Разрешите еще задам вопросы, которые меня очень интересуют и ответы на которые я ни как не могу получить.
1)Если правообладатель говорит, что для установления факта контрафактное ПО или нет необходимо только лишь на включенном компьютере найти его и спросить у лица, его эксплуатирующего документы о легальности введения в гражданский оборот (или проверить наличие ключа защиты), то зачем проводить КТЭ с изготовлением побайтовой копии?
В журнале "Компьютерно-техническая экспертиза" за прошлый год была классная статья с примерами о ситуациях, в которых ЛЕГАЛЬНЫЕ экземпляры программ демонстрируют ID, не совпадающие с информацией, приведенной на имеющихся сертификатах аутентичности. Да-да! Это про некоторые версии нашей обычной Windows. Или тот же пакет Get Genuine Kit, который просто представляет собой легальный "кряк" Microsoft, после которого в различных файлах системы остаются все прежние ID - и это нормально. Примеры можно продолжать, и факт того, что это лично Вам неизвестно - не радует: Вы же тоже выступаете в роли опера/следователя. Однако, идем дальше. И что видит опер, включая ПК? Несовпадение номеров ID на наклейке и визуально. И что это значит?
Да ничего! Только экспертиза и профессиональное ПО, типа ранее упоминаемого DeFacto, могут расставить точки над "и". А правообладатель, извините, журнал не читает, об этих особенностях софта не знает. Опер же - заложник дремучего невежества правообладателя. Подстава полная, а пользователь - ЛЕГАЛЬНЫЙ, ему плевать, что все силовики и эксперты не обучены и журналов читать не хотят, и учиться вообще - тоже. Его просто это все достало. Вот почему
только СКЭ и
никаких вольностей с осмотрами. Осмотры не отменены, но нужны
лишь для выявления первичных признаков преступления.
Хорошо, надеюсь, убедил Вас, а нет - отсылаю адвокатов к статье
Коршунов В.Г. Анализ кода продукта для ОС Microsoft Windows // Компьютерно-техническая экспертиза, №3 (4), 2008. Пусть они в суде убеждают неверующих. Кстати, Коршунов - разработчик
DeFacto, глубоко знающий проблему хранения ID и других данных программ, сохраняющиеся при их установке и регистрации в системе. Пусть адвокаты воюют с безграмотностью наших сотрудников.
Все же думаю - убедил. Ну тогда вывод прост -
нужна экспертиза, и не "по-Серпухову", а глубокая, профессиональная. Такая, какой учат в Саратове (лишнего не даем, но и меньше делать - развалить дело).
Идем дальше. Экспертиза. А тут другое опасение. Самый страшное оружие в руках коррумпированного эксперта - шестнадцатеричный редактор и прямой доступ к диску в режиме редактирования из-под Линукс или MS DOS: что хочешь состряпать можно. Но предусмотреть внесение
всех взаимозависимых изменений - не может никто из ныне живущих экспертов. Вот почему с некоторой периодичностью то защита не доверяет экспертам, то обвинение. Даже государственным (случай с Трегубом и НИЛ СЭ). Выход простой - "консервация" программной среды с использованием блокиратора ли, либо посекторной копии. Любые обнаруживаемые изменения на диске -
"маячок" - с экспертом неладно. Насколько неладно - решать всем, в том числе и адвокату. Лучший выход - повторная или дополнительная экспертиза. Но уместна лишь при консервации программной среды - ясно ведь, что иначе увидим то, что нам хотели
показать. Или - анализ ВСЕХ изменений, которые осуществлены неграмотным экспертом на диске. И ожидание вердикта суда - существенны они для дела или нет...
