WWW.REFERATCENTRAL.ORG.UA - Я ТУТ НАВЧАЮСЬ

... відкритий, безкоштовний архів рефератів, курсових, дипломних робіт

ГоловнаПравознавство → Особливості проведення слідчих дій на початковому етапі розслідування комп'ютерних злочинів - Реферат

Особливості проведення слідчих дій на початковому етапі розслідування комп'ютерних злочинів - Реферат

зняти копію з жорсткого магнітного диску і будь-якої дискети, що буде вилучатися як речовинний доказ. Це означає, що до проведення будь-яких операцій з комп'ютером необхідно зафіксувати його стан на момент проведення слідчих дій.
Помилка 3. Відсутність перевірки комп'ютера на наявність вірусів і програмних закладок.
Для перевірки комп'ютера на наявність вірусів і програмних закладок, необхідно завантаження комп'ютера не з операційною системи яка знаходиться на ньому, а з своєї заздалегідь підготовленої дискети, або з стендового жорсткого диску. Перевірці підлягають усі носії інформації - дискети, жорсткий диск та інші носії. Цю роботу варто робити залученому для участі в слідчих діях фахівцю, за допомогою спеціального програмного забезпечення.
Не можна допустити, щоб у суді з'явилася можливість обвинуватити слідство у навмисному зараженні комп'ютера вірусами, чи у некомпетентності при проведенні слідчих дій або просто в недбалості, оскільки довести, що вірус був у комп'ютері до початку дослідження, навряд чи можливо, а подібнеобвинувачення поставить під сумніви всю. працю експерта та вірогідність його висновків.
Такі найбільш типові помилки, що часто зустрічаються при дослідженні комп'ютера у справах пов'язаних з розслідуванням комп'ютерних злочинів. Однак розглянутий перелік не охоплює всіх помилок, що виникають у процесі вилучення і дослідження комп'ютерної інформації. Цьому легко знайти пояснення: відсутність достатнього досвіду в подібних справ у нашій країні. У той же час у країнах Західної Європи і, особливо, США є вже досить багатий досвід щодо розслідування складних комп'ютерних злочинів. Варто більш ретельно його вивчати, що дозволить уникнути багатьох помилок.
Для запобігання помилок при проведенні слідчих дій на початковому етапі розслідування, які можуть привести до втрати чи руйнуванню комп'ютерної інформації, потрібно дотримуватися деяких запобіжних заходів:
Рекомендація 1. В першу чергу треба виконати резервне копіювання інформації.
При обшуках і виїмках, пов'язаних з вилученням комп'ютера, магнітних носіїв і інформації виникає ряд загальних проблем, пов'язаних зі специфікою технічних засобів, що вилучаються. Так, необхідно передбачати заходи безпеки, що здійснюються злочинцями з метою знищення комп'ютерної інформації. Наприклад, вони можуть використати спеціальне обладнання, в критичних випадках утворююче сильне магнітне поле, що стирає магнітні записи.
Протягом обшуку усі електронні докази, які знаходяться у комп'ютері чи комп'ютерній системі повинні бути зібрані таким шляхом, щоб вони потім були признані судом. Світова практика свідчить, що у великій кількості випадків під тиском представників захисту у суді електронні докази не приймаються до уваги. Для того, щоб гарантувати їх визнання у якості доказів, необхідно суворо дотримуватися вимог кримінально-процесуального законодавства, а також стандартизованих прийомів та методик їх вилучення.
Звичайно комп'ютерні докази зберігаються шляхом створення точної копії з оригіналу (первісного доказу), перш ніж виконується будь-який їх аналіз. Але робити копії комп'ютерних файлів, використовуючи тільки стандартні програми резервного копіювання, недостатньо. Речові докази можуть існувати у формі знищених або прихованих файлів, а дані, зв'язані з цими файлами, можна зберегти тільки за допомогою спеціального програмного забезпечення, у найпростішому виді це можуть бути програми типу - SafeBack; а для гнучких дискет буває досить програми DOS Dіskcopy.
Магнітні носії, на які передбачається копіювати інформацію, повинні бути зазделегідь підготовлені (необхідно впевнитись, що на них нема ніякої інформації).Носії потрібно зберігати у спеціальних упаковках або загортати у чистий папір. Слід пам'ятати, що інформація може бути зіпсована вологістю, температурним впливом або електростатичними (магнітними) полями.
Рекомендація 2. Знайти і виконати копіювання тимчасових файлів.
Багато текстових редакторів і програм управління базами даних створюють тимчасові файли як побічний продукт нормальної роботи програмного забезпечення. Більшість користувачів комп'ютера не усвідомить важливості створення цих файлів, тому що вони звичайно знищуються програмою наприкінці сеансу роботи. Однак дані, що містяться усередині цих знищених файлів, можуть виявитися найбільш корисними. Особливо якщо вихідний файл був шифрований чи документ підготовки текстів був надрукований, але ніколи не зберігався на диску, такі файли можуть бути відновлені.
Рекомендація 3. Треба обов'язково перевірити Swap Fіle.
Популярність Mіcrosoft Wіndows принесла деякі додаткові засоби, щодо дослідження комп'ютерної інформації. Swap Fіle працюють як дискова пам'ять або величезна база даних, і багато різних тимчасових фрагментів інформації, або навіть весь текст документу може бути знайдено у цьому Swap файлі.
Рекомендація 4. Необхідно порівнювати дублі текстових документів.
Часто дублі текстових файлів можна знайти на жорсткому або гнучкому магнітному диску. Це можуть бути незначні зміни між версіями одного документу, які можуть мати доказову цінність. Ці розходження можна легко ідентифікувати за допомогою найбільш сучасних текстових редакторів.
На закінчення хотілося би виділити загальні рекомендації, які необхідно враховувати при дослідженні комп'ютера на місці події.
Приступаючи до огляду комп'ютера, слідчий і фахівець, що безпосередньо робить усі дії на ЕОМ, повинні дотримувати наступного:
· перед вимиканням комп'ютера потрібно по можливості закрити усі використовувані на комп'ютері програми. Треба пам'ятати, що некоректний вихід з деяких програм може викликати знищення інформації або зіпсувати саму програму;
· необхідно прийняти заходи щодо встановлення пароля доступу у захищені програми;
· при активному
Loading...

 
 

Цікаве