§ 2. Следы криминальной деятельности  на машинных носителях

Так как отмечалось ранее, противоправные действия с компьютерной информацией включают в себя неправомер­ный доступ к ней с помощью компьютерной техники (в том числе, уничтожение, блокирование, модификацию либо копирование информации) и создание, использова­ние и распространение вредоносных программ для ЭВМ. Характерной особенностью данного вида деятельности яв­ляется то обстоятельство, что место совершения непосред­ственно преступных действий и место, где наблюдаются и материализуются его результаты, могут находиться на зна­чительном расстоянии (например, в разных точках земного шара) друг от друга. Поэтому при неправомерном доступе и распространении вредоносных программ, а также при нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети, следовая картина включает в себя:

а) следы на машинных носителях, посредством которых действовал преступник на своем рабочем месте;

следы на «транзитных» машинных носителях, посредст­вом которых преступник осуществлял связь с информа­ционными ресурсами, подвергавшимися нападению;

в) следы на машинных носителях информационной систе­мы, в которую осуществлен неправомерный доступ.

Следы преступной деятельности на машинных носите­лях, находящихся у преступника и вокруг его ЭВМ (рис. 20, 21) могут быть зафиксированы в ходе расследования. Поясним значение и содержание некоторых из них.

Изменения в ОЗУ, как уже отмечалось, можно зафик­сировать лишь в ходе следственного осмотра технических

14s18»22.830111 130.92.6.97.603 » eer-ver-logins S 1382726963:1382726963(0) win 4096

14:18(33.886138 130.92.6.97.604 »

eer-ver-. logins S 1382726964s1382736964(0> win,

4096

14«18.32.943514 130.92.6.97.605 »

ger-ver. logins S 1 38272696 5 s 1382726965 (0) win

4096

14s18«23.002715 130.92.6.97.606 >

eer-ver . logins S 1382726966; 1382726966 (0) •win

4096 '

14<18<23.103275 130.92.6.97.607 >

ser-ver-. logins S 1 3 8272 6967 s 1382726967 ( О ) win

4096

14.18«23.163781 130.93-6.97.608 •>

eer-vex-. login; S 1382726968 г 1382726968 < 0) win

4096

14t18i33.335384 130.92.6.97.609 »

•ex-vex-, logins S 1382726969 г 1382726969 (0) win

4096 '

14 s18i23-282625 130.93.6.97.610 >

sex-ver. login: S 1382726970 s 1382726970 (0) win

4096

14 «3.S <33 .342657 130.92-6.97.611 »

eel-ver. logins S 1382726971: 1382726971 <0) win

4096

14:18<23.403083 130.92.6.97.612 > .. ... .

sec-vec . login; S 1382726972 s 1382726972 (0> win

4096

14:ISi23.903700 130.92.6-97.613 >

ser-ver-. logins S 13 82726973 s 1382726973 <0) win

4096

Рис. 19. Пример фиксации с помощью специальной программы, разработанной экспертом по информационной безопасности, результатов наблюдения за действиями хакера, проникшего в ЭВМ

устройств в случаях, когда они на момент осмотра включе­ны, т.е. фактически преступник пойман на месте и осмотр Устройств является действием, сопутствующим задержа­нию. В иных случаях информация в ОЗУ быстро изменя­йся в ходе исполнения программ и о результатах ее испол­нения можно судить лишь по показаниям очевидцев. Спе­циальным случаем фиксации изменений в ОЗУ являются оперативные или следственные мероприятия, обеспечи­вающие наблюдение за криминальными действиями и

Рис. 20.

Виды следов преступной деятельности в ЭВМ и на машинных носителях, принадлежащих преступнику

вывод данных из ОЗУ на долговременный носитель инфор­мации. В примере, приведенном нами (рис. 19)' с указа­нием по минутам фиксировались действия хакера, вторг­нувшегося в информационную систему и зондирующего ее.

Следы изменений в файловой системе могут наблюдать­ся как в ходе изменений непосредственно пользователем или администратором системы, а в случае следственно-оперативных мероприятий и следственными работниками, с помощью соответствующих программных средств. Ре­зультаты изменений могут быть зафