Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Какие следственные экспертные системы применяются в настоящее время, каково их назначение?

Ответ: 1. Судебно-экспертный комплекс EnCase.

Одним из мировых лидеров в области разработки программного обеспечения и программных средств, организации профессионального обучения специалистов для сферы судебно-экспертного исследования компьютерных систем является компания Guidance Software.

Разработанная компанией технология EnCase представляет собой комплекс инструментальных методов и средств обеспечения всех стадий экспертного исследования компьютерных систем – от предварительного просмотра компьютерной информации до составления заключения эксперта как источника доказательств. Case-методология, на которой базируется специальное программное обеспечение, обеспечивает соблюдение принципа сохранения первоначального вида и содержания исследуемой компьютерной информации, т.е.проведение экспертного исследования без внесения каких-либо изменений в объект экспертизы. Помимо программного обеспечения система EnCase включает в себя технический компонент FastBloc-устройство, доступ к исследуемым носителям данных аппаратными методами с последующим отображением выявленной информации в среде системы MSWindows.

Guidance Software осуществляет также реализацию специальной программы подготовки и проведения сертификационных экзаменов для пользователей продуктов EnCase. Сертификат Guidance Software доступен любому специалисту, который выполнит соответствующие минимальные требования программы профессионального обучения экспертов в сфере информационных технологий.

Характерной особенностью EnCase – методологии является практическая реализация творческого подхода к судебно-экспертному исследованию компьютерных систем. Версия 3 программного пакета EnCase, выпущенная в свет 30 мая 2001г., имеет следующие функциональные характеристики:

· Поиск и анализ информации в различных файловых системах целого ряда аппаратных платформ, включая FAT12, FAT16, FAT32, NTFS, Linux,UNIX, Macintosh, CDROM и DVD-R;

· Встроенный макроязык ESCRIPT позволяет писать фильтры и программы, чтобы настроить EnCase и применять современные методы автоматизированного анализа криминалистически значимой компьютерной информации;

· База данных с графическими форматами автоматически распознает любые графические файлы, содержащиеся на носителе информации, которые впоследствии могут быть отмечены или скопированы на CD-ROM;

· «Зеркальное» копирование физического образа исследуемого диска на другой (стендовый) жесткий диск для последующего его изучения в системе Windows;

· Поддержка экспертной работы с RAID-массивами;

· Осуществление удаленного, без внесения каких-либо изменений в информацию, предварительного просмотра содержания жесткого диска исследуемого компьютера через параллельный порт или сетевую карту с целью ускоренного выявления криминалистически значимой информации;

· Обеспечение проведения экспертного исследования компьютерной информации на таких типичных носителях данных, как дискеты, Zip- иJaz-носители, магнитооптические носители, все типы жестких дисков с интерфейсами IDE и SCSI;

· Доступ к жестким дискам посредством использования специальных аппаратных средств FastBloc;

· Просмотр содержимого файлов и установление времени их создания (изменения);

· Проведение базового поиска ключевых слов с использованием произвольного набора алфавитно-цифровых данных;

· Проведение углубленного поиска информации с использованием «мощного» UNIX GREP –синтаксиса;

· Автоматический поиск скрытых и архивированных файлов;

· Сортировка файлов по заданным признакам, включая временные метки (создания, модификации, удаления);

· Просмотр различных типов файлов, выявление зарегистрированных файлов в реестре Windows, обнаружение присоединенных файлов в e-mail, Zip-файлов;

· Выявление и просмотр содержания криминалистически значимой информации, а также всех изменений с файлами в течении интересующего промежутка времени с помощью удобного графического вьюера;

· Осуществление выделения (пометки) интересуемых файлов либо их частей (фрагментов) и сохранение ссылок на них для последующей подготовки заключения эксперта.

· Экспортирование копии любой части исследуемого файла, выделенных файлов или полных деревьев папок;

· Копирование и восстановление «зеркального» образа физического диска или образа логического тома на другие жесткие диски;

· Распознавание сигнатур выявленных файлов, а также возможность пополнения библиотеки сигнатур пакета EnCase своими сигнатурами;

· Просмотр содержимого файлов, создаваемых операционной системой в качестве swap-файлов, slack- и spooler –файлов, а также файлов, помещенных в Корзину;

· Построение библиотек форматов (типов) файлов, типичных для экспертной практики, с целью применения их при автоматическом распознавании информации;

· Формирование отчета о выполненном исследовании (заключения эксперта) с проставлением дат и времени проведенных определенных действий (операций);

· Графическое отображение распределения информации на носителе (жестком диске) по кластерам или секторам, включая показ расположения любого файла;

· Отображение просматриваемого файла в текстовом или Hex-виде и др.

Далее рассмотрим более подробно указанные функциональные возможности на примере ряда функций опций и команд пакета EnCase.

