3.3.1.1.1. Поиск и изъятие информации и следов воздействия на нее в ЭВМ и ее устройствах

Поиски информации и программного обеспечения гораздо более сложны, поскольку всегда требуют специальных познаний. Существует фактически два вида поиска:

1) поиск, где именно искомая информация находится в компьютере на месте осмотра, и

2) поиск, где еще разыскиваемая информация могла быть сохранена.

В компьютере информация может находиться непосредственно в оперативном запоминающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешних запоминающих устройствах (ВЗУ) — накопителях на жестких магнитных дисках, оптических дисках, дискетах, магнитных лентах и др.

Напомним, что при включении компьютера в работу электронные устройства персонального компьютера образуют в нем определенный объем так называемой "оперативной памяти" (ОЗУ), которая предназначена для проведения в ней операций над информацией и программами и сохраняет эти программы и информацию в процессе работы. При включении персонального компьютера и /или окон-

чании работы с конкретной программой/данными ОЗУ очищается и готово для ввода новых программ/данных.

Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на экране дисплея.

Если компьютер не работает, информация может находиться на ВЗУ и других компьютерах информационной

системы или в "почтовых ящиках" электронной почты или сети ЭВМ.

Как известно, информация в ВЗУ хранится в виде файлов, упорядоченных по каталогам (директориям). Детальный осмотр файлов и структур их расположения целесообразно осуществлять с участием специалистов в лабораторных условиях или на рабочем месте следователя. Предпочтительно изучать не подлинники ВЗУ, а их копии, изготовленные системными средствами.

Следует обращать внимание на поиск так называемых "скрытых" файлов и архивов, где может храниться важная информация. При обнаружении файлов с зашифрованной информацией или требующих для просмотра стандартными программами ввода паролей, следует направлять такие файлы на расшифровку и декодирование пароля соответствующим специалистам.

Периферийные устройства ввода-вывода могут также некоторое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы глубокие специальные познания.

Так же как и в случае с ОЗУ, данные, найденные в ПЗУ, целесообразно в ходе осмотра выводить на печатающие устройства и хранить на бумажных носителях в виде приложений к протоколу осмотра.

Изъятие данных в "почтовых ящиках" электронной почты может осуществляться по правилам наложения ареста и выемки почтово-телеграфной корреспонденции.

Осмотр компьютеров и изъятие информации производится в присутствии понятых, которые расписываются на распечатках информации, изготовленных в ходе осмотра.

Считаем полезным для следователя иметь с собой при проведении названных следственных действий дискету с набором сервисных программ, обеспечивающих:

а) определение свойств и качеств компьютера;

б) проверку исправности отдельных устройств и внешней памяти;

в) работу с файлами;

г) инструмент, для поиска скрытой или удаленной информации.

Подбор таких программ производится опытным путем.