КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА

КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА

Судебно-экспертный комплекс EnCase. [1]

Одним из мировых лидеров в области разработки программного обеспечения и программных средств, организации профессионального обучения специалистов для сферы судебно-экспертного исследования компьютерных систем является компания Guidance Software.

Разработанная компанией технология EnCase представляет собой комплекс инструментальных методов и средств обеспечения всех стадий экспертного исследования компьютерных систем – от предварительного просмотра компьютерной информации до составления заключения эксперта как источника доказательств. Case-методология, на которой базируется специальное программное обеспечение, обеспечивает соблюдение принципа сохранения первоначального вида и содержания исследуемой компьютерной информации, т.е.проведение экспертного исследования без внесения каких-либо изменений в объект экспертизы. Помимо программного обеспечения система EnCase включает в себя технический компонент FastBloc-устройство, доступ к исследуемым носителям данных аппаратными методами с последующим отображением выявленной информации в среде системы MS Windows.

Guidance Software осуществляет также реализацию специальной программы подготовки и проведения сертификационных экзаменов для пользователей продуктов EnCase. Сертификат Guidance Software доступен любому специалисту, который выполнит соответствующие минимальные требования программы профессионального обучения экспертов в сфере информационных технологий.

Характерной особенностью EnCase – методологии является практическая реализация творческого подхода к судебно-экспертному исследованию компьютерных систем. Версия 3 программного пакета EnCase, выпущенная в свет 30 мая 2001г., имеет следующие функциональные характеристики:

Поиск и анализ информации в различных файловых системах целого ряда аппаратных платформ, включая FAT12, FAT16, FAT32, NTFS, Linux, UNIX, Macintosh, CDROM и DVD-R;
Встроенный макроязык ESCRIPT позволяет писать фильтры и программы, чтобы настроить EnCase и применять современные методы автоматизированного анализа криминалистически значимой компьютерной информации;
База данных с графическими форматами автоматически распознает любые графические файлы, содержащиеся на носителе информации, которые впоследствии могут быть отмечены или скопированы на CD-ROM;
«Зеркальное» копирование физического образа исследуемого диска на другой (стендовый) жесткий диск для последующего его изучения в системе Windows;
Поддержка экспертной работы с RAID-массивами;
Осуществление удаленного, без внесения каких-либо изменений в информацию, предварительного просмотра содержания жесткого диска исследуемого компьютера через параллельный порт или сетевую карту с целью ускоренного выявления криминалистически значимой информации;
Обеспечение проведения экспертного исследования компьютерной информации на таких типичных носителях данных, как дискеты, Zip- и Jaz-носители, магнитооптические носители, все типы жестких дисков с интерфейсами IDE и SCSI;
Доступ к жестким дискам посредством использования специальных аппаратных средств FastBloc;
Просмотр содержимого файлов и установление времени их создания (изменения);
Проведение базового поиска ключевых слов с использованием произвольного набора алфавитно-цифровых данных;
Проведение углубленного поиска информации с использованием «мощного» UNIX GREP –синтаксиса;
Автоматический поиск скрытых и архивированных файлов;
Сортировка файлов по заданным признакам, включая временные метки (создания, модификации, удаления);
Просмотр различных типов файлов, выявление зарегистрированных файлов в реестре Windows, обнаружение присоединенных файлов в e-mail, Zip-файлов;
Выявление и просмотр содержания криминалистически значимой информации, а также всех изменений с файлами в течении интересующего промежутка времени с помощью удобного графического вьюера;
Осуществление выделения (пометки) интересуемых файлов либо их частей (фрагментов) и сохранение ссылок на них для последующей подготовки заключения эксперта.
Экспортирование копии любой части исследуемого файла, выделенных файлов или полных деревьев папок;
Копирование и восстановление «зеркального» образа физического диска или образа логического тома на другие жесткие диски;
Распознавание сигнатур выявленных файлов, а также возможность пополнения библиотеки сигнатур пакета EnCase своими сигнатурами;
Просмотр содержимого файлов, создаваемых операционной системой в качестве swap-файлов, slack- и spooler –файлов, а также файлов, помещенных в Корзину;
Построение библиотек форматов (типов) файлов, типичных для экспертной практики, с целью применения их при автоматическом распознавании информации;
Формирование отчета о выполненном исследовании (заключения эксперта) с проставлением дат и времени проведенных определенных действий (операций);
Графическое отображение распределения информации на носителе (жестком диске) по кластерам или секторам, включая показ расположения любого файла;
Отображение просматриваемого файла в текстовом или Hex-виде и др.

Далее рассмотрим более подробно указанные функциональные возможности на примере ряда функций опций и команд пакета EnCase.

Опция Case Tab показывает расположение исследуемых файлов в стиле, подобном Explorer Windows (левая часть окна). Справа отображается содержание соответствующих закладок Table, Gallery, Timeline или Report.

Опция Table View представляет собой исследуемую информацию в виде таблицы с перечнем файлов (верхняя часть экрана). Причем список файлов может отображаться с различными свойствами (признаками) – имя, расширение, дата создания и др. Нижняя часть экрана графически отображает в представленном случае содержание физического диска.

Опция Keywords Tab позволяет задавать категорию ключевых слов (отображено на левой стороне экрана) для осуществления тематического поиска требуемой информации. Здесь также можно уточнить предполагаемую кодировку поисковой информации. В дополнительной вкладке можно сформировать новую категорию ключевых слов (терминов) в соответствии с решаемой экспертной задачей.

Опция Bookmarks Tab отображает таблицу закладок. В левой части экрана эксперт может проанализировать ссылки на все автоматически найденные совпадения при осуществлении поиска интересуемых данных. Указанные данные могут быть также отмечены непосредственно экспертом в ходе исследования файлов, и ссылки на них получены в определенные папки. При выполнении экспертной работы может выбираться любая организация подобных закладок, а также любой вид их представления (Table, Gallery, Timeline и Report).

Опция Gallery view представляет собой удобную возможность просматривать графические файлы следующих форматов: bmp, jpg, gif, tiff.

Действие опции Timeline состоит в том, где эксперт получает возможность просматривать временные отметки файлов, например, когда они были созданы, модифицированы (изменены), удалены и пр. Причем периоды времени, интересующие следствие, могут варьироваться экспертом в различном виде. Данная опция имеет большое значение для выявления следов осуществления различных действий с одним и тем же файлом в разные промежутки времени.

Программа EnCase 3 имеет способность в ходе экспертного исследования открыть и рассмотреть содержание .zip-файлов. Для этого надо просто «щелкнуть» мышью на .zip-файле и выбрать команду «View File Structure». На правой панели окна программы будет отображено содержание изучаемого архива.

Программа EnCase 3 имеет новый встроенный, более совершенный, чем в прежних версиях, ESCRIPT- макро-язык. Здесь реализована возможность создания box-диалогов. Это предоставляет экспертам дополнительную возможность создавать и проектировать их собственные настроенные экспертные инструменты. При этом желательно знание языков С++ и Java. Чтобы выполнить опцию ESCRIPT, нужно выбрать команду «Run Script» (или нажать <F9>).

Опция Report View позволяет демонстрировать результаты экспертной работы в форме соответствующих отчетов о найденных файлах и их характеристиках.

Литература:

1.Усов А.И. «Основы методического обеспечения судебно-экспертного исследования компьютерных средств и систем» - М.: Право и закон, 2002