставлены следующие вопросы:

  • Какой экземпляр (например, операционной системы) установлен на представленных машинных носителях, какова дата его установки?
  • Имеется ли на представленных машинных носителях программное обеспечение для …?
  • Имеется ли на машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее сканировать ip-адреса компьютеров пользователей сети Интернет, имеющих открытые для удаленного доступа из сети Интернет ресурсы? Если да, то такое программное обеспечение (название, версии, место расположения на носителе)? Имеются ли данные, свидетельствующие об использовании этого программного обеспечения? Если да, то какие именно?
  • Имеется ли на машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее подобрать пароль для подключения к жесткому диску удаленного компьютера? Если да, то какое программное обеспечение (название, версии, место расположения на носителе)?
  • Имеется ли на представленных машинных носителях программное обеспечение для работы с электронными платежными системами? Если да, то имеется ли информация об учетных данных пользователей, зарегистрированных в таких системах?
  • Имеются ли на представленных машинных носителях информации, представленных на исследование, вредоносные программы, заведомо приводящие к модификации, блокированию, копированию или уничтожению компьютерной информации, нарушению работы ЭВМ, системы ЭВМ или их сети? Если да, то каково их назначение, предназначение, расположение? Имеются ли данные, свидетельствующие об их создании на исследуемом машинном носителе и распространении (в том числе по сети Интернет)? Если да, то какие именно?
  • Экземпляры, каких программных продуктов, установлены на представленных машинных носителях информации?
  • Имеются ли на представленных машинных носителях информации экземпляры программных продуктов для ведения бухгалтерского учёта и налоговой отчетности?
  • Возможно ли вносить изменения в ранее созданный документ с помощью установленных экземпляров программных продуктов семейства «1С: Предприятие»?
  • Какое количество учетных записей пользователей зарегистрировано в установленных экземплярах системного программного обеспечения, а также в экземплярах программных продуктов семейства «1С: Предприятие»?
  • Имеют ли установленные зарегистрированные учетные записи пользователей пароли доступа к ресурсам системного программного обеспечения, а также к ресурсам в экземплярах программных продуктов семейства «1С: Предприятие»?
  • Какие права доступа имеют установленные зарегистрированные учетные записи пользователей?

Информационно-компьютерная экспертиза является ключевым подвидом компьютерно-технической экспертизы, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Задачами этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Вопросы эксперту могут быть сформулированы следующим образом:

  • Имеются ли на представленных машинных носителях файлы, содержащие базы сообщений электронной почты, а также файлы, содержащие журналы сообщений программ по обмену мгновенными сообщениями (интернет-пейджеров)? Если да, то под какими учетными данными принимались (передавались) сообщения?
  • Содержится ли на представленных машинных носителях информация о доступе к каким-либо форумам в сети Интернет? Если да, то имеется ли информация об учетных данных зарегистрированных в них пользователей?
  • Имеются ли на представленных машинных носителях файлы, содержащие следующие «ключевые выражения» (текстовые последовательности): …?
  • Имеются ли на представленных машинных носителях файлы, содержащие графические изображения представленных документов?
  • Имеются ли на представленных машинных носителях файлы, которые являются электронными копиями файлов, представленных для сравнительного анализа? Если да, то какова дата их создания, изменения, печати, удаления, с помощью какого программного обеспечения они были созданы и изменены?
  • Имеются ли на представленных машинных носителях файлы, содержащие фрагменты документов из представленных для сравнительного анализа файлов?
  • Имеются ли на представленных накопителях на жестких магнитных дисках следы аномальных изменений даты и времени?
  • Имеются ли на представленных машинных носителях файлы, содержащие информацию из представленных документов…?
  • Имеются ли на представленных машинных носителях следы изменения файлов с именами … с помощью имеющегося программного обеспечения?
Читайте так же:  Материнский капитал на строительство дома под ключ

Компьютерно-сетевая экспертиза в отличие от предыдущих основывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому факты и обстоятельства, связанные с использованием сетевых и телекоммуникационных технологий и устанавливаемые по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу, составляют видовой предмет компьютерно-сетевой экспертизы.

Она выделена в отдельный подвид в связи с тем, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.