Опция Case Tab показывает расположение исследуемых файлов в стиле, подобном Explorer Windows (левая часть окна). Справа отображается содержание соответствующих закладок Table, Gallery, Timeline или Report.

Опция Table View представляет собой исследуемую информацию в виде таблицы с перечнем файлов (верхняя часть экрана). Причем список файлов может отображаться с различными свойствами (признаками) – имя, расширение, дата создания и др. Нижняя часть экрана графически отображает в представленном случае содержание физического диска.

Опция Keywords Tab позволяет задавать категорию ключевых слов (отображено на левой стороне экрана) для осуществления тематического поиска требуемой информации. Здесь также можно уточнить предполагаемую кодировку поисковой информации. В дополнительной вкладке можно сформировать новую категорию ключевых слов (терминов) в соответствии с решаемой экспертной задачей.

Опция Bookmarks Tab отображает таблицу закладок. В левой части экрана эксперт может проанализировать ссылки на все автоматически найденные совпадения при осуществлении поиска интересуемых данных. Указанные данные могут быть также отмечены непосредственно экспертом в ходе исследования файлов, и ссылки на них получены в определенные папки. При выполнении экспертной работы может выбираться любая организация подобных закладок, а также любой вид их представления (Table, Gallery,Timeline и Report).

Опция Gallery view представляет собой удобную возможность просматривать графические файлы следующих форматов: bmp, jpg, gif, tiff.

Действие опции Timeline состоит в том, где эксперт получает возможность просматривать временные отметки файлов, например, когда они были созданы, модифицированы (изменены), удалены и пр. Причем периоды времени, интересующие следствие, могут варьироваться экспертом в различном виде. Данная опция имеет большое значение для выявления следов осуществления различных действий с одним и тем же файлом в разные промежутки времени.

Программа EnCase 3 имеет способность в ходе экспертного исследования открыть и рассмотреть содержание .zip-файлов. Для этого надо просто «щелкнуть» мышью на .zip-файле и выбрать команду «View File Structure». На правой панели окна программы будет отображено содержание изучаемого архива.

Программа EnCase 3 имеет новый встроенный, более совершенный, чем в прежних версиях, ESCRIPT- макро-язык. Здесь реализована возможность создания box-диалогов. Это предоставляет экспертам дополнительную возможность создавать и проектировать их собственные настроенные экспертные инструменты. При этом желательно знание языков С++ и Java. Чтобы выполнить опцию ESCRIPT, нужно выбрать команду «Run Script» (или нажать <F9>).

Опция Report View позволяет демонстрировать результаты экспертной работы в форме соответствующих отчетов о найденных файлах и их характеристиках.

2. Инструментальные экспертные средства Vogon International.

В настоящее время частое применение в зарубежной следственной практике находят инструментальные средства Vogon International. Использование данного комплекса, как свидетельствуют специалисты правоохранительной сферы, имеет особую эффективность при раскрытии и расследовании таких преступлений, как мошенничество, Internet/e-mail – злоупотребления, убийство, терроризм и пр. Наибольшее распространение средства Vogon Internationalполучили в Великобритании и ряде стран Европы, Северной Америки и Дальнего Востока.

Особенностью технологии Vogon International является обеспечение проведения судебно-экспертного исследования на высоком технологическом уровне посредством использования аппаратных компьютерных средств, и мощных инструментов программного обеспечения. Вся экспертная работа при использовании Vogon досконально регистрируется; после экспертизы все действия могут быть воспроизведены заново и повторены без ущерба объекту исследования; кроме того, все используемые при этом методы и средства сертифицированы соответствующим образом.

В основе экспертной технологии лежит процедура получения дубликата (копии) содержания носителя информации и проведение на нем всех последующих операций. Первичная копия создается на магнитной ленте, куда последовательным методом записывается посекторное содержание исследуемого носителя информации. Как видно, данный методический подход к проведению экспертных исследований на «зеркальной» копии изучаемого носителя становится типичным для большинства судебно-экспертных учреждений всего мира.

Кроме того, средства Vogon International спроектированы с учетом следующих важных принципов получения доброкачественных доказательств:

· Никакое действие, предпринятое специалистом правоохранительной сферы, не должно изменить данные, содержащиеся на представленном компьютере или других средствах информатизации, которые можно впоследствии представить в суде как вещественные доказательства;

· Все действия по экспертному исследованию объектов обязательно документируются, оформляются в отчет о проведенном исследовании и сохраняются в установленном порядке; независимое третье лицо должно быть способно произвести повторную экспертизу и достичь того же самого результата.

Средства Vogon International отличаются высокой производительностью. Например, 20Gb-диск может быть просмотрен на предмет контекстного поиска меньше чем за 10 секунд. Автоматический режим предварительного просмотра содержания обнаруженных искомых файлов организован независимо от продолжения дальнейшей работы программного обеспечения.

Основными модулями программного обеспечения технологии Vogon International являются следующие компоненты.