С ключом защиты тоже не все просто. Если я легальный пользователь проги, а она (хорошая легальная платная) конфликтует с другой (коряво написанной, но нужной), и в лицензионном договоре нет НИЧЕГО про запрет АДАПТАЦИИ легальной проги с ключом, - я ее могу адаптировать, и при этом с какой то вероятностью адаптация приведет к некорректной работе с ключом. Впоследствии мне нужно будет доказать, в том числе и в суде, что правовые и технические основания для адаптации были (иначе признают модификацию - и все пропало), и с большой вероятностью я это докажу (хотел бы я посмотреть на судью, который в отсутствии запрета в договоре с правообладателем на адаптацию пойдет ПРОТИВ положений ГК РФ) - но все это впереди, а мы сейчас стоим на осмотре и видим: ключа аппаратной защиты нет и прога работает, а пояснить никто ничего не может...
Опять ситуация № 1! Осмотр выполнял и выполнил функцию лишь выявления первичных признаков преступления, по результатам осмотра все правильно изымаем, упаковываем, опечатываем - и на экспертизу!
На семинаре в Самаре я бы рассказал про это со слайдами и примерами, и по времени дольше затратил бы, а по содержанию был бы еще аргументированнее, но сейчас - верьте хотя бы сказанному здесь, в теме.
2)Если правообладатель говорит, что на побайтовой копии не возможно запустить ПО или просмотреть интересующую следствие информацию, то как же государственные эксперты пишут в заключении данную информацию. Откуда же они её берут?
Вот еще один пример дремучести правообладателя. Экспертам рекомендуем дополнительно делать образ диска, c которого прекрасно запускается программная среда в WmWare c конвертором. А вообще-то обученные у нас эксперты берут всю инфу с неактивного диска, подключенного через программный или аппаратный блокиратор. Я этому учу на сборах достаточно продолжительное время (отвечаю за эту тему), весь софт для этого есть, в том числе доступен лучший из него - DeFacto.
По секрету: ничего этого Серпухов не знает и не выполняет... Только тс-с-с...
3)А изготавливая побайтовую копию с использованием соответствующего ПО, Вы можете гарантировать, что не существует какая-либо погрешность и ошибки? Я нет, и разработчик его нет, а ЭКЦ или Минюст?
Я - могу
. Рекомендованный нами софт прошел испытания, которые легко повторить. Достаточно получить цифровой хэш диска, файлов в каталоге или отдельного файла по алгоритму типа MD5 и сравнить его с хэшем аналогичного информационного объекта или их совокупности на копии. Это - пройденный день...
А аппаратные блокираторы вообще производят конторы, которые этим живут и имеют все необходимые сертификаты (для совсем уж неверящих).
А шариковую ручку, которой подписи в протоколах ставите - не сертифицировали? А вдруг подпись через месяц бесследно исчезнет?
. Это шутка, но она очень точно показывает границу, где здравый смысл должен остановить Вас в вопросах (пока очень разумных, но давно рассмотренных).
4)А подключая жесткий диск с исследуемого ПЭВМ к стендовому не вносятся изменения в массив информации? Это же не родное железо!!!
Блокиратор не дает...
И мы - не Серпухов, операционную систему с самой копии не запускаем - незачем... А когда есть зачем - копию (образ) через WmWare...
Пусть железо и неправильно определится (там настройки на стандартное) - нас это мало интересует - объект исследования софт, вот с ним и колупаемся...
5)А использование экспертами различного ПО для аудита ПЭВМ, не меняет необратимо массив информации? Я думаю да!
Ответ неверен. Блокиратор этого не позволяет.
А вот использование ПО для аудита в ходе осмотра меняет, но не всю систему, а буквально единственный файл, сохраняющий сведения о подключении флэшки с прогой....
Однако на этот момент и жесткого требования о внесении ЛЮБЫХ изменений - нет: Вы же еще комп выключать будете, а там такое твориться начнет...
Вот после выключения - стоп машина! И далее - по правилам, как в Саратове учат - и следователей, и оперов, и экспертов...
А я думал - этому во всех вузах учат...
6)А если опер пришел в фирму, а компьютеры отключены, ему их включать или нет? Включил-изменил массив информации!!! Не включил - незаконно изъял, не посмотрел же какое ПО, есть ли признаки контрафактности!!!
