тоді як 20-30 секунд для закриття цього диска або виключення комп'ютера приведуть до повної неможливості доступу до цієї інформації.
Не слід забувати при оглядах і обшуках про можливості збору традиційних доказів (прихованих відбитків пальців на клавіатурі, вимикачах і ін., рукописних записів і ін.).
На мою думку, цілями слідчих дій при розслідуванні комп'ютерних злочинів можуть бути:
огляд і вилучення комп'ютерної техніки;
пошук і вилучення інформації і слідів дії на неї безпосередньо на носіях інформації ЕОМ і її пристроях;
пошук і вилучення інформації і слідів дії на неї зовні ЕОМ.
Детально розглянемо кожну слідчу дію.
Огляд і вилучення комп'ютерної техніки
Вилучення комп'ютерної техніки проводиться для її подальшого дослідження фахівцем або експертом, Найбільш оптимальним варіантом вилучення ЕОМ і її периферійних пристроїв є коректний їхній демонтаж на місці виявлення і упаковка так, щоб апаратуру можна було б успішно, правильно і точно таким же чином з'єднати в лабораторних умовах або в місці проведення слідства з участю фахівців.
Якщо комп'ютер вимкнений, то слідчому потрібно:
точно відобразити в протоколі і на доданій до нього схемі місцезнаходження ЕОМ і її периферійних пристроїв;
точно описати порядок з'єднання між собою цих пристроїв з вказівкою особливостей (колір, кількість сполучних роз'ємів, їхня специфікація) сполучних дротів і кабелів; перед роз'єднанням корисно здійснити відеозапис або фотографування місць з'єднання;
з дотриманням всіх запобіжних заходів роз'єднати пристрої комп'ютера, заздалегідь знеструмивши його;
упакувати роздільно носії на дискетах і магнітних стрічках і помістити їх в оболонки, що не має заряду статичної електрики;
упакувати кожний пристрій і сполучні кабелі, дроти;
особливої обережності вимагає транспортування вінчестера (жорсткого диска - основного носія інформації).
Якщо комп'ютер працює, ситуація для слідчого істотно ускладнюється. Не володіючи повною мірою технічними знаннями в області інформаційних технологій, він не може оперативно зафіксувати картину сліду. Його завданням в даній ситуації є збереження і передача фахівцю (або експерту) комп'ютерної техніки і інформації, що міститься в ній, по можливості, без змін. В даній ситуації слідчий проводить такі діі:
визначити, яка програма (програми) виконуються;
детально описати зображення на екрані дисплея, при необхідності здійснити фотографування або відеозапис;
зберегти інформацію, що знаходиться в оперативній пам'яті, на носіях;
коректно зупинити їхнє виконання;
визначити наявність в комп'ютера зовнішніх пристроїв віддаленого доступу до системи (модему, мережної плати) і визначити їхній стан (відобразити в протоколі), після чого припинити доступ до інформації за допомогою цих пристроїв;
зафіксувати (відобразити в протоколі) результати своїх дій і реакції комп'ютера на них;
Пошук і вилучення інформації і слідів дії на неї безпосередньо на носіях інформації ЕОМ і її пристроях
В комп'ютері інформація може знаходитися в оперативної пам’яті комп’ютера (ОЗУ), що запам'ятовує, при виконанні програми (при виключенні комп'ютера вона втрачається назавжди і звичайно втрачається при припиненні роботи програми) і на зовнішніх носіях (вінчестерах, дискетах, дисках і т.п.).
Вивчення і аналіз носіїв повинно проводитися з обов'язковою участю фахівця.
Перелік інформації, яка може бути знайдена: паролі, інші ідентифікуючі ознаки користувачів, технічна документація, графічні зображення і схеми пристроїв, шкідливі і вірусні програми, їхній початковий код і засоби розробки.
Пошук слід здійснювати по всій файловій системі, незалежно від назв, включаючи "приховані" файли і їхні структури. Особливу увагу слід звертати на так звані балка-файли (журнали роботи програм), де може зберігатися важлива інформація про час і дату того або іншої дії.
Злочинець тим або іншим способом міг спілкуватися з іншими людьми, тому обов'язковій перевірці підлягають бази повідомлень поштових програм, "історія" повідомлень програм online-спілкування (ICQ, Odigo і т.п.), тимчасовий кеш програми-браузера.
Найбільш ефективним і простим способом фіксації невеликих текстових даних або зображень є роздрукування їх на папір, іншу інформацію рекомендується вилучати разом з носієм.
Огляд комп'ютерів і вилучення інформації здійснюється у присутності понятих, яким роз'яснюється суть вчинюваних дій і надаються роздруківки інформації, виготовлені в ході огляду, під розпис.
Станом на 23 травня 2003 року в Івано-Франківському місцевому суді знаходить справа по обвинуваченню громадянина Х в тому, що, будучи бухгалтером юридичної особи N, вчинив розкрадання грошових коштів даного підприємства в сумі 22000 грн. Шляхом втручання в роботу комп’ютерної мережі бухгалтерського обліку, що призвело до перекручення комп’ютерної інформації. При розслідуванні цього злочину було проведено огляд комп’ютерної мережі юридичної особи N. Огляд проводився за участю понятих, яким було роз’яснено їх права та обов’язки. Огляд проводився в приміщенні кабінетів бухгалтерії та головного бухгалтера. Оглядом було встановлено, що мається комп’ютерна мережа, яка складається із 6 робочих місць та головного комп’ютера. Всі комп’ютери AMD – К6. робоче місце обвинуваченого Х – комп’ютер – процесор AMD K6 3D processor 32 Mb ОЗУ. В мережі використовується програма Y. З робочого місця обвинуваченого здійснюється доступ в комп’ютерну мережу (загальну) та доступ до комп’ютерної програми Y при введенні паролю. В даному комп’ютері відсутні архівні дані за попередні періоди роботи. Вхід в програму з даного комп’ютера в режимі внесення даних здійснюється з допомогою пароля “---”. В режимі “головний бухгалтер” з даного комп’ютера можливий доступ до бази даних, яка обслуговує бухгалтерський облік юридичної особи. Огляд проводився з участю спеціаліста.
Пошук і вилучення інформації і слідів дії на неї за межами ЕОМ
В ході оглядів у справах даної категорії можуть бути знайдені і вилучені наступні види важливих документів за межами ЕОМ, які можуть стати речовими доказами у справі:
документи, що містять сліди завершеного злочину, - телефонні рахунку, паролі і коди доступу, щоденники і ін.;
документи із слідами дії апаратури. Завжди слід шукати в пристроях висновку (наприклад, в принтерах)