Компьютерно-техническая экспертиза (КТЭ) - самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимая в целях определения статуса объекта как компьютерного средства, выявления и изучения его следовой картины в расследуемом преступлении, а также получения доступа к информации на носителях данных с последующим всесторонним ее исследованием.

Обьекты компьютерно-технической экспертизы: Класс аппаратных объектов:

• Персональные компьютеры (настольные, портативные)
• Периферийные устройства (принтеры, модемы и т. п.)
• Сетевые аппаратные средства (серверы, раб. станции, активное оборудование, сетевые кабели и т. п.)
• Интернированные системы (органайзеры, пейджеры, моб. телефоны, контрольно-кассовые машины и т. п.)
• Встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз контроллеры и т. п.)
• Любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы)
• Класс программных объектов:
• Системное программное обеспечение
• Прикладное программное обеспечение

Класс информационных объектов (данные):

• Текстовые и графические документы, изготовленные с использованием компьютерных средств
• Данные в форматах мультимедиа. Информация в форматах баз данных и других приложений, имеющих прикладной характер и пр.

Примерный перечень вопросов, решаемых в рамках КТЭ

1. Вопросы по исследованию аппаратных средств:

• Относится ли представленное устройство к аппаратным компьютерным средствам?
• К какому типу (марке, модели) относится аппаратное средство? Каковы его технические характеристики и параметры?
• Каково функциональное предназначение представленного аппаратного средства?
• Какая роль и функциональные возможности данного аппаратного средства
• в конкретной компьютерной системе?
• Относится ли данное аппаратное средство к представленной компьютерной системе?
• Используется ли данное аппаратное средство для решения конкретной функциональной задачи?
• Какое первоначальное состояние (конфигурацию, характеристики) имело аппаратное средство?
• Каково фактическое состояние (исправен, неисправен) представленного аппаратного средства? Имеются ли в нем отклонения от типовых (нормальных) параметров, в т. ч. физические дефекты?
• Какие эксплуатационные режимы установлены на данном аппаратном средстве?
• Является ли неисправность данного средства следствием нарушения определенных правил эксплуатации?
• Каковы причины изменения функциональных (потребительских) свойств в начальной конфигурации представленного аппаратного средства?
• Является ли представленное аппаратное средство носителем информации?
• Какой вид (тин, модель, марку) имеет представленный носитель информации?
• Какое запоминающее устройство предназначено для работы с данным накопителем информации? Имеется ли в составе представленной компьютерной системы запоминающее устройство для работы с этим носителем информации?
• Какие параметры (форм-факторы, ёмкость, среднее время доступа к данным, скорость передачи данных и др.) имеет носитель информации? Какой метод хранения данных реализован на представленном носителе?
• Доступен ли для чтения представленный носитель информации?
• Каковы причины отсутствия доступа к носителю информации?

2. Вопросы по исследованию программных средств:

