Автоматизированное рабочее место для проведения криминалистических экспертиз электронных носителей информации
Иллюстрации
Показать всеИзобретение относится к области криминалистики и судебной экспертизы. Технический результат заключается в снятии ограничений на типы подключаемых электронных носителей информации и повышении качества и оперативности проведения экспертиз электронных носителей информации, т.е. предложенное автоматизированное рабочее место позволяет с высокой надежностью оперативно получать доступ к информации, хранящейся в памяти поступившего на экспертизу электронного носителя информации, при этом количественные и качественные характеристики электронных носителей информации не изменяются. Автоматизированное рабочее место состоит из стенда для исследования электронных носителей информации и ПЭВМ, отличающееся тем, что стенд состоит из управляемого коммутационного устройства, обеспечивающего возможность сопряжения электронного носителя информации и ПЭВМ, и источника регулируемого напряжения. Управляемое коммутационное устройство имеет m+n входов/выходов и представляет собой набор из m·n управляемых вентилей, образующих коммутационную матрицу размерности m×n, соединяющую 1÷m и (m+1)÷(m+n) BB, при этом m=k+1, числа k и n соответствуют максимальным значениям чисел контактов разъемов ПЭВМ и электронного носителя информации соответственно. В свою очередь управляемый вентиль представляет устройство, обеспечивающее управляемую возможность однонаправленной коммутации с регулируемым коэффициентом передачи. 3 ил.
Реферат
Предлагаемое автоматизированное место (АРМ) относится к области криминалистики и судебной экспертизы, а именно к использованию электронных средств для повышения оперативности и объективности проведения экспертиз и экспертных исследований электронных носителей информации за счет автоматизации ряда операций.
Предложенное АРМ позволяет с высокой надежностью оперативно получать доступ к информации, хранящейся в памяти поступившего на судебную экспертизу электронного носителя информации (ЭНИ), при этом количественные и качественные характеристики ЭНИ не изменяются, что имеет решающее значение для обеспечения законной силы результатов процедуры судебной экспертизы.
Одним из родов судебной экспертизы является компьютерно-техническая экспертиза (КТЭ), проводимая АНО "Судебный эксперт". На данном этапе развития КТЭ - самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз и проводимый в целях: определения статуса объекта как компьютерного средства, выявления и изучения его следовой картины в расследуемом преступлении, а также получения доступа к компьютерной информации на ЭНИ с последующим всесторонним ее исследованием. Указанные цели представляются родовыми задачами КТЭ [1].
Процесс собирания доказательств по преступлениям, сопряженным с использованием компьютерных средств, включает в себя, прежде всего, обнаружение, фиксацию и изъятие компьютерной информации. Тактика следственных действий по раскрытию и расследованию преступлений в обсуждаемом случае неразрывно и напрямую зависит от используемых специальных средств и инструментов. Эти технические средства должны быть предназначены для поиска и предварительного исследования ЭНИ, которые впоследствии могут приобрести статус вещественных доказательств. Приборы, аппаратуру, оборудование, инструменты, принадлежности, применяемые для собирания и исследования доказательств в процессе судопроизводства, принято обозначать как "криминалистическая техника".
Первичную основу рассматриваемого класса криминалистической техники составляют аппаратно-программные средства, приемы и методы, заимствованные из таких областей науки и техники, как вычислительная техника и программирование, радиотехника и электроника, вычислительные сети и телекоммуникации, криптография и защита информации.
Постепенно криминалистическая техника пополняется средствами, приемами и методами, специально разработанными для целей исследования и раскрытия преступлений в сфере компьютерной информации.