Ну, нарываетесь на откровенность!!! На
начальном этапе становления как профессионала - включать. Но помнить о системах защиты инфы, в том числе самодельных, которых не видно извне и которые моментально уничтожат инфу на диске при включении. Или о прогах, которые при загрузке системы ждут нажатия в течение нескольких секунд определенной клавиши, а потом мстят Вам изо всех сил за невежество. Так что включать/не включать - риск конкретного опера.
Станете профессионалом - будете подсоединяться к неактивному винту осматриваемого ПК непосредственно через блокиратор со своего ноутбука, с которым Вы пришли на осмотр. Делов-то...
И быстрее получится - с DeFacto или другой аналогичной прогой, которой включенный исследуемый компьютер вовсе не нужен...
7) Как государственные эксперты пишут технико-криминалистические экспертизы по дискам, не имея коллекции эталонных образцов? Нарушение методики или нет или как посмотреть?
Смотря какие вопросы ставить. Мы учим экспертов просить следователя о постановке таких вопросов (буквально их пять, кажется), с помощью которых он получает для следователя исчерпывающие сведения об установленном ПО и обстоятельствах его установки, и которые используются следователем для работы с правообладателем через запросы. При этом образец для сравнения совсем не нужен. А нет правообладателя или его представителя - так прокуратура такие дела и не дает возбуждать...
Не нарушение это методики. Умная методика давно все возможные ситуации рассмотрела и грамотно к ним адаптировалась при строгом соблюдении Закона и положений СКЭ/СКТЭ как науки. Специально смотреть "так" или "эдак" - не нужно...
А вот все говорят, что включил эксперт напрямую ПЭВМ и безвозвратно изменил массив информации. Все - нет вещественного доказательства. Делу конец. А тогда, как же с методикой по балистики. Изъяли один патрон, отстрелили и написали что он боевой. Людей же осуждают потом. А почему с КТЭ по другому, ничего же принципиально не изменилось. По было и есть, даты установки соответсвуют, что ещё нужно. Ведь государственные эксперты описывают тоже самое.
Ситуация в КТЭ сложная, но поправимая. С такими ситуациями - в NHTCU или к нам - "вытянем" как и других. Отследим все изменения, опишем их, дадим качественную оценку... При "бескомпьютерном" осмотре можно нечаянно уронить в комнате стул и сломать его. Это же никак не связано с документами, которые мы обнаруживаем в выдвижном ящике стола? Вот и в Вашем примере то-же самое. Глубокое знание причинно-следственных связей в аппаратно-программной среде позволяет
точно установить - повлияли ли на нужные нам файлы наблюдаемые изменения других файлов как последствие некоторых действий пользователя, или нет. Это моя работа, я умею ее делать (и, кстати, делаю сейчас по одному из значимых уголовных дел, но не Самарских
). Это очень сложно и очень трудоемко (по одному из дел описание и оценка подобных изменений - всех до единого файла - заняло около 50-ти страниц).
Но БЕЗ подобной оценки - гибленькое дело, в суде при грамотном адвокате развалиться может... Вот опять - почему я ждал Ваших коллег, ждал, и не дождался... Не сообразительные они...
А примеры из баллистики - ну их, у нас своих примеров полно...
И таких вопросов очень много все не перечислить!!!!!!!
Если следователь - к нам скорее на повышение квалификации. 20 дней хватит, чтобы такие вопросы перечислить? Ну и мне хватит, чтобы с картинками и примерами ответить. Даже все самого научу "ручками" делать. Если опер - дней общения со мной поменьше, но все свободное время посвятить Вам - обещаю. Ну а если эксперт - судьба подсказывает: "учиться, учиться и еще раз учиться"!
Худший вариант, но хороший - семинар в Самаре.
Самый плохой вариант - срастись в невежестве с Серпуховым, обвинить профессионалов в предательстве (не к Вам это обращено, но я прекрасно понимаю, что легче всего сейчас в Самаре слепить образ врага из меня ли, адвокатов ли, кого-то иного), продолжать чудить по-прежнему и ждать, что ничего за это не будет Будет!
Неужели самарские коллеги выберут третий вариант? Жизнь покажет...
