Речові докази у вигляді комп'ютера, магнітних машинних носіїв вимагають особливої акуратності при вилученні, транспортуванні та зберіганні. Їм протипоказані удари, підвищені температури, вогкість та тютюновий дим. Всі ці зовнішні чинники можуть спричинити втраті даних, інформації та властивостей апаратури. Не треба забувати при огляді і обшуку про можливості збору традиційних доказів, наприклад, прихованих відбитків пальців на клавіатурі, вимикачах тощо. Огляду підлягають всі пристрої конкретного комп'ютера. Дана дія при аналізі її результатів з участю фахівців допоможе відтворити картину дій злочинця і отримати важливі докази.

Фактично оптимальний варіант вилучення комп'ютера і машинних магнітних носіїв інформації - це фіксація їх на місці виявлення і пакування таким чином, щоб обладнання можна було б успішно, правильно і точно, так само, як на місці виявлення, з'єднати в лабораторних умовах або в місці проведення експертизи. Потрібно мати на увазі, що конкретна програмно-технічна конфігурація дозволяє виконувати з апаратурою певні дії, і порушення конфігурації або відсутність даних про точну її фіксацію (так само, як на місці виявлення) може вплинути не тільки на можливість виконання на ній відповідних дій в ході слідства, але й на оцінку в суді можливості здійснення злочину. Так, тип програмного забезпечення, завантаженого в комп'ютер, при огляді або обшуку може показувати задачі, для яких комп'ютер використовувався. Якщо, наприклад, є програмне забезпечення для мереженого зв'язку і комп'ютер, сполучений з модемом, то це явно свідчить про можливість даної АС виконувати задачі доступу до інформації з віддаленими комп'ютерами.

Програмно-технічна експертиза. Програмно-технічна експертиза (ПТЕ) призначається в разі порушення кримінальної справи, у випадках, передбачених статтями 75 і 76 КПК України [10], для проведення наступних досліджень:

- встановлення відповідності певної комп'ютерної системи або мережі стандарту і перевірки її+ роботи за допомогою спеціальних тестів;

дослідження речових доказів, що передбачають:

фіксацію джерела, виду, способу введення та виведення даних і їх обробку;

виявлення змін і доповнень в програмних засобах;

відновлення пошкоджених або знищених файлів;

відновлення пошкоджених магнітних та інших носіїв машинної інформації;

визначення давності виконання окремих фрагментів програмних засобів;

ідентифікації автора програмного засобу, його призначення (вірусного або іншого), встановлення факту його інтерпретації і меж дозволеної компіляції.

Поряд з цими основними задачами при проведенні ПТЕ можуть бути вирішені і деякі допоміжні задачі:

оцінка вартості комп'ютерної техніки, периферійних пристроїв, програмних продуктів, а також перевірка контрактів на їх постачання;

встановлення рівня професійної підготовки окремих осіб в області програмування і роботи з комп'ютерною технікою;

переклад документів технічного змісту (в окремих випадках). У зв'язку з тим, що при огляді комп'ютерів і носіїв інформації проводиться вилучення різних документів, в ході розслідування виникає необхідність в призначенні криміналістичної експертизи для дослідження таких документів. Дактилоскопічна експертиза дозволить виявити на документах, частинах комп'ютерів і машинних носіях сліди пальців рук причетних до справи осіб. Враховуючи особливості речових доказів, пов'язаних зі злочинами що вчиняються порушенням роботи АС, а також те то, що їх пошук та виїмка завжди вимагає спеціальних знань, таки дії повинні виконуватись з застосуванням спеціальних засобів і методик, за участю підготовлених фахівців. На кафедрі кримінального процесу та криміналістики, Гуманітарного університету "Запорізький інститут державного і муніципального управління" спільно з фахівцями Українського центу інформаційної безпеки, підготовлено технічне завдання щодо розробки робочого місця з розслідування злочинів що вчиняються порушенням роботи АС - робоче місце фахівця (РМФ). Розробка і впровадження РМФ стане сучасним апаратно-програмним засобом проведення криміналістичної експертизи і допоможе у дослідженні наступних питань:

тлумачення комп'ютерної інформації яка має відношення до справи що розглядається,

тлумачення складної термінології і документів технічного змісту тощо;

відновлення, по можливості, знищених файлів і стертих записів на носіях інформації, уточнення чи мале місце знищення або модифікація інформації;

встановлення чи мале місце зміна дати і часу і введення в комп'ютер певних файлів, записів на носіях інформації;

розшифрування, по можливості, закодованої інформації;

розкриття доступу до архівів та документів, захищених парольним доступом;

роздрукування необхідної інформації, що міститься на жорстких дисках комп'ютерів і на зовнішніх магнітних носіях, в тому числі з нетекстових документів;

встановлення авторства, місця підготовки і способу виготовлення документів з застосуванням інформаційних технологій ;

з'ясування технічного стану засобів комп'ютерної техніки та іншого обладнання інформаційної системи (ІС);

оцінка вартості комп'ютерної техніки, периферійних пристроїв, магнітних носіїв, програмних продуктів;

встановлення рівня професійної підготовки окремих осіб в галузі програмування і забезпечення політики безпеки ІС.

Експертам з використанням РМФ, можна ставити наступні питання:

- який склад програмних засобів встановлено на ІС та чи можна за допомогою цих засобів здійснити дії, що інкримінуються обвинуваченому? з якими інформаційними ресурсами працював користувач ІС?

- чи не є виявлені файли копіями інформації, що знаходилася у конкретній ІС?

- чи не є виявлені документи, документами, які створювалися у конкретній ІС, адже якщо вони були потім знищені на ІС?

- коли (день, місяць, час, хвилина), ким (кому належить той чи інший пароль доступу), на якій ІС (кому належить робоче місце) проводилася робота на ІС з конкретною інформацією?

- чи не є виток інформації результатом інсталяції спеціалізованого програмного забезпечення?

- чи не є представлені файли (або ІС) з програмами заражені вірусом, і якщо так, то яким саме, яка його дія (знищення, копіювання, модифікація, передача в мережу інформації чи таке інше)?

- чи не є представлені файли, або ІС з програмами файлами з включеним до їх складу "програмних закладок" і якщо так, то який її вид, яка її дія (знищення, копіювання, модифікація, передача інформації в мережу чи таке інше)?

- чи не є представлені тексти