На сегодняшний момент типовым технико-криминалистическим оснащением собирания компьютерной информации являются следующие средства [2]:
- персональный портативный компьютер (IBM-совместимый), с достаточным быстродействием и оперативной памяти, обладающий возможностями предварительного полного физического копирования исследуемых носителей данных (в т.ч. жестких дисков) на рабочий винчестер соответствующей емкости (часто в съемном варианте);
- установленные на указанном PC операционная система Windows 98 (2000) с набором системных и прикладных утилит (например, Norton System Work); файловые диспетчеры (в т.ч. с поддержкой MS DOS-сессий), расширенное прикладное программное обеспечение (MS Office, графические пакеты (PhotoShop, Corel-Draw) и пр.;
- комплект пустых 3.5" дискет;
- устройство CD-RW для записи на компакт-диски;
- комплект пустых CD-R;
- необходимые кабели сопряжения (в т.ч. нуль-модемный кабель);
- набор дискет (загрузочных и с сервисными утилитами) для определения конфигурации исследуемого персонального компьютера, его характеристик;
- набор дискет с программами вирусной диагностики;
- упаковочный материал: жесткие коробки для упаковки изымаемых системных блоков и носителей данных; антистатические пакеты для носителей данных, полиэтиленовые пакеты и холщовые мешки; бумага для опечатывания разъемов, клей, липкая лента;
- вспомогательный инструменты - электронный тестер, отвертки, плоскогубцы и пр. (например, для отключения разъемов, вскрытия кожухов системных блоков, изъятия жестких дисков).
Изложенные позиции касаются лишь одного вида объектов компьютерных средств - IBM-совместимых компьютеров и типовых ЭНИ к ним. В то же время многообразие аппаратных и программных средств современных информационных технологий требует разработки подобных подходов и к другим возможным объектам исследований (вычислительные сети, средства телекоммуникаций и связи, средства персонального использования (электронные органайзеры, пейджеры) и пр.), представляющих интерес для следствия.
Средства исследования информации, хранящейся в электронной форме, должны обеспечивать [3]:
- техническую возможность доступа к информации, содержащейся в объекте исследования (жесткие диски компьютеров, гибкие магнитные диски, магнитооптические диски, кассеты стриммеров, оптические диски, флеш-память и другие средства хранения информации);
- фиксацию информации, не разрушая и не изменяя объекта исследования (например, на жестких дисках лабораторных компьютеров, записываемых оптических дисках);
- преобразование информации в форму доступную для восприятия экспертом (программное обеспечение для поиска и визуализации информации).
Эти задачи решаются совместно техническими и программными средствами обеспечения исследований.
Таким образом, можно сделать вывод о том, что методика решения любой задачи при компьютерно-технической экспертизе, должна уточняться при появлении нового поколения аппаратного обеспечения или новых версий программного обеспечения [4, 5].
Благодаря наличию высококлассных специалистов в ряде ведущих экспертных организаций отрабатываются технологии проведения практических работ по проведению криминалистических экспертиз ЭНИ. Для этого проводится целый комплекс специфических нетиповых работ, разрабатывается и осваивается соответствующий инструментарий.
Результатом соответствующих работ являются АРМ (программные или программно-аппаратные комплексы) для всех конкретных видов работ.
Методические наработки и средства автоматизации, аккумулирующие в себе знания и опыт уникальных высококлассных специалистов, позволяют повышать уровень решения вопросов КТЭ малыми силами на местах путем поручения этих задач малочисленным группам или отдельным штатным экспертам.
Одним из таких АРМ является система ПРОПЛАН.
Автоматизированное рабочее место ПРОПЛАН для проведения компьютерно-технической экспертизы представляет собой специализированный программно-технический комплекс, обеспечивающий автоматизацию деятельности эксперта и его рабочего места при КТЭ.
Техническая часть комплекса представляет собой:
- стенд для исследования информационных носителей,
- ПЭВМ для обработки данных исследования и подготовки экспертного заключения.
Программная часть комплекса состоит из набора общего и специального программного обеспечения (ОМО и СМО).
В качестве СМО используется "Профессиональная система для решения Поисковых задач и Логического АНализа машинных носителей информации" ("ПРОПЛАН").
АРМ "ПРОПЛАН" выбран в качестве прототипа.
Основным недостатком прототипа является невозможность подключения ЭНИ новых типов, появившихся после его создания, и невозможность его модернизации для устранения указанного недостатка в силу ограниченности числа кодов системных прерываний, соответствующих максимальному числу подключаемых внешних устройств.
Технической задачей изобретения является снятие ограничений на типы подключаемых ЭНИ.
Поскольку современные ЭНИ различаются используемыми стандартами интерфейсов и системами команд, то для создания АРМ, позволяющего проводить экспертизы любых ЭНИ на основе стандартных устройств доступа и сопряжения необходим большой набор таких устройств, кроме того, применение стандартных средств не дает гарантий, что количественные и качественные характеристики ЭНИ не изменятся, что имеет решающее значение для обеспечения законной силы результатов процедуры судебной экспертизы.
