следующая тема »

[Igor Michailov]

На самом деле проблема не в лицензировании ПО (ведь если его приобрели официально - проблем не должно возникнуть).

Или я не прав?

[Dmitry]

Я с чистым сердцем заявил следователю, что лицензионность ПО на достоверность результатов данной экспертизы никакого влияния не оказывает.

Ну не знаю, я бы такое заявить не смог, уж точно не с чистым сердцем. Криво поломанных программ великое множество. Конечно, ошибки возможны и в лицензионном софте. Отличие же заключается в том, что лицензионный софт худо-бедно тестировался, нелицензионный же нет, а полного понимания того, что и как в нем было защищено и поломано, увы нет и быть не может без специального исследования. К мнению технического специалиста следователь, его воля, прислушается, адвокат же может к суду запастись документально оформленным мнением производителя софта и боюсь, оно окажется несколько иным. Кому в итоге поверит суд? Не знаю, увы, всяко может быть.

По поводу вирусов - то же самое.

Вот именно, тоже самое. Read-only режим скорее всего обеспечит защиту вещественного доказательства от деструктивных воздействий вируса и, слава богу, его можно будет подвергнуть повторной экспертизе, откуда однако у вас уверенность, что используемый софт способен штатно работать в условиях, когда в памяти находится резидентный вирус, перехватывающий на себя обращения к функциям ОС и модифицирующий передаваемую между процессами информацию, мне не ясно. Тем более, когда вирус написан криво и имеет массу побочных и далеко не очевидных эффектов. Допускаю, что действительно может и не повлиять, но уверенно утверждать, что такое будет всегда, не возьмусь.
А главное, я не понимаю, для чего брать на себя весь этот риск осложнений. Большинство экспертных задач решаются с помощью свободно распространяемых средств. Если знаешь, чего и где искать, это занимает не сильно много времени. А уж как эксперт готовился к проведению экспертизы, и почему ему так в жизни везет, что искомый пароль оказался пятым по списку словом в словаре - это за рамками судебного исследования.
Кстати по рассматриваемому уголовному делу потерпевший гражданский иск предъявлять не собирается? Думаю, что коллизия между мнением специалиста и нормой ГК будет судом разрешена не в пользу первого...

[Marat]

А можно ли рассматривать результаты экспертизы проведенной при помощи нелицензионного ПО,как полученные незаконным путем?  

[Dmitry]

А можно ли рассматривать результаты экспертизы проведенной при помощи нелицензионного ПО,как полученные незаконным путем?  

Там дословно формулировочка иная немного

Доказательства, полученные с нарушением закона, не имеют юридической силы и не могут быть положены в основу решения суда

[Igor Michailov]

Read-only режим скорее всего обеспечит защиту вещественного доказательства от деструктивных воздействий вируса и, слава богу, его можно будет подвергнуть повторной экспертизе, откуда однако у вас уверенность, что используемый софт способен штатно работать в условиях, когда в памяти находится резидентный вирус, перехватывающий на себя обращения к функциям ОС и модифицирующий передаваемую между процессами информацию, мне не ясно. Тем более, когда вирус написан криво и имеет массу побочных и далеко не очевидных эффектов.

Здравая мысль. Придется включить в комплект программных инструментов какой-нибудь продвинутый таск-менеджер (чтобы потом в суде доказать, что на стенде посторонние процессы самостоятельно не запускались).

На сколько я помню: Filemon - умеет вести логи запускаемых на компьютере процессов. Может его попробовать. Какие будут мысли?

[korsar]

Прочитав все  сообщения, я так и не понял главного:
Если я провожу экспертизу техники (носителей, например), то я же и могу изменить там любую инормацию и ни какие режимы ReadOnly и файломониторы не помогут. Единственое, что может помочь ИМХО, так это проставление ЭЦП под выгруженной в файл информацией с носителя. (А вот как это выгружать уже отдельная тема). Это по крайней мере не позволит на эталонной копии изменить ни одного бита.
Другой вопрос, что перед изьятием СВТ злоумышленник может произвести грамотные деструктивные действия (если это не "чайник"), да еще и с применением техсредств, (например "Устройство для хранения и быстрого стирания записи на работающих жестких дисках в RAID массивах
Стек-НСА2.4км,  комплекс для хранения и быстрого стирания записи на работающем жестком диске ПЭВМ (для монтажа в корпус ATX) ЦУНАМИ ATX-1) или  ПО, которое при определнном действии (бездействии) выполнит автоматическое стирание или замену всех незаконных действий в ПЭВМ.
В этом случае эксперт вообще ничего не найдет или найдет "оправдательную информацию.

