3.3.1.1. Осмотр и изъятие ЭВМ и ее устройств

Признаками работающего компьютера могут быть подключение его проводами к сети, шум работающих внутри него вентиляторов, мигание или горение индикаторов на передних панелях системного блока, наличие на экране изображения.

Если компьютер работает, ситуация для следователя, проводящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных.

В данной ситуации:

а) определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его. После остановки программы и выхода в операционную систему иногда при нажатии функциональной клавиши "F3" можно восстановить наименование вызывавшейся последний раз программы.

Осуществить фотографирование или видеозапись изображения на экране дисплея;

б) остановить исполнение программы. Остановка исполнения многих программ осуществляется одновременным нажатием клавиш' Ctrl-C, либо Ctrl-Break, либо Ctrl-Q. Часто для окончания работы с программами следует ввести с клавиатуры команды EXIT или QUIT, иногда достаточно нажать клавишу "Esc" или указать курсором на значок прекращения работы программы;

в) зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них;

г) определить наличие у компьютера внешних устройств-накопителей информации на жестких магнитных дисках (винчестера) и виртуального диска;

д) определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе) результаты своих действий, после чего разъединить сетевые кабели так, чтобы никто не мог изменять или стереть информацию в ходе обыска (например, отключить телефонный шнур — не шнур питания! — из модема).

е) скопировать программы и файлы данных, хранимые на виртуальном диске, на магнитный носитель. Копирование осуществляется стандартными средствами ЭВМ или командой DOS COPY;

ж) выключить подачу энергии в компьютер и далее действовать по схеме "компьютер не работает". Если компьютер не работает, следует:

а) точно отразить в протоколе и на прилагаемой к нему схеме местонахождение компьютера и его периферийных устройств (печатающее устройство, дисководы, дисплей, клавиатуру и т. п.);

б) точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения. Удачным решением является точная маркировка каждого кабеля и устройства, а также портов, с которым кабель соединяется перед разъединением. Следует маркировать каждый незанятый порт как "незанятый";

в) с соблюдением всех возможных мер предосторожности разъединить устройства компьютера, предварительно обесточив его. Следует помнить, что матричные принтеры оставим.: 5.1.5. Описание действия важнейших клавиш клавиатуры.

ляют следы на красящей ленте, которая может быть восстановлена в ходе ее дальнейшего экспертного исследования;

г) упаковать раздельно (с указанием в протоколе и на конверте места обнаружения) носители на дискетах и магнитных лентах (индивидуально или группами) и поместить их в оболочки, не несущие заряда статического электричества;

д) упаковать каждое устройство и соединительные кабели, провода, имея в виду необходимость аккуратной транспортировки компьютерной техники;

е) защитить дисководы гибких дисков согласно рекомендациям изготовителя. Некоторые из них предлагают вставлять новую дискету или часть картона в щель дисковода;

ж) Особенной осторожности требует транспортировка винчестера. Некоторые системы безопасной остановки ("парковки") винчестера автоматически срабатывают каждый раз, когда машина выключается пользователем, но в некоторых системах может требоваться специальная команда компьютеру.

Если в ходе осмотра и изъятия все же понадобится запуск компьютера,, это следует делать во избежание запуска программ пользователя с помощью собственной загрузочной дискеты.