331
листов.
Следственные действия могут производиться в целями осмотра и изъятия ЭВМ и ее уст-
ройств; поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах; поис-
ка и изъятия информации и следов воздействия на нее вне ЭВМ. В зависимости от этих целей мо-
гут использоваться различные приемы исследования.
Осмотр и изъятие ЭВМ и ее устройств. Признаками работающей ЭВМ могут быть подклю-
чение ее проводами к сети, шум работающих внутри ЭВМ вентиляторов, мигание или горение ин-
дикаторов на передних панелях системного блока, наличие на экране изображения. Если ЭВМ ра-
ботает, ситуация для следователя, проводящего следственное действие без помощи специалиста,
существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъя-
тия необходимых данных. В этом случае следует:
определить, какая программа выполняется. Для этого необходимо изучить изображение на
экране дисплея и по возможности детально описать его; осуществить фотографирование или ви-
деозапись изображения на экране дисплея; остановить исполнение программы; зафиксировать
(отразить в протоколе) результаты своих действий и реакции на них ЭВМ; определить наличие у
ЭВМ внешних устройств-накопителей информации на жестких магнитных дисках (винчестерах),
внешних устройств удаленного доступа (например, модемов) к системе и их состояния (отразить в
протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог модифицировать или
уничтожить информацию в ходе обыска (например, отключить телефонный шнур).
Если ЭВМ не работает, следует:
точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ЭВМ и ее пе-
риферийных устройств (печатающее устройство, дисководы, дисплей, клавиатуру и т.п.), а также
порядок соединения между собой этих устройств с указанием особенностей (цвет, количество со-
единительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъеди-
нением любых кабелей полезно осуществить видеозапись или фотографирование мест соедине-
ния, а затем с соблюдением всех возможных мер предосторожности разъединить устройства ЭВМ,
предварительно обесточив их.
Упаковывать все изъятое следует раздельно (с указанием в протоколе и на конверте места
обнаружения) и помещать их в оболочки, не несущие заряда статического электричества.
Особенной осторожности требует транспортировка винчестера (жесткого диска). Некото-
рые системы безопасной остановки («парковки») винчестера автоматически срабатывают каждый
раз, когда машина выключается пользователем, но в некоторых системах может требоваться спе-
циальная команда ЭВМ.
Если в ходе осмотра и изъятия все же в крайнем случае понадобится запуск ЭВМ, это сле-
дует делать во избежание запуска программ пользователя с помощью собственной загрузочной
дискеты.
Более сложной частью осмотра ЭВМ являются поиски содержащейся в ней информации и
следов воздействия на нее, поскольку требуют специальных познаний. Существует фактически
два вида поиска поиск, где именно искомая информация находится в компьютере, и поиск, где
еще разыскиваемая информация могла быть сохранена.
Как известно, в ЭВМ информация может находиться непосредственно в оперативном запо-
минающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на
внешнем запоминающем устройстве. Наиболее эффективным и простым способом фиксации дан-
ных из ОЗУ является распечатка на бумагу информации, появляющейся на экране дисплея. Если
ЭВМ не работает, информация может находиться на машинных носителях, других ЭВМ информа-
ционной системы, в «почтовых ящиках» электронной почты или сети ЭВМ. Детальный просмотр
файлов записей и их расположение (которое само по себе может иметь существенное доказатель-
ственное значение, отражая группировку информации) целесообразно осуществлять с участием
специалистов в лабораторных условиях или на рабочем месте следователя. Предпочтительно изу-
чать не подлинники изъятых машинных носителей, а их копии.
Следует обращать внимание на поиск так называемых скрытых* файлов и архивов, где мо-
жет храниться важная информация. Обнаруженные файлы с зашифрованной информацией следует
направлять на расшифровку и декодирование пароля соответствующим специалистам. Специаль-
ные познания необходимы и для выявления содержащихся в периферийных устройствах ввода-
вывода фрагментов программного обеспечения и информации. Так же как и в случае с ОЗУ, дан-
|