Реферат: Ческой экспертизы, если не соблюдается особый порядок обращения с носителем информации как с техническим устройством и особый порядок осмотра информации на нем

Использование программно-аппаратного стенда на основе программного обеспечения типа VM WARE при производстве экспертных исследований


 Яковлев А.Н., 2003.


Документы и иные следы преступления, если они располагаются на машинных магнитных носителях информации, могут быть непреднамеренно и невосстановимо уничтожены при производстве компьютерно-технической (информационно-технологической) экспертизы, если не соблюдается особый порядок обращения с носителем информации как с техническим устройством и особый порядок осмотра информации на нем. Связано это в первую очередь с тем, что большинство программ, работающих под управлением современных операционных систем, обладают способностью скрытых взаимодействий с файловой системой, в результате чего образуются криминалистически значимые следы. Поиск и анализ таких следов, проводимый экспертом, может предоставить важную доказательственную информацию по делу. Однако в качестве инструмента исследования информации на изъятом носителе эксперт использует программное обеспечение, обладающее аналогичной способностью скрытых взаимодействий с файловой системой, поэтому игнорирование мер безопасности может повлечь за собой безусловное и скрытое изменение (искажение) следовой картины.

Таким образом, объективно оправдано введение жестких ограничений на действия эксперта с изъятым носителем информации. Реализованы эти ограничения могут быть только с использованием особой технологии экспертного исследования компьютерных носителей информации при помощи программно-аппаратного стенда.

Простейший вариант программно-аппаратного стенда представляет собой специально оборудованный компьютер, на жестком диске которого установлено специальное программное обеспечение для производства компьютерно-технических (информационно-технологических) экспертиз. Исследуемый жесткий диск подключается к компьютеру эксперта при помощи устройства типа Mobile Rack в пассивном режиме, при этом необходимо обеспечить выполнение следующих требований:

наличие и возможность загрузки нескольких операционных систем;

принятие предупредительных мер от изменения информации на логических дисках исследуемого жесткого диска, включающих в себя контроль местоположения файла подкачки, отключение «корзин» для удаляемых файлов, исключение возможности записи служебных файлов и каталогов на выбранные логические диски;

наличие программ антивирусной защиты, настройка которых исключает как возможность заражения файловой системы на компьютере эксперта, так и автоматическое лечение зараженных файлов на исследуемом жестком диске.

Рассмотренный вариант организации программно-аппаратного стенда не имеет существенных достоинств, требует глубоких знаний взаимодействия операционной системы и программных средств, содержит в себе потенциальную возможность внесения изменений в файловую систему исследуемого носителя информации, так как не содержит средств запрета записи на него.

Всех перечисленных недостатков лишен программно-аппаратный стенд, реализованный с использованием технологии виртуальных машин (программное обеспечение типа VmWare). Основные его характеристики:

создание рабочей среды исследования в рамках замкнутой виртуальной машины, которая может иметь собственную файловую систему, при этом для компьютера эксперта виртуальная машина представляет собой набор файлов программы VmWare;

поддержка «гостевых» операционных систем, работающих параллельно с операционной системой компьютера эксперта, а именно: операционных систем Microsoft, включая Windows XP, Windows 2000, Windows NT 4.0, Windows ME, Windows 98, Windows 95, Windows 3.1, MS DOS 6, а также популярных дистрибутивов Linux, включая Red Hat Linux, SuSE Linux и Linux-Mandrake;

поддержка нескольких уровней доступа к файловой системе исследуемого жесткого диска: «только чтение», «запись после получения соответствующего подтверждения», «полный доступ»;

возможность одновременной работы нескольких виртуальных машин, в том числе их организация в виртуальную сеть, в пределах локального компьютера эксперта;

возможность приостановки и возобновления работы виртуальной машины с записью текущего состояния;

поддержка USB-устройств, DVD-ROM, CD-ROM, SCSI-устройств.

Использование программно-аппаратного стенда, реализованного с использованием технологии виртуальных машин, при производстве компьютерно-технических экспертиз и исследований позволяет:

1) иметь набор эталонных виртуальных машин, оснащенных необходимым специализированным программным обеспечением и ориентированных на решение типовых экспертных задач;

2) при необходимости быстро восстанавливать рабочую среду исследования (виртуальную машину) с помощью эталонных файлов;

3) решать экспертные задачи, связанные с исследованием сетевых технологий;

4) использовать как неразрушающие, так и разрушающие методы исследования информационных копий объектов, включая моделирование воздействия вредоносных программ на файловую систему;

5) обеспечить наглядность заключения эксперта с помощью «скриншотов» (снимков) окна, в котором работает виртуальная машина, при достижении целей исследования;

6) сократить сроки производства экспертизы.

Особенно важным нам представляется то, что на компьютере эксперта виртуальная машина представляет собой набор файлов программы VmWare, которые можно записать на CD-ROM-диск. Тем самым экспертные подразделения получают возможность сформировать специальные коллекции, которые могут быть использованы для обучения экспертов, обмена опытом, создания методик экспертного исследования информационных объектов. При необходимости записанная на CD-ROM-диск виртуальная машина может быть приобщена к материалам уголовного дела и использоваться при производстве повторной экспертизы.

Таким образом, рассмотрев основные характеристики программно-аппаратного стенда на основе программного обеспечения типа VmWare, можно сделать вывод о том, что использование технологии виртуальных машин при производстве компьютерно-технических экспертиз и исследований позволяет качественно и быстро решить поставленные перед экспертом задачи, обеспечивая необходимый режим защищенности исследуемого носителя данных.