Таким образом:
- подготовка АРМ к проведению экспертизы конкретного ЭНИ может требовать изменения его конфигурации (что может привести к значительному расходу времени);
- формирование полного набора стандартных устройств доступа и сопряжения связано со значительными материальными затратами;
- необходимость принятия мер по модернизации стандартных устройств доступа и сопряжения для исключения возможности модификации количественных и качественных характеристик ЭНИ требует соответствующей квалификации эксперта.
Поэтому второй задачей изобретения является повышение качества и оперативности проведения экспертиз ЭНИ.
Поставленная задача решается тем, что АРМ для проведения криминалистических экспертиз ЭНИ состоит из:
- универсального стенда для исследования ЭНИ;
- ПЭВМ 1 для подготовки и хранения методических указаний, обработки данных исследования и подготовки экспертного заключения (см. фиг.1).
Универсальный стенд для исследования ЭНИ представляет собой совокупность управляемого коммутационного устройства (УКУ) 2, обеспечивающего возможность сопряжения ЭНИ и ПЭВМ 1 по информационным шинам и шинам управления (при этом термин «сопряжение» означает обеспечение электрического соединения и согласование уровней сигнала), и источника регулируемого напряжения (ИРН) 3, позволяющего обеспечить питание УКУ и ЭНИ (через УКУ), (см. фиг.1).
УКУ 2 имеет m+n входов/выходов (ВВ) и представляет собой набор из m·n управляемых вентилей (УВ) 4, образующих коммутационную матрицу размерности m×n, соединяющую 1÷m и (m+1)÷(m+n) ВВ (см. фиг.2) таким образом, что каждый i-ый ВВ (i∈{1, m}) соединен с j-ым ВВ (j∈{m+1, m+n}) посредством УВ 4.ij. При этом m=k+1, числа k и n соответствуют максимальным значениям чисел контактов разъемов ПЭВМ и ЭНИ соответственно.
УВ 4 предназначен для обеспечения возможности сопряжения ЭНИ и ПЭВМ 1 по информационным шинам и шинам управления, а также обеспечения возможности подвода электрического питания от ИРН к ЭНИ.
УВ 4 состоит из двух управляемых усилителей (УУ) 5 и 8, а также двух неуправляемых вентилей (НУВ) 6 и 7, причем выходы УУ 5 и 8 подключены ко входам НУВ 6 и 7 соответственно, а выходы НУВ 6 и 7 соединены со входами УУ 8 и 5 соответственно. Точки соединения входов УУ и выходов НУВ служат входами/выходами УВ 4 (см. фиг.3).
ИРН 3 представляет блок питания, обеспечивающий возможность формирования напряжения, величина которого не меньше необходимого для питания ЭНИ.
Принцип действия АРМ состоит в следующем. Каждый контакт разъема ПЭВМ 1 соединяется с i-ым ВВ (i∈{1, k}) УКУ 2. Каждый контакт разъема ЭНИ соединяется с j-ым ВВ (j∈{m+1, m+n}) УКУ 2. Выход ИРН 3 подключается к m-му ВВ УКУ 2. Все УУ 8 m-го канала УКУ 2, каналов, подключенных к контактам разъема ПЭВМ 1, являющихся выходами, и каналов, подключенных к контактам разъема ЭНИ, являющихся входами, выставляются в режим нулевого усиления (на выходе УУ 8 постоянный нулевой потенциал). Все УУ 5 m-го канала УКУ 2, каналов, подключенных к контактам разъема ПЭВМ 1, являющихся входами, и каналов, подключенных к контактам разъема ЭНИ, являющихся выходами, выставляются на заданный уровень усиления (обеспечивающий согласование входных и выходных уровней сигналов ПЭВМ и ЭНИ).
АРМ может использоваться в двух режимах:
1) исследовательский режим;
2) режим проведения криминалистической экспертизы ЭНИ.
