для выявления вредоносных программ в компьютерной системе и отдельных машинных носителях информации,
– программы получения информации о программах, находящихся в оперативной памяти ЭВМ на месте осмотра, обеспечивающие просмотр буфера памяти компьютера,
– программы определения настроек аппаратуры и программ, – программы просмотра и вывода на печать содержимого файлов разных типов.
По прибытии на место происшествия следователь с помощью специалистов выполняет следующие мероприятия:
• блокирует доступ персонала ко всем компьютерам сети и серверу;
• выставляет охрану у средств компьютерной техники и электрических распределительных щитов и пультов;
• отсоединяет удаленный доступ к системе извне, чтобы никто не смог изменить или повредить информацию во время осмотра;
• устанавливает, не запущена ли на ЭВМ программа уничтожения информации, а если на ЭВМ программа запущена, отключает компьютер от питания[6].
При осмотре места происшествия специалист-криминалист производит ориентирующую и обзорную видео- и фотосъемку. Фиксируется общий вид здания, все помещения, где расположены средства компьютерной техники, затем фиксируются по отдельности все (если их много) компьютеры и подключенные к ним устройства, а также вскрытые отдельные узлы, модемы, факс-модемы, сканеры, магнитные и оптические носители информации, стримеры, вся распечатка, выполненная на принтерах, техническая и финансовая документация.
Способ данного осмотра может быть от центра к периферии или от периферии к центру.
На статической стадии осмотра специалист-криминалист обязательно фотографирует экран монитора, специалист по средствам связи или системный аналитик определяет дату, текущее время и программу, используемую в данный момент.
Осмотр сети компьютеров на динамической стадии начинают с сервера – специального компьютера, с которого осуществляют общее управление работой сети и который содержит базовую и общую информацию, а в помещениях с несколькими компьютерами осмотр осуществляется последовательно от одного компьютера к другому. При этом специалисты могут выявить внутри них нештатную аппаратуру и следы противодействия аппаратной системе защиты, которая обязательно фотографируется и описывается.
Исследуются на динамической стадии и физические носители компьютерной информации, а специалист-криминалист устанавливает механические повреждения, выявляет на компьютерных объектах следы папиллярных узоров рук и осматривает документы, выполненные как на бумажных, так и на машинных носителях, а именно:
• документы, описывающие аппаратуру и программное обеспечение;
• документы, устанавливающие функциональные правила работы с ЭВМ;
• учетно-регистрационную и бухгалтерскую документацию.
Анализ этих документов позволяет выяснить законность использования программного обеспечения и особенности организации работы данного учреждения