интересующих сведений становится весьма трудоёмким. Однако современные программные средства предоставляют широкий спектр возможностей не только пользователю, но и преступнику и следователю.
Многие текстовые и финансовые программы сохраняют список документов последних сеансов работы и могут их мгновенно вызвать, если, конечно, они не удалены или не перемещены в другое место. На диске компьютера пользователи обычно сохраняют документы в каталогах (папках) со стандартными названиями: Мои документы, Архив, Петров, Шек (пользователь). Файлы документов имеют в названии характерное уточнение ('расширение'), т.е. часть имени, которая стоит после точки в названии файла, - письмо.txt, сведения.doc, платёж.xls, архив98.zip, входящие.arj, счета.rar и т. п. Значительный интерес могут составить базы данных или данные из программы-'ежедневника', которые являются компьютерным аналогом записной книжки с адресами. Все компьютерные файлы хранят дату последнего изменения, а после некоторых программ - и дату первоначальной записи файла под этим именем. Мощные программы при сохранении файла приписывают к полезной информации дополнительную информацию (служебные данные, которые удаётся выявить при необходимости специальными программами просмотра).
Имеются в виду сведения о зарегистрированном владельце или организации (если владелец ввёл такие данные при установке программы), об установленном принтере. Иногда внутрь файла попадает 'соседняя' информация из документа, который обрабатывался в памяти параллельно.
Автоматический поиск среди огромного объёма информации на диске помогают вести программы поиска документов по имени файла или по дате, размеру и даже по словам в тексте документа. Часть информации хранится в сжатом виде, и её прямой просмотр невозможен. Однако существуют программы поиска и в таких сжатых файлах. Ко многим шифровальным защитам документов и сжатым архивам известны программы подбора 'забытых' паролей.
Обычный, не искушённый в тонкостях пользователь, как правило, не догадывается, что фрагменты или целые файлы, которые программы создают как временную подсобную базу для работы, нередко остаются на диске и после окончания работы. Во всяком случае такие хранилища обрывков временных файлов целесообразно проверять при производстве следственного осмотра. Популярный программный пакет Microsoft Office после установки на компьютере ведёт негласный файл-протокол, куда заносит дату и время всех включений компьютера. Программы связи и работы с сетью запоминают адреса многих Интернет-контактов пользователя, документы электронной почты с адресами отправителя.
Если пользователь не попросит иначе, то современные операционные системы удаляют файлы не 'начисто', а сначала в 'корзину', в некий чулан для хлама, просмотрев который информацию можно восстановить.
Но даже в случае удаления файла, минуя корзину, остаётся вероятность восстановления, поскольку место его на диске не очищается, а только помечается как неиспользованное.
Остающиеся на месте осмотра СКТ можно опечатать путём наклеивания листа бумаги с подписями следователя и понятых на разъёмы электропитания, на крепёж и корпус. Не допускается пробивать отверстия в магнитных носителях, ставить на них печати. Пояснительные надписи на этикетку для дискет наносятся фломастером (но не авторучкой) или жёстким карандашом.
Если есть необходимость изъять СКТ, следует выйти из программы, исполняемой компьютером для операционной системы Windows 95/98, правильно завершить работу самой системы, а затем отключить электропитание всех средств компьютерной техники, подлежащих изъятию. Желательно описать в протоколе рабочие кабельные соединения между отдельными блоками аппаратуры. Аппаратные части СКТ разъединяются с соблюдением необходимых мер предосторожности, одновременно пломбируются их технические входы и выходы. При описании изымаемых магнитных носителей машинной информации в протоколе отражаются заводской номер, тип, название, а при их отсутствии подробно описываются тип, размер, цвет, надписи. Фиксацию указанных сведений в протоколе следственного действия желательно дополнить видеосъёмкой либо фотосъёмкой.
В процессе осмотра нельзя забывать о необходимости соблюдения элементарных правил обращения с вычислительной техникой.
Вот некоторые из этих правил: все включения и выключения компьютерного оборудования должны осуществляться только специалистами либо под их руководством; не производить разъединения или соединения кабельных линий, прежде чем не будут выяснены их назначение, чтобы не нанести ущерба компьютерной системе; вскрытие и демонтаж компьютерного оборудования производить только с участием специалистов; не допускать попадания мелких частиц и порошка на рабочие части устройств ввода-вывода компьютеров; применение магнитных искателей, ультрафиолетовых осветителей, инфракрасных преобразователей и других подобных приборов для осмотра вычислительной техники должно быть согласовано со специалистом, чтобы избежать разрушения носителей информации и микросхем памяти ЭВМ.
Осмотр носителей машинной информации производится с целью установления содержания самой компьютерной информации и обнаружения внешних следов, в том числе пальцев рук. Последние могут быть выявлены на упаковках и местах хранения машинной информации.
Осмотру подлежат: жёсткие магнитные диски (винчестеры), оптические диски, дискеты, магнитные ленты, оперативные запоминающие устройства (ОЗУ), постоянно запоминающие устройства (ПЗУ), виртуальные диски, бумажные носители информации (листинги, журналы и иные документы, составляемые с помощью ЭВМ).
В протоколе осмотра указываются:
- место обнаружения каждого носителя информации (стол, шкаф, сейф), температура воздуха, при которой он хранился;
- характер его упаковки (конверты, специальный футляр-бокс для хранения дискет, коробка, фольга и пр.), надписи на упаковке, наклейки на носителях информации с соответствующими пометками, цвет материала упаковки и наклейки, наличие штрихового кода и прочие особенности;
- тип и размер носителя (в дюймах); изготовитель, плотность записи и номер (если они обозначены на дискете), состояние средств записи от стирания (открытые или отломанные шторки на дискетах и кассетах);
- характерные признаки на машинных носителях (царапины, иные повреждения, гравировки и пр.);
- тип компьютера, для которого предназначен обнаруженный носитель (его марка, фирма- изготовитель).
Обращаться с магнитными носителями информации следует осторожно: не подвергать электромагнитному воздействию, не сгибать диски, не хранить их без специальной упаковки, не допускать резких перепадов температуры при хранении и транспортировке.
Осмотр письменных документов касается журналов учёта работы на компьютере (если они ведутся), листингов, технической, технологической, кредитно-финансовой, бухгалтерской и прочей документации.
Особое внимание нужно обратить на подчистки, исправления; дополнительные записи; отсутствие нумерации страниц; дополнительно вклеенные страницы; листки, бланки; письменные распоряжения на исполнение определённых работ по изменению программ для ЭВМ, вводу дополнительной информации, не предусмотренной технологическим процессом; соответствие ведущихся в системе форм регистрации информации правилам, установленным технической и технологической документацией.
Вопрос об изъятии документов надлежит согласовать со специалистом, а в протоколе указать наименование, количество экземпляров, число страниц, место обнаружения.
В случае изъятия отдельных устройств вычислительной техники и машинных носителей информации, обнаруженных в процессе осмотра места происшествия или обыска, они упаковываются в специальную тару, в которой данную технику поставляет предприятие-изготовитель (если она сохранилась).
Сменные носители компьютерной информации (дискеты, лазерные диски, магнитные ленты стримеров и др.) должны быть упакованы каждый в свой конверт (бумажный, пластмассовый или полиэтиленовый), при их отсутствии можно просто завернуть в плотную бумагу, а для ослабления электромагнитного воздействия целесообразно магнитный носитель информации поверх конвертов