Особое место в судебной компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с интернет-технологиями. Объект применения специальных познаний КТЭ может быть довольно разным – от компьютеров пользователей, подключенных к интернет, до различных ресурсов поставщика сетевых услуг (провайдера) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, www-сервис и пр.)

При назначении экспертизы могут быть поставлены следующие вопросы:

  • Возможно ли осуществление доступа к сети интернет с использованием представленных на исследование аппаратных средств? Если да, то каким образом осуществлялся доступ?
  • Имеется ли на машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее осуществлять соединение и работу в сети интернет? Если да, то, какое программное обеспечение (название, версии)?
  • Имеется ли на машинных носителях информации, представленных на исследование, программное обеспечение, позволяющее пользоваться услугами электронной почты? Если да, то, какое программное обеспечение (название, версии)? Имеются ли на машинных носителях информации файлы, содержащие почтовые сообщения? Каков адрес электронного почтового ящика, на который получены входящие сообщения?
  • Имеется ли на машинных носителях информации, представленных на исследование, информация об осуществлении сеансов доступа к сети Интернет за период с … по …, в том числе с использованием учетных данных …? Если да, то, какие учетные данные использовались для выхода в сеть интернет? В каких файлах содержатся сведения об использовавшихся логинах и паролях?
  • Имеется ли на машинных носителях информации, представленных на исследование, файлы, полученные путем копирования из сети интернет за период с … по … (в том числе файлы «cookies»)?

Практический опыт показывает, что рассмотренные выше основные подвиды компьютерно-технической экспертизы при производстве большинства экспертиз применяются комплексно и, чаще всего, последовательно. При этом, как правило, изучение начинается с аппаратных средств, далее – программных, и в заключение – работа с данными. Именно информационно-компьютерная экспертиза позволяет в итоге построить целостное представление об исследуемом объекте, имеющее доказательственное значение. В результате проведения такого комплекса исследований, использования всего имеющегося родового экспертного инструментария достигается решение наиболее существенных экспертных задач – поиск, обнаружение, анализ и оценка криминалистически значимой компьютерной информации. Название такого комплексного исследования должно совпадать с родовым названием – компьютернотехническая экспертиза. Поэтому в настоящее время в постановлении на производство судебной экспертизы целесообразно указывать родовое наименование экспертизы, т.е. «произвести судебную компьютерно-техническую экспертизу».

Кроме того, в ходе таких пограничных исследований иногда возникает потребность привлекать специальные познания и из других смежных научных областей (например, криптографии и защиты информации). В экспертной практике уже намечены реальные перспективы развития комплексных экспертиз с использованием специальных познаний в СКТЭ и в следующих экспертизах: судебноэкономические экспертизы, технико-криминалистическая экспертиза документов, криминалистическая экспертиза видео- и звукозаписей, товароведческая и другие экспертизы.

Так, при назначении комплексной компьютерно-технической и технической экспертизы документов на разрешение экспертам могут быть поставлены вопросы:

  • Имеются ли на машинном носителе информации данные с представленных на экспертизу документов (образцов)?
  • В каком виде (целостном, фрагментарном) находятся данные с представленных документов на машинных носителях информации?
  • Какие данные с представленных на экспертизу документов (образцов) находятся на машинном носителе информации?
  • Изготовлены ли и распечатаны ли представленные документы при помощи изъятого по делу … комплекта компьютерной техники?
  • Получены ли представленные документы с использованием данной компьютерной техники?
  • Каким способом изготовлен представленный на исследование документ?
  • Каким шрифтом выполнены письменные знаки в исследуемом документе?
  • Имеются ли в представленном документе какие-либо письменные знаки, не относящиеся к стандартным шрифтам, а созданные самостоятельно пользователем?
  • Имеются ли на машинных носителях информации, представленных на экспертизу, файлы, содержащие текст указанного документа?
  • Имеются ли следы изготовления документа, представленного на исследование?

Подготовка материалов на компьютерно-техническую экспертизу

Собирание доказательств по делам, сопряженным с использованием компьютерных средств, достаточно сложно, т.к. связано со сложностью объектов. Не каждый следователь обладает специальными познаниями в области компьютерных технологий в достаточной мере, чтобы успешно организовать расследование. В этой связи необходима помощь специалиста, т.к. даже малейшее неквалифицированное действие с компьютерной системой зачастую заканчивается безвозвратной утратой ценной розыскной и доказательственной информации. Поэтому изъятие объектов исследования для производства компьютерно-технической экспертизы должен производить специалист.

