1. А причём тут "российский криптографический стандарт вычисления хэш-функции"?
2. Вот тебе цитата из методички ЭКЦ МВД РФ "ОБЩИЕ ПОЛОЖЕНИЯ ПО НАЗНАЧЕНИЮ И ПРОИЗВОДСТВУ КОМПЬЮТЕРНО-ТЕХНИЧЕСКОЙ ЭКСПЕРТИЗЫ", авторы: В.С. Зубаха, А.И. Усов, Г.В. Саенко, Г.А. Волков, С.Л. Белый, А.И. Семикаленова. 2001 г.
==================
...
Для исследования жестких дисков необходимо использовать стендовый компьютер. В предварительной части заключения необходимо подробно описать используемые экспертом аппаратные и программные средства. Если в экспертизе проводится распечатка каких-либо файлов, найденных на исследуемом жестком диске, необходимо указать модель принтера, на которой производилась распечатка, из какой программы и какие параметры при этом использовались.
На первой стадии эксперт производит внешний осмотр и описание системного блока. Затем производится его вскрытие и подробно описываются его составляющие и конфигурация.
...
После этого производится отключение жесткого диска, и системный блок (без жесткого диска!) включается в сеть для определения установок БИОС, уточнения конфигурации и определения работоспособности.
Следующий этап – исследование жесткого диска.
На этом этапе одной из главнейших задач является обеспечение полной сохранности информации на исследуемом диске, т.е. при исследовании эксперт должен обеспечить условия, при которых на исследуемый диск не будет производиться запись.
В идеальном варианте эксперт должен с помощью специальных средств создать полную копию исследуемого жесткого диска (на физическом уровне на такой же диск) и в дальнейшем работать только с ним. Однако данный вариант в большинстве случаев оказывается не возможен. Тогда эксперт подключает исследуемый диск в качестве дополнительного к стендовому компьютеру и производит загрузку ОС MS-DOS (или его аналога) без загрузки каких-либо драйверов и дополнительных программ. После чего определяется тип файловой системы, используемой на исследуемом жестком диске (например, с помощью программы fdisk).
Если на жестком диске содержатся разделы типа FAT и его модификаций, то на стендовом компьютере лучше всего использовать ОС Windows 95 OSR2 (русскую версию). Перед подключением исследуемого жесткого диска необходимо отключить все резидентные программы, загружаемые в данной ОС и производящие операции записи на диск. Исследуемый диск должен быть установлен в системе как дополнительный съемный диск. Все файлы с исследуемого диска копируются на диск стендового компьютера. Затем отключается исследуемый диск и проводится исследование скопированных файлов. При этом желательно загрузить резидентную программу антивирус.
...
==================