Программное обеспечение создания копии данных (Vogon Dat Imager) позволяет создавать точные дубликаты или образы жестких дисков (либо других носителей) в соответствии с принятыми процессуальными процедурами.

Программное обеспечение восстановления копии данных представляет собой набор мощных инструментов восстановления данных с ленты на диск с сохранением целостности структуры и содержания копируемой файловой системы. Программные модули GenX и GenText интерпретируют копируемую файловую структуру как относительно исследуемого носителя, так и диска, на котором в последствие будет проводится экспертное исследование (т.е. для копируемых первоначальных файлов создаются всесторонние индексы относительно нового диска).

Программное обеспечение проведения экспертного исследования состоит из модуля GenTree, позволяющего проводить сложные контекстные поиски и изучение графических объектов.

3. Экспертная система ILOOK Investigator.

Данная система (разработка Elliot Spencer & the Criminal Investigation Division of the United States Internal Revenue Service, U.S. Treasury Department) также служитзадачам обеспечения производства судебной экспертизы в сфересовременных информационных технологий. Программный комплекс ILOOKявляется экспертным инструментом, предназначенным для всестороннего исследования и анализа представленной на экспертизу компьютерной системы. Пакет программ состоит из главного исполнимого файла, нескольких файлов, создаваемых во время работы программы, а также файла диалоговой помощи. ILOOK функционирует в среде на следующих 32-битных системах: WinNT или Win2K.

ILOOK используется как для экспертизы целой компьютерной системы посредством создания побитной копии (образа) носителя информации, так и исследования отдельных файлов различных типов. Рассматриваемая программа может также применяться для исследования копий («имиджей») носителей данных, полученных с помощью программных средств Safeback,EnCase-файлов, ISO- и CIF-копий на компакт-дисках, виртуальных дисковVMWare, а также копий файлов подготовленных самой ILOOK.

ILOOK имеет следующие функциональные характеристики:

· Обеспечивает проведение экспертных исследований следующих файловых систем и их вариантов:

· FAT12, FAT16, FAT32, FAT32X,VFAT, NTFS4, NTFS5, NTSF 4 сжатый, NTFS 5 сжатый, MacHFS, MacHFS+, Linux Ext2FS, Linux Ext3FS (вариант Ext2FS), SCO Sys V AFS, SCOSys V EAFS, SCO Sys V HTFS, CDFS, Novell NetWare NWFS;

· Имеет интерфейс типа Проводника Windows для осуществления навигации по файловой системе исследуемого компьютера;

· Сервисные средства обеспечения исследования позволяют анализировать всю файловую систему либо лишь требуемую ее часть;

· Реализует иерархический алгоритм поиска необходимой информации (стандартный, расширенный и индексированный способы поиска);

· Содержит возможности проведения автономного поиска и выявления признаков индексации данных;

· Фиксирует определенные точки и участки носителя информации для просмотра их содержимого;

· Просматривает файлы в различных форматах и кодировках;

· Поддерживает длинные имена файлов;

· Организует автоматизированную подготовку и последующую обработку образа (зеркальной копии) исследуемого носителя информации;

· Генерирует (подбирает) различные пароли в случае нахождения парольной защиты;

· Содержит встроенный hex-редактор с удобными средствами обеспечения поиска требуемой информации;

· Проводит диагностику сигнатуры исследуемых файлов;

· Восстанавливает разрушенные (испорченные) таблицы FAT;

· Анализирует данные при использовании алгоритмов CRC32, MD5 иSHA1;

· Маркирует (помечает) исследованные файлы и документирует произведенные действия;

· Имеет инструментальные сервисные средства для изучения cache-файлов, полученных из Интернет, а также e-mail-данных (с возможностью восстановления присланных приложений и сообщений);

· Снимает защиту UUE и Base64 в электронной почте;

· Обеспечивает прямой доступ к данным исследуемого носителя (на физическом уровне);

· Отображает настройки BIOS посредством использования средств обслуживания MD5/SHA1;

· Обеспечивает сжатие копии (образа) содержания исследуемого носителя данных для последующего компактного хранения;

· Производит фильтрование файлов по разным признакам;

· Сохраняет результаты всех действий и операций, выполненных в ходе экспертизы, в базе данных экспертного исследования;

· Представляет детальный обзор физического расположения любого выбранного физического либо логического участка данных посредством отображения побитовой карты исследуемого тома;

· Имеет script-язык, компилятор и функции запуска исполнимых модулей, расширяющие возможности ILOOK;

· Классифицирует и размещает исследуемые файлы в виртуальных папках системы;

· Имеет интегрированный многофункциональный вьюер

 

 

Последнее изменение этой страницы: 2016-03-17; Просмотров: 58; Нарушение авторского права страницы


lektsia.com 2007 - 2017 год. Все права принадлежат их авторам! (0.083 с.) Главная | Обратная связь