Конкретный объект экспертизы – определенное компьютерное средство, исследуемое в процессе данной экспертизы, обладающее признаками индивидуальности и неповторимости, что и определяет специфику конкретного исследования.

Система объектов компьютерно-технической экспертизы по классификационному основанию видового деления выглядит следующим образом:

  • класс аппаратные объекты, включающие в себя виды: персональные компьютеры (настольные, портативные), периферийные устройства, сетевые аппаратные средства, (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.), интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.), встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.), любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и т.п.). Указанные виды могут охватывать различные сочетания подвидов. В криминалистическом аспекте наиболее важен подвид запоминающих устройств и носителей данных – включает все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты, карты и т.п.;
  • класс программные объекты, включающий в себя виды: системное программное обеспечение (подвиды: операционная система, вспомогательные программы- утилиты, средства разработки и отладки программ, служебная системная информация); прикладное программное обеспечение – подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.) и подвид приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т.д.);
  • класс информационные объекты (данные), включающий в себя виды: текстовых и графических документов, изготовленных с использованием компьютерных средств; данных в форматах мультимедиа; информации в форматах баз данных и других приложений, имеющей прикладной характер.

При изъятии компьютеров и носителей данных их следует упаковывать и опечатывать. Системные блоки компьютеров должны быть пронумерованы, а все разъемы опечатаны. Следует пронумеровать все носители информации, а также пакеты, в которые они запакованы, проставить соответствующие опознавательные знаки на бумажных аналогах информации.

При опечатывании компьютеров не следует пользоваться жидким клеем или другими веществами, которые могут испортить техническое средство. Наиболее эффективен следующий способ фиксации компьютерного средства:

  • выключить компьютер;
  • отключить его от сети;
  • отсоединить все разъемы;
  • на длинной полосе бумаги поставить подписи следователя, специалиста, понятых, представителей персонала или администрации и номер;
  • наложить эти полосы на разъемы для подключения питания, а также на кнопки сетевого включения. В качестве клеящего средства можно использовать липкую ленту или густой клей. При использовании липкой ленты ее надо наносить так, чтобы любая попытка снять ее нарушала целостность бумажной полосы с подписями;
  • такой же бумажной полосой опечатать боковые стенки корпуса таким образом, чтобы исключить возможность доступа к внутренним элементам системного блока без нарушения ее целостности;
  • при составлении протокола обыска и изъятия в нем следует указывать серийные номера всех изымаемых блоков и их балансовые номера (по документации бухгалтерии предприятия), если таковые имеются. Если номера полностью отсутствуют, следует подробно описать каждый блок в соответствии с его индивидуальными признаками.

Кроме указанного способа, в следственной практике все чаще указывается другой способ опечатывания системного блока. Последний помещается в полиэтиленовый (либо холщевый) пакет и далее опечатывается уже сам пакет (доступа не будет ни к разъемам, ни к кнопкам, ни к корпусу).

Читайте так же:  Лицензия салехард

Для опечатывания носителей информации необходимо упаковать их в жесткую негнущуюся коробку и опечатать ее. Далее следует сделать на отдельном листке бумаги подробное описание упакованных носителей (тип каждого из них, их количество). Коробка с носителями и описание помещается в полиэтиленовый пакет, который заклеивается. Кроме коробок, в крайнем случае, для упаковки компьютерных средств могут быть использованы большие полотняные мешки или куски ткани.

Изъятие компьютерных средств должно производиться в один прием. При отсутствии транспорта следует организовать строгую охрану изъятого оборудования в специальном помещении. Недопустимо предоставление части изъятых средств в распоряжение организации (учреждения) по причинам «производственной необходимости», так как в процессе работы могут быть внесены изменения в файлы информации или программы. Такие действия могут повлечь за собой повреждение или уничтожение имеющейся компьютерной информации. Известны совершенно недопустимые случаи использования изъятых в качестве вещественных доказательств компьютерных средств следователями и сотрудниками оперативных аппаратов для составления процессуальных документов, отчетов, компьютерных игр. Такие действия должны решительно пресекаться, а виновные привлекаться к ответственности, даже если в следственном отделе, расследующем преступление, отказали все служебные компьютеры.