• Какова общая характеристика представленного программного обеспечения, из каких компонентов (программных средств) оно состоит?
• Какую классификацию имеют конкретные программные средства (системные иди прикладные) представленного программного обеспечения? Обладают ли они признаками контрафактности либо нет?
• Какое наименование, тип, версию, вид представления (явный, скрытый, удаленный) имеет программное средство?
• Каковы реквизиты разработчика и владельца представленного программного средства?
• Каков состав соответствующих файлов программного обеспечения, каковы их параметры (объемы, даты создания, атрибуты)?
• Какое общее функциональное предназначение имеет программное средство?
• Имеются ли на носителях информации программные средства для реализации определенной функциональной задачи?
• Какие требования предъявляет данное программное средство к аппаратным средствам компьютерной системы?
• Какова совместимость конкретного программного средства с программным и аппаратным обеспечением компьютерной системы?
• Используется ли данное программное средство для решения определенной функциональной задачи?
• Каково фактическое состояние программного средства, какова его работоспособность по реализации отдельных (конкретных) функций?
• Каким образом организованы ввод и вывод данных в представленном программном средстве?
• Имеются ли в программном средстве отклонения от нормальных параметров (например, свойства инфицирования, недокументированных функций)?
• Имеет ли программное средство защитные возможности (программные, аппаратно-программные) от несанкционированного доступа и копирования?
• Каким образом организованы защитные возможности программного средства?
• Каков общий алгоритм представленного программного средства?
• Какие программные инструментальные средства (языки программирования. компиляторы, стандартные библиотеки) использовались при разработке представленного программного средства?
• Имеются ли на носителях информации тексты (коды) с первоначальным состоянием программы?
• Подвергался ли алгоритм программного средства модификации по сравнению с исходным состоянием? В чем это нашло отражение?
• Какой вид имело программное средство до его последней модификации?
• Использованы ли в алгоритме программы и ее тексте какие-либо специфические
• (нестандартные) приемы алгоритмизации и программирования?
• С какой целью было произведено изменение каких-либо функций в программном средстве?
• Направлены ли внесенные изменения в программное средство на преодоление его защиты?
• Достигается ли решение определенных задач после внесения изменений в программное средство?
• Каким способом были произведены изменения в программе (преднамеренно, воздействием вредоносной программы, ошибками программной среды, аппаратным сбоем и др.)?
• Какова хронология внесения изменений в программном средстве?
• Какова хронологии использования программного средства (начиная с ее инсталляции)?
• Имеются ли в программном средстве враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной системы?
• Каковы последствия дальнейшей эксплуатации определенного программного средства?

3. Вопросы по исследованию информации (данных):

• Как отформатирован носитель информации и в каком виде на него записаны данные?
• Каковы характеристики физического размещения данных на носителе информации?
• Каковы характеристики логического размещения данных на носителе информации?
• Какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные на носителе информации?
• Какого вида (явный, скрытый, удаленный, архив) имеется информация на носителе?
• К какому типу относятся выявленные (определенные) данные (текстовые, графические, база данных, электронная таблица, мультимедиа, запись пластиковой карты, данные ПЗУ и др.) и какими программными средствами они обеспечиваются?
• Каким образом организован доступ (свободный, ограниченный и пр.) к данным на носителе информации и каковы его характеристики?
• Какие свойства, характеристики имеют выявленные средства за1циты данных
• и какие возможны пути ее преодоления?
• Какие признаки преодоления защиты (либо попыток несанкционированного доступа) имеются на носителе информации?
• Каково содержание защищенных данных?
• Каково фактическое состояние выявленных данных и соответствует ли оно
• типовому состоянию на соответствующих носителях данных ?
• Какие несоответствия типовому представлению имеются в выявленных данных (нарушение целостности, несоответствие формата, вредоносные включения и пр.) имеются в данных?
• Каковы пользовательские (потребительские) свойства и предназначение данных на носителе информации?
• Какие данные для решения определенной функциональной (потребительской) задачи имеются на носителе информации?
• Какие данные с фактами и обстоятельствами конкретного дела находятся
• на представленном носителе информации?
• Какие данные о собственнике (пользователе) компьютерной системы
• (в т. ч. имена, пароли, права доступа и нр.) имеются на носителях информации?
• Какие данные с представленных на экспертизу документов (образцов) и в каком виде (целостном, фрагментарном) находятся на носителе информации?
• Каково первоначальное состояние данных на носителе (в каком виде, какого содержания и с какими характеристиками, атрибутами находились определенные данные до их удаления или модификации)?
• Каким способом и при каких обстоятельствах произведены действия (операции) (блокирование, модификация, копирование, удаление) определенных данных на носителе информации?
• Какой механизм (последовательность действий) по решению конкретной дачи отражен в определенных данных на носителе информации?
• Какая хронологическая последовательность действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денежных знаков, ценных бумаг, оттисков печатей т. п.)?
• Какая имеется причинная связь между действиями (вводом, модификацией, удалением и пр.) с данными и имевшим место событием (например, нарушением в работе компьютерной системы, в т. ч. сбоях в программном и аппаратном обеспечении)?
• Какова степень соответствия (или несоответствия) действий с конкретной информацией специальному регламенту или правилам эксплуатации определенной компьютерной системы?