В исследовательском режиме осуществление всех соединений и установления необходимых уровней напряжений осуществляется высококвалифицированным специалистом на основе изучения технических характеристик и особенностей ЭНИ. Результаты фиксируются в виде методических указаний, размещаемых в памяти ПЭВМ 1.
В режиме проведения криминалистической экспертизы ЭНИ после осуществления всех соединений и установления необходимых уровней напряжений (в соответствии с методическими указаниями) осуществляется считывание информации из памяти ЭНИ и формируется образ ЭНИ в памяти ПЭВМ 1 (оперативной или долговременной, например, на жестком магнитном диске).
После формирования образа ЭНИ УКУ 2 отключается и производится отключение ЭНИ от УКУ 2.
Дальнейшее всестороннее исследование информации осуществляется при работе с образом ЭНИ.
Предлагаемое АРМ может применяться для всех видов ЭНИ, однако в связи с тем, что проблема доступа к информации наиболее трудно разрешаема для ЭНИ, непосредственно не предназначенных для использования в качестве внешних устройств ПЭВМ, особое значение имеет практическое решение именно в отношении таких устройств (например, электронные органайзеры и записные книжки, карманные переводчики, круиз-контроллеры, GPS-приемники и др.).
Список литературы
1 Зубаха B.C., Усов А.И., Саенко Г.В., Волков Г.А., Белый С.Л., Семикаленова А.И. Общие положения по назначению и производству компьютерно-технической экспертизы: Методические рекомендации. - М.: ГУ ЭКЦ МВД России, 2000. - 65 с., 6 ил., библиограф., прил.
2 Шелудченко В.И. Технико-криминалистические средства и методы собирания компьютерной информации // Материалы Всероссийского межведомственного семинара. - Белгород: МВД РФ, 2002. - С.205-207.
3 Копытин А.В., Маршалко Б.Г., Федотов Е.Т. Судебная экспертиза ПЭВМ // Материалы Всероссийского межведомственного семинара. - Казань: МВД Республики Татарстан, 2004. - С.115
4 Айков Д., Сейгер К., Фопсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями. Пер. с англ. В.И.Воропаева и Г.Г.Трехалина. - М.: Мир, 1999.
5 Семенов Н.В., Мотуз О.В. Судебно-кибернетическая экспертиза - инструмент борьбы с преступностью XXI века // Защита информации, конфидент, 1999, 1-2.
Автоматизированное рабочее место для проведения криминалистических экспертиз электронных носителей информации, состоящее из стенда для исследования электронных носителей информации и ПЭВМ 1 для обработки данных исследования и подготовки экспертного заключения, отличающееся тем, что стенд для исследования электронных носителей информации является универсальным, состоящим из управляемого коммутационного устройства 2, обеспечивающего возможность сопряжения электронного носителя информации и ПЭВМ (1) по информационным шинам и шинам управления, и источника регулируемого напряжения (3), при этом управляемое коммуникационное устройство (2) имеет m+n входов/выходов и представляет собой набор из m·n управляемых вентилей (4), образующих коммутационную матрицу размерности m·n, соединяющую 1÷m и (m+1)÷(m+n) входы/выходы таким образом, что каждый i-й вход/выход (i∈{1,m}) соединен с j-м входом/выходом (j∈{m+1, m+n}) посредством управляемого вентиля (4.ij), при этом m=k+1, числа k и n соответствуют максимальным значениям чисел контактов разъемов ПЭВМ (1) и электронного носителя информации соответственно; в свою очередь, управляемый вентиль (4) состоит из двух управляемых усилителей (УУ) (5, 8), а также двух неуправляемых вентилей (НУВ) (6, 7), причем выходы управляемых усилителей (5, 8) подключены ко входам неуправляемых вентилей (6, 7) соответственно, выходы неуправляемых вентилей (6, 7) соединены со входами управляемых усилителей (8, 5) соответственно, а точки соединения входов управляемых усилителей и выходов неуправляемых вентилей служат входами/выходами управляемых вентилей (4); выход источника регулируемого напряжения подключается к m-му входу управляемого коммутационного устройства (2), 1÷k входы/выходы управляемого коммутационного устройства (2) подключаются к контактам разъема ПЭВМ (1), (m+1)÷(m+n) входы/выходы управляемого коммутационного устройства (2) подключаются к контактам разъема электронного носителя информации.