При перевозке компьютерных средств необходимо исключить их механические повреждения и взаимодействие с химически активными веществами. Следует экранировать от воздействий магнитных полей как компьютерные устройства, так и магнитные носители информации. Такое воздействие может привести к порче или уничтожению информации путем размагничивания.

При размещении изъятых объектов на хранение следует соблюдать установленные правила хранения и складирования электронных технических средств. Нельзя ставить системные блоки в штабель выше трех штук, а также размещать на них какие-либо другие предметы.

Хранят компьютеры и комплектующие в сухом, отапливаемом помещении. Следует удостовериться, что в нем нет грызунов (мышей и крыс), которые часто являются причиной неисправности аппаратуры. Кроме того, категорически не рекомендуется курить, принимать пищу и содержать животных в помещениях, предназначенных для хранения компьютерной техники и магнитных носителей.

На решение судебной экспертизы компьютерной техники и программных продуктов могут быть поставлены следующие вопросы:

1.Компьютер какой модели предоставлен на исследование?

2.Каковы технические характеристики его системного блока и периферийных устройств?

3.Какие технические неисправности имеет данный компьютер или его отдельные блоки и устройства, и как эти неисправности влияют на работу компьютера (блока, устройства)?

4.Не проводилась ли адаптация компьютера для работы с ним специфических пользователей (лица с плохим зрением, левши и др.)?

5.Содержится ли на данном носителе информация, и если да, то каково его целевое назначение?

6.Содержится ли на данном носителе информация, имеющая ключевые слова?

7.Содержится на данном носителе информация, в которой есть данные, указывающие на предприятие (фирму, организацию)?

8.Когда и кем были созданы исследуемые файлы?

9.Являются ли данные программные продукты лицензионными копиями стандартных систем, или они являются оригинальными разработками?

10.В какой период времени созданы файлы, какая дата последнего редактирования?

11.Не вносились ли в программы данного системного продукта какие-либо коррективы, изменяющие выполнение определенных операций?

12.Находилась ли на носителе информация, которая была уничтожена. Если да, то какая именно?

13.С какого из предоставленных компьютеров осуществлялся выход в сеть Интернет, по каким адресам, в какой период времени?

14.Каков механизм потери информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных?

15.Можно ли с помощью данного программного продукта реализовать функции, предусмотренные техническим заданием на его разработку?

16.Содержатся ли на исследуемом компьютере программные продукты, которые могут использоваться для взлома пароля и несанкционированного доступа к компьютерным сетям?

17.Возможно ли решение определенной задачи с помощью данного программного продукта?

18.Каков уровень профессиональной подготовки в области программирования и работы с компьютерной техникой лица, которое выполнило данные действия с компьютером и программным обеспечением?

19.Соответствует ли стиль программирования исследуемого программного продукта стилю программирования определенного лица?

20.Соответствуют ли приемы и средства программирования, которые применялись при создании исследуемого программного продукта, приемам и средствам, которыми пользуется данный программист?

21.Написана ли данная компьютерная программа определенным лицом (данный вопрос может решаться совместно с экспертом в области автороведения)?

22.Какова стоимость программного обеспечения (на момент его приобретения, изъятия, проведения экспертизы)?

23.Какова стоимость отдельных модулей, входящих в состав программного продукта?

24.Какова стоимость компьютерной техники (отдельных комплектующих) на момент приобретения (изъятия, проведения экспертизы) документов?

Специалисты психологи и психологи-педагоги осуществляют психологическое консультирование населения, по различным вопросам, а так же проводят психологические экспертизы профпригодности, психодиагностику детей и подростков.

АНО Центр судебных экспертиз «ЭКСПЕРТ ПРОФИ» проводит оценку движимого и недвижимого имущества в кратчайшие сроки и по приемлемым ценам.

Судебные компьютерно-технические экспертизы (СКТЭ)

Компьютерно-техническая экспертиза — одна из разновидностей судебных экспертиз, объектом которой является компьютерная техника и/или компьютерные носители информации, а целью — поиск и закрепление доказательств.

