Місця знаходження інформації, що вилучається.

Слід відзначити, що в персональному комп'ютері інформація, що може являти інтерес для слідчого, оперативного працівника чи експерта-криміналіста, знаходиться: в оперативній або у зовнішній пам'яті - на жорстких магнітних дисках (вінчестерах), дискетах, оптичних дисках, магнітних стрічках (стримерах) чи на віртуальному диску (псевдодиску). Причому, якщо комп'ютер вимкнутий, така інформація може знаходитися лише на зовнішніх носіях.

Відомо, що в оперативній пам'яті комп'ютера інформація зберігається до вимикання комп'ютера. При увімкненні ПК ОЗП очищується для введення нових програм або даних. Воно поділене на спеціальні області, серед яких може бути виділена область, що імітує зовнішній пристрій - накопичувач інформації. Цей накопичувач (віртуальний диск чи псевдодиск) відрізняється високою швидкістю доступу до інформації та дозволяє виконувати специфічні операції по обміну програмами і даними з приладами ПК.

Таким чином, дії щодо вилучення комп'ютерної інформації мають свою специфіку залежно від того, включений чи вимкнутий комп'ютер у момент проведення слідчої дії.

При обшуку на робочому місці злочинця слідчому необхідно дотримуватися таких правил:

- ізолювати підозрюваного від ЕОМ, інших приладів та електромережі, тобто, не дозволити натискати клавіші комп'ютера, вимикати його з електромережі, бо це може призвести до знищення доказів;

- скласти схематичний план приміщення із зазначенням розміщення апаратури й місця її підключення до електромережі;

- зібрати та описати дискети, магнітні стрічки, інші носії інформації, мікросхеми, а також документи, що можуть відноситись до справи (листи, факси, кодові шифри, інструкції і т. п.);

- дати завдання спеціалісту скопіювати на чисті дискети чи інші носії інформації вміст оперативної пам'яті ЕОМ, вінчестерів, дискет;

- опечатати кожний блок апаратури;

- приділити особливу увагу збереженню знайдених комп'ютерних доказів (програмні засоби, оптичні чи магнітні носії інформації і т. д.);

- всі знайдені речові докази повинні бути промарковані, сфотографовані та занесені до протоколу;

- зробити робочі копії з носіїв інформації та зберігати їх при температурі 15-20 град та вологості 50-70%.

У випадку, якщо комп'ютер вимкнутий, слід:

а) упакувати окремо (із зазначенням у протоколі та на конверті місця знайдення) носії на магнітних чи оптичних дисках (магнітній стрічці, cтримерній касеті і т. п.). При цьому магнітні носії інформації бажано упаковувати в металеві коробки або загортати у металеву фольгу з метою запобігання їхнього випадкового чи навмисного розмагнічування;

б) відобразити у протоколі та на схемі, що додається до нього, місцезнаходження комп'ютера і його периферійних пристроїв (принтер, дисководи, дисплей, клавiатура, cканер, маніпулятори і т. ін.);

в) описати порядок з'єднання між собою приладів із зазначенням особливостей (колір, кількість з'єднувальних роз'ємів, їхня специфікація) з'єднувальних проводів та кабелів;

г) із дотриманням застережних заходів роз'єднати пристрої комп'ютера, заздалегідь знеструмивши його;

д) ретельно упакувати кожний пристрій та з'єднувальні кабелі, проводи з метою їхнього транспортування.

Особливої обережності вимагає транспортування вінчестеру.

Якщо комп'ютер включений, ситуація для слідчого, що проводить слідчу дію без допомоги спеціаліста, суттєво ускладнюється, проте і у цьому випадку не слід відмовлятися від оперативного вилучення необхідних даних. У цьому випадку слід:

a) визначити, яка програма виконується. Для цього необхідно вивчити зображення на екрані дисплея та, по можливості, детально описати його. Після зупинки програми та виходу до операційної системи інколи при натисканні функціональної клавіші F3 можна відновити найменування програми, що викликалася останньою. Деякі програми - оболонки, наприклад, Norton Commander, дозволяють продивитись найменування програм, що викликалися;

б) зупинити виконання програми. Це може бути здійснено шляхом натискання клавіші ESC, введенням команд Exit або Quit. Зупинити виконання програми можна також натисканням клавіш Ctr+C або Ctr+Q;

в) відбити у протоколі результат виконання програми і натискання означених клавіш;

г) визначити наявність у комп'ютера зовнішніх пристроїв - накопичувачів на жорстких магнітних дисках (вінчестера) та віртуального диску;

д) скопіювати програми і файли даних з віртуального диска на магнітний носій;

е) вимкнути комп'ютер і далі діяти за схемою "комп'ютер не працює".

Огляд комп'ютера і вилучення інформації, що зберігається на носіях, здійснюється за місцем проведення розслідування із запрошенням спеціаліста. Огляд виробляється в присутності понятих, що розписуються на розпечатках інформації, що виготовлені в ході огляду.

При проведенні означених слідчих дій слідчому бажано мати з собою набір сервісних програм-утиліт, що забезпечують:

a) визначення технічних характеристик комп'ютера;

б) тестування окремих пристроїв ЕОМ;

в) роботу з файлами;

г) пошук й відновлення прихованої чи усуненої інформації.