[Dmitry]

На сколько я помню: Filemon - умеет вести логи запускаемых на компьютере процессов.

Я не уверен есть ли необходимость вести постоянно логи запущенных процессов, но составить какой-нибудь Акт приемки рабочего образа диска стендового компьютера, возможно следует, при этом его стоит проверить на наличие вирусов, прочих неполезных программ, после чего захашить и положить в надежное место, откуда и извлекать по мере необходимости, восстанавливать и составлять Акт или иным образом документально отражать соответствие восстановленного оригиналу. Запускать на стендовом компьютере что-нибудь постороннее, окромя того, что есть в рабочем образе, в любом случае неправильно, для этого должен быть отдельный тестовый компьютер.
У тех же sysinternals есть замечательный Process Explorer (логи по-моемуне ведет). Относительно недавно появилась интересная программа Rootkit Revealer.

[Dmitry]

В этом случае эксперт вообще ничего не найдет или найдет "оправдательную информацию.

Пусть я и чайник в некоторых вопросах, но знаю, что на "дело" надо выходить в перчатках, бокалы протирать, и т.д., а вот удивительное дело, и у дактилоскопистов работы по-прежнему хватает, и преступников с помощью дактилоскопии выявляют...

[Николай Николаевич Федотов]

Криво поломанных программ великое множество. Конечно, ошибки возможны и в лицензионном софте. Отличие же заключается в том, что лицензионный софт худо-бедно тестировался, нелицензионный же нет, а полного понимания того, что и как в нем было защищено и поломано, увы нет и быть не может без специального исследования.

А отчего достопочтенный Дмитрий ставит знак равенства между нелицензионным софтом и ломаным?

Более того, адвокат, желающий усомнить суд в корректности работы софта эксперта, может представить текст лицензионного соглашения, в котором производитель категорически отказывается гарантировать отсутствие ошибок. Такая "справка о заведомой глючности" имеется только у лицензионных программ.  

[korsar]

))))) Ну так кого хватают? Кто следы оставил, а кто не оставил, того и не схватят (тем более обьяснять, как обстоят дела в МВД с внедрением АДИС, как понимаю вам не нужно.)
В настоящее время (ИМХО) в основном все дела, может за редким исключением, заводятся на "мальчиков", знающими основы ITтехнологий и научившимися пользоваться парой утилит, которые на суде в основном сопли размазывают (пусть К-шники МВД-шные меня опровергнут). Здесь же, как понимаю идет обсуждение  универсальных методов, пригодных ко всем злодеям.
Что же касается экспертизы в чистом виде, то если отбросить фактор умышленного изменения экспертом данных, проблемы особой не вижу. Естественно запуск исполняемых модулей должен проводиться не на стендовой машине. А в остальном чего бояться? Если вы работаете на "чистой" ПМ, естественно с лицензионным ПО (хотя здесь ИМХО, вопрос чисто о нарушении закона с вашей стороны, чем отличается ,например , ворованный AVP или DRWEB от неворованнного - да ничем), то присоединение к ней жесткого диска ничего не активирует, исполнимые модули сами с винтов не запускаются. А подозрительный модуль я отладчиком разворочаю. другой вопрос, что по всему файлу отладчиком не пройдешься - на пенсию быстрее уйдешь. Поэтому стоит вопрос - что собственно искать на данном компе нужно - программные закладки, вирусы, следы деструктивных действий злоумышленника в ИНЕте или внутр сети и т.п.
Вопрос о сертификации мне непонятен, может только  в том смысле, что АРМ  эксперта должно быть аттестовано по определенному классу защищенности(ну хотя бы по 7 для СВТ и 3А,3Б для АС). А где взять сертифицированную ОС?
Я думаю здесь это лишнее - здесь же не анализ  компьютера американского шпиона проводится. (кстати кто из наших антивирусников какие либо сертификаты имеет, в смысле по ловли вирусов - на семинарах, на которых приходилось бывать, ни Касперский ,ни Данилов вразумительно ничего не ответили).