Рассмотрим основные понятия СКТЭ (судебной компьютерно-технической экспертизы) — самого молодого вида из класса инженерно-технических экспертиз.

Наиболее типичными задачами данного вида экспертизы являются:

  • определение статуса объекта как компьютерного средства;
  • идентификация и изучение возможности его использования в расследуемом преступлении;
  • получение доступа к компьютерной информации и её всестороннее исследование.

Объекты компьютерно-технических экспертиз

  1. Аппаратные объекты (hard, железо, оборудование):
    • персональные компьютеры (настольные, переносные);
    • периферийные устройства (принтеры, модемы и др.);
    • сетевое оборудование (сервера, рабочие станции, активное оборудование, сетевые кабели и др.);
    • интегрированные системы (органайзеры, пейджеры, мобильные телефоны и др.);
    • встраиваемые системы на базе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.);
    • любые аксессуары всех указанных компонент (аппаратные блоки, платы расширения, микросхемы памяти, магнитные и лазерные диски, магнитные ленты).

  2. Программное обеспечение (ПО, soft)
    • системное ПО;
    • прикладное ПО.

  3. Информационные объекты (data, данные)
    • документация, выполненная с применением компьютерных средств;
    • сведения о компьютере в мультимедийных форматах;
    • компьютерная информация в базах данных и в других приложениях, имеющих прикладной характер и т. д.

