Не можна допустити, щоб у суді з’явилася можливість обвинуватити слідство у навмисному зараженні комп'ютера вірусами, чи у некомпетентності при проведенні слідчих дій або просто в недбалості, оскільки довести, що вірус був у комп'ютері до початку дослідження, навряд чи можливо, а подібне обвинувачення поставить під сумніви всю. працю експерта та вірогідність його висновків.

Такі найбільш типові помилки, що часто зустрічаються при дослідженні комп'ютера у справах пов’язаних з розслідуванням комп’ютерних злочинів. Однак розглянутий перелік не охоплює всіх помилок, що виникають у процесі вилучення і дослідження комп'ютерної інформації. Цьому легко знайти пояснення: відсутність достатнього досвіду в подібних справ у нашій країні. У той же час у країнах Західної Європи і, особливо, США є вже досить багатий досвід щодо розслідування складних комп'ютерних злочинів. Варто більш ретельно його вивчати, що дозволить уникнути багатьох помилок.

Для запобігання помилок при проведенні слідчих дій на початковому етапі розслідування, які можуть привести до втрати чи руйнуванню комп’ютерної інформації, потрібно дотримуватися деяких запобіжних заходів:

Рекомендація 1. В першу чергу треба виконати резервне копіювання інформації.

При обшуках і виїмках, пов’язаних з вилученням комп’ютера, магнітних носіїв і інформації виникає ряд загальних проблем, пов’язаних зі специфікою технічних засобів, що вилучаються. Так, необхідно передбачати заходи безпеки, що здійснюються злочинцями з метою знищення комп’ютерної інформації. Наприклад, вони можуть використати спеціальне обладнання, в критичних випадках утворююче сильне магнітне поле, що стирає магнітні записи.

Протягом обшуку усі електронні докази, які знаходяться у комп’ютері чи комп’ютерній системі повинні бути зібрані таким шляхом, щоб вони потім були признані судом. Світова практика свідчить, що у великій кількості випадків під тиском представників захисту у суді електронні докази не приймаються до уваги. Для того, щоб гарантувати їх визнання у якості доказів, необхідно суворо дотримуватися вимог кримінально-процесуального законодавства, а також стандартизованих прийомів та методик їх вилучення.

Звичайно комп’ютерні докази зберігаються шляхом створення точної копії з оригіналу (первісного доказу), перш ніж виконується будь-який їх аналіз. Але робити копії комп'ютерних файлів, використовуючи тільки стандартні програми резервного копіювання, недостатньо. Речові докази можуть існувати у формі знищених або прихованих файлів, а дані, зв'язані з цими файлами, можна зберегти тільки за допомогою спеціального програмного забезпечення, у найпростішому виді це можуть бути програми типу - SafeBack; а для гнучких дискет буває досить програми DOS Dіskcopy.

Магнітні носії, на які передбачається копіювати інформацію, повинні бути зазделегідь підготовлені (необхідно впевнитись, що на них нема ніякої інформації).Носії потрібно зберігати у спеціальних упаковках або загортати у чистий папір. Слід пам‘ятати, що інформація може бути зіпсована вологістю, температурним впливом або електростатичними (магнітними) полями.

Рекомендація 2. Знайти і виконати копіювання тимчасових файлів.

Багато текстових редакторів і програм управління базами даних створюють тимчасові файли як побічний продукт нормальної роботи програмного забезпечення. Більшість користувачів комп'ютера не усвідомить важливості створення цих файлів, тому що вони звичайно знищуються програмою наприкінці сеансу роботи. Однак дані, що містяться усередині цих знищених файлів, можуть виявитися найбільш корисними. Особливо якщо вихідний файл був шифрований чи документ підготовки текстів був надрукований, але ніколи не зберігався на диску, такі файли можуть бути відновлені.

Рекомендація 3. Треба обов’язково перевірити Swap Fіle.

Популярність Mіcrosoft Wіndows принесла деякі додаткові засоби, щодо дослідження комп'ютерної інформації. Swap Fіle працюють як дискова пам’ять або величезна база даних, і багато різних тимчасових фрагментів інформації, або навіть весь текст документу може бути знайдено у цьому Swap файлі.

Рекомендація 4. Необхідно порівнювати дублі текстових документів.

Часто дублі текстових файлів можна знайти на жорсткому або гнучкому магнітному диску. Це можуть бути незначні зміни між версіями одного документу, які можуть мати доказову цінність. Ці розходження можна легко ідентифікувати за допомогою найбільш сучасних текстових редакторів.

На закінчення хотілося би виділити загальні рекомендації, які необхідно враховувати при дослідженні комп’ютера на місці події.

Приступаючи до огляду комп'ютера, слідчий і фахівець, що безпосередньо робить усі дії на ЕОМ, повинні дотримувати наступного:

· перед вимиканням комп’ютера потрібно по можливості закрити усі використовувані на комп'ютері програми. Треба пам’ятати, що некоректний вихід з деяких програм може викликати знищення інформації або зіпсувати саму програму;

· необхідно прийняти заходи щодо встановлення пароля доступу у захищені програми;

· при активному втручанні співробітників підприємства, які намагаються протидіяти слідчій групі, потрібно відключити електроживлення всіх комп'ютерів на об'єкті, опечатати їх і вилучити разом з магнітними носіями для дослідження інформації в лабораторних умовах;

· при необхідності консультацій у персоналу підприємства, варто одержувати їх у різних осіб шляхом опитування чи допиту. Такий метод дозволить одержати максимально правдиву інформацію та уникнути навмисної шкоди;

· при вилученні технічних засобів, доцільно вилучати не тільки системні блоки, але й додаткові периферійні пристрої (принтери, стрімери, модеми, сканери тощо);

· при наявності локальної обчислювальної мережі необхідно мати потрібну кількість фахівців для додаткового дослідження інформаційної мережі;

· вилучати усі комп'ютери (системні блоки) і магнітні носії;

· потрібен ретельний огляд документації, звертаючи особливу увагу на робочі записи операторів ЕОМ, тому що часто саме в цих записах недосвідчених користувачів можна знайти коди, паролі й іншу дуже корисну інформацію;

· варто скласти список усіх позаштатних і тимчасово працюючих фахівців організації (підприємства) з метою виявлення програмістів і інших фахівців галузі інформаційних технологій, що працюють у даній установі. Бажано установити їх