4. Вопросы комплексного исследования компьютерной системы при экспертизе целостной компьютерной системы, устройства:

• Является ли представленное оборудование компьютерной системой?
• Является ли представленное оборудование целостной компьютерной системой или же ее частью?
• К какому типу (марке, модели) относится компьютерная система?
• Каковы общие характеристики сборки компьютерной системы и изготовления ее компонент?
• Какой состав (конфигурацию) и технические характеристики имеет компьютерная система?
• Является ли конфигурация компьютерной системы типовой или расширенной под решение конкретных задач?
• Какое функциональное предназначение имеет компьютерная система?
• Имеются ли в компьютерной системе наиболее выраженные функции (потребительские свойства)?
• Решаются ли с помощью представленной компьютерной системы определенные функциональные (потребительские) задачи?
• Находится ли компьютерная система в рабочем состоянии?
• Имеет ли компьютерная система какие-либо отклонения от типовых (нормальных) параметров, в т. ч. физические (механические) дефекты?
• Какой перечень эксплуатационных режимов имеется в компьютерной системе?
• Какие эксплуатационные режимы задействованы (установлены) в компьютерной системе?
• Существуют ли в компьютерной системе недокументированные (сервисные) возможности? Какие это возможности?
• Какие носители информации имеются в представленной компьютерной системе? Реализована ли в компьютерной системе какая-либо система защиты информации?
• Какая система защиты информации имеется в представленной компьютерной системе? Каков тип, вид и характеристики этой системы защиты? Каковы возможности по ее преодолению?

Основные вопросы при производстве КТЭ:

• Относится ли представленный объект к компьютерным средствам?
• Является ли объект экспертизы компьютерной системой либо представляет какую-либо его компоненту (аппаратную, программную, информационную)?
• Каковы тип (марка, модель), конфигурация и общие технические характеристики представленной компьютерной системы (либо ее части)?
• Решаются ли с помощью представленной компьютерной системы определенные (указываются конкретно, какие именно) функциональные (потребительские) задачи?
• Находится ли компьютерная система в рабочем состоянии? Имеются ли какие-либо неисправности в ее работе?
• Имеются ли признаки (указывается интересуемый перечень конкретных признаков) нарушения правил эксплуатации компьютерной системы?
• Реализована ли в компьютерной системе какая-либо система защиты доступа к информации? Каковы возможности по ее преодолению?
• Какие носители данных имеются в представленной компьютерной системе? Какой вид (тин, модель, марку) и какие параметры имеет представленный
• носитель данных?
• Какое устройство предназначено для работы с представленным носителем данных? Имеется ли в составе представленной компьютерной системы устройство, предназначенное для работы (чтение, запись) с указанным
• носителем данных?
• Какую общую характеристику и функциональное предназначение имеет программное обеспечение приставленного объекта?
• Каковы реквизиты разработчика, правообладателя представленного программного средства?
• Имеет ли программное средство признаки (указывается интересуемый перечень конкретных признаков) контрафактности?
• Имеется ли на носителях данных программное обеспечение для решения конкретной (потребительской) задачи?
• Каково функциональное предназначение представленной прикладной программы?
• Имеются ли программы с признаками (указывается интересуемый перечень конкретных признаков) водоносности?
• Какая информация, имеющая отношение к обстоятельствам дела (указывается интересуемый перечень конкретных данных либо ключевых слов), содержится на носителе данных? Каков вид ее. представления (явный, скрытый, удаленный, архивный)?
• Имеется ли на носителе данных информация, аутентичная по содержанию представленным образцам ? Каков вид ее представления (явный, скрытый, удаленный, архивный)?
• К какому формату относятся выявленные данные (текстовые документы, графические файлы, базы данных и т. д.) и с помощью каких программных средств они могут обрабатываться?
• Имеются ли в компьютерной системе признаки (указывается интересуемый перечень конкретных признаков) неправомерного доступа к данным?
• Какие сведения о собственнике (пользователе) компьютерной системы (в т. ч. имена, пароли, права доступа и пр.) имеются на носителях данных?
• Имеются ли признаки функционирования данного компьютерного средства о составе локальной вычислительной сети? Каково содержание установленных сетевых компонент?
• Имеются ли признаки работы представленного компьютерного средства в сети Интернет? Каково содержание установок удаленного доступа и протоколов соединений?