  4. Автоматизированные информационные системы
    • корпоративные и региональные компьютерные сети;
    • проводные и беспроводные компьютерные сети;
    • компоненты сетей, их внутренние структуры, интерфейсы и каналы взаимодействия.
  1. Вопросы компьютерно-технических экспертиз оборудования:
    • Относится ли представленный аппарат к компьютерным средствам?
    • Оборудование (компьютер) принадлежит к какому типу (марка, модель)?
    • Каковы технические характеристики и параметры компьютера?
    • Какова функциональность оборудования?
    • Какую роль выполняло оборудование в конкретной компьютерной системе?
    • Принадлежит ли оборудование к конкретной компьютерной системе?
    • Используется ли оборудование (компьютер) для решения определенной функциональной задачи?
    • Каково начальное состояние (конфигурация, характеристики) оборудования?
    • Каково фактическое состояние (исправен, неисправен) аппаратного средства (компьютера)?
    • Есть ли в компьютере отклонения от стандартных (обычных) параметров, в том числе и физических дефектов?
    • В каком режиме эксплуатировалось оборудование?
    • Является ли неисправность следствием нарушения тех или иных правил эксплуатации?
    • Каковы причины изменения функциональных (потребительских) свойств в начальной конфигурации компьютера (hardware)?
    • Является ли компьютер (железо) носителем данных?
    • Какой вид (тип, модель или марка) имеет компьютер?
    • Работает ли компьютер с носителем информации как с частью своей памяти?
    • Каковы параметры (объём, мощность, среднее время доступа к данным, скорость передачи данных и др.) носителя данных?
    • В каком виде хранятся данные на жёстком диске?
    • Можно ли считать носители данных доступными для чтения?
    • Каковы причины отсутствия доступа к носителю данных?
  • Вопросы компьютерно-технических экспертиз ПО:
    • Каковы общие характеристики программного обеспечения представленного для судебной технической экспертизы, из каких компонент оно (программное обеспечение) состоит?
    • Каков класс программного обеспечения (системное или прикладное)?
    • Какие программные объекты обладают признаками нелицензионности?
    • Каково наименование, тип, версия, состояние (очевидный, скрытый, удаленный) программного обеспечения?
    • Каковы реквизиты разработчика и владельца программного обеспечения?
    • Какова структура файлов программного обеспечения представленного для компьютерной экспертизы, каковы их параметры (объемы, даты создания, атрибуты)?
    • Каковы общие функциональные возможности, программного обеспечения?
    • Возможно ли использование программного обеспечения для реализации определенной функциональной задачи?
    • Какие требования предъявляются к этому программному обеспечению на аппаратные средства компьютерной системы?
    • Какова совместимость конкретного программного обеспечения с ПО и аппаратной частью компьютерной системы?
    • Является ли данное программное обеспечение годным для решения определенных функциональных задач?
    • Позволяет ли состояние компьютера (программного обеспечения) использовать его по проведению отдельных (конкретных) функций?
    • Как организуется ввод и вывод данных в представленном компьютере (программном обеспечении)?
    • Имеются ли отклонения программного обеспечения от нормальных параметров (например, инфицированность, недекларированные возможности)?
    • Имеет ли программное обеспечение (компьютер) защитные возможности (программные, аппаратно-программные) от несанкционированного доступа и копирования?
    • Как защитные возможности программного обеспечения (computer) организованы?
    • Каков общий алгоритм представленного программного обеспечения?
    • Какие программные средства (языки программирования, компиляторы, стандартные библиотеки) были использованы при разработке представленного ПО (программы для ЭВМ)?
    • Имеются ли на носителях информации исходные коды (исходники) программы?
    • Является ли алгоритм программного обеспечения модифицированным по сравнению с исходным состоянием?
    • Какой вид имело ПО до его последнего изменения?
    • Есть ли специфические (нестандартные) приемы алгоритмизации и программирования использованные в алгоритме программы и ее тексте?
    • Было ли изменение каких-либо функций ПО (программы для ЭВМ) и какая программа использовалась для этой цели?
    • Направлены ли внесенные в программное обеспечение изменения на преодоление его защиты?
    • Является ли решение определенных задач, после внесения изменений в программное обеспечение (программы для ЭВМ) достигнутым?
    • Каким образом изменения в компьютерной программе были сделаны (умышленно, влияние вредоносных программ, ошибки в программном окружении, аппаратный сбой и т.п.)?
    • Какова хронология изменений в ПО?
    • Какова хронология использования программного обеспечения с момента его установки?
    • Есть ли в компьютере вредоносное ПО, которые влечёт уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной системы?
    • Каковы последствия дальнейшей эксплуатации определенного ПО?
  • Вопросы компьютерно-технических экспертиз информации («данные»):
    • Как носитель данных был отформатирован и как представленные данные записаны?
    • Каковы характеристики физического размещения данных на носителе данных?
    • Каковы основные характеристики логического размещения данных на носителе данных?
    • Каковы свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и т.п.) данных?
    • Каков вид (очевидный, скрытый, удаленный, архив) доступа к информации на носителе?
    • Какие данные, выявленные в ходе технической экспертизы относятся к какому типу (текстовые, графические, базы данных, электронные таблицы, мультимедиа, запись пластиковой карты, ROM-данные, и т.д.) и какими программами они обрабатываются?
    • Каков доступ (свободный, ограниченный и так далее) к данным на носителе и в чем его специфичность?
    • Каковы свойства, характеристики выявленных средств защиты компьютерной информации, и каковы возможные пути их преодоления?
    • Каковы признаки преодоления защиты (или попыток несанкционированного доступа) доступны к носителю данных (компьютеру)?
    • Каково содержимое защищенных компьютерных данных?
    • Фактическое состояние обнаруженных компьютерных данных соответствует стандартному состоянию?
    • Какие расхождения в стандартном представление данных (нарушение целостности, несоответствие формата, вредные включения и т. д.) присутствуют в данных?
    • Какие данные для решения определенных функциональных (пользовательских) задач доступны на носителе данных (компьютере)?
    • Какие данные факты и обстоятельства конкретного бизнеса имеются на носителе данных (компьютере)?
    • Какие данные на собственника (пользователя) компьютерной системы (в том числе имена, пароли, права доступа и так далее) доступны на носителях данных (компьютере)?
    • Какие данные из документов (образцы) на рассмотрение и в каком виде (полный, фрагментарно) имеются на носитель данных (компьютере)?
    • Каково начальное состояние данных на носителе (в каком виде, содержание, характеристики, атрибуты до их удаления или модификации)?
    • Каким способом и при каких обстоятельствах происходили действия (операции) (блокирование, модификация, копирование, удаление) с определенными данными на носителе данных (компьютере)?
    • Каков механизм (последовательность действий) по решению конкретной задачи, влекущий изменения в определенных данных на носителе данных (компьютере)?
    • В какой хронологической последовательности действий (операций) с выявленными данными происходило решение определенной задачи (например, подготовка изображений банкнот, ценных бумаг, оттиски печатей и другие)?
    • Имеется ли причинно-следственная связь между действиями (ввод, изменение, удаление и т. д.) с данными и происходящих событий (например, нарушение работы компьютерной системы, включая ошибки в программных и аппаратных средствах?
    • В какой степени соответствия (или несоответствия) находятся действия с конкретной информацией и правила пользования определенной компьютерной системой?
  • Вопросы компьютерно-технических экспертиз компьютерных систем:
    • Является ли представленное оборудование компьютерной системой?
    • Является ли представленное оборудование полной компьютерной системой или ее частью?
    • Каков тип компьютерной системы (марка, модель)?
    • Каковы общие характеристики для компьютерной системы и ее компонентов?
    • Каков состав (конфигурация) и технические характеристики компьютерной системы?
    • Соответствует ли конфигурация вычислительной системы конкретным целям?
    • Каковы функциональные возможности компьютерной системы?
    • Являются ли определенные функциональные (пользовательские) задачи решаемыми с помощью представленной компьютерной системы?
    • Находится ли компьютерная система в рабочем состоянии?
    • Имеет ли компьютерная система какие-либо отклонения параметров от стандарта (нормы), в том числе физические (механические) дефекты?
    • Каков перечень пользовательских режимов доступа в компьютерную систему?
    • Какие пользовательские режимы созданы в компьютерной системе?
    • Какие носители данных доступны в представленной компьютерной системе?
    • Имеется ли какая-нибудь система информационной безопасности в представленной компьютерной системе?
    • Система информационной безопасности, обнаруживается из представленной компьютерной системы?
    • Каковы вид и характеристики этой системы защиты? Каковы возможности для её преодоления?
    • Является ли объект принадлежащим к компьютерной системе?
    • Является ли объект компьютерной системой или каким-нибудь ее компонентом (аппаратным, программным, информационным)?
    • Какой тип (марка, модель), конфигурация и основные технические характеристики компьютерной системы (или его части)?
    • Относятся ли конкретные функциональные (пользовательские) задачи к решаемым с помощью представленной компьютерной системы?
    • Есть ли в компьютерной системе какие-то неполадки в её работе?
    • Есть ли признаки (обязательный перечень конкретных признаков указан) нарушения правил эксплуатации компьютерной системы?
    • Имеется ли какая-либо система защиты доступа к информации в компьютерной системе? Какие возможности для её преодоления?
    • Какие носители информации имеются в представленной компьютерной системе?
    • Какой вид (тип, модель, марка), и какие параметры имеет носитель данных?
    • Какие технические устройства, предназначенные для работы с носителем данных?
    • Существует ли в качестве части представленной компьютерной системы устройство, предназначенное для работы (чтение, запись) с заданным носителем данных?
    • Есть ли на носителях данных, ПО для решения конкретных (пользовательских) задач?
    • Какие функциональные возможности имеет ПО?
    • Имеются ли программы с признаками (обязательный перечень конкретных признаков указан) вредоносности?
    • Какие сведения, касающиеся обстоятельств дела (обязательный перечень конкретных данных, или ключевые слова указан), содержится на носителе данных; какие виды ее представления (очевидный, скрытый, удаленный, архивный)?
    • Есть ли на носителе данных информация, аутентичная по содержанию к представленым образцам? Какие виды ее представления (очевидный, скрытый, удаленный, архивный)?
    • Данные принадлежат к какому формату (текстовые документы, графические файлы, базы данных и др.)? Каким ПО они могут быть обработаны?
    • Есть ли в анализируемой компьютерной системе признаки (обязательный перечень конкретных признаков указан) несанкционированного доступа к данным?
    • Какие данные на владельца (пользователя) компьютерной системы (в том числе имена, пароли, права доступа и так далее) доступны на носителях данных, представленных для судебной компьютерно-технической экспертизы?
    • Имеются ли признаки функционирования компьютерных средств в рамках локальной вычислительной сети, а также для поддержания установленных сетевых компонентов?
    • Имеются ли признаки работы компьютерных средств в сети Интернет?
    • Каково содержание установок удаленного доступа и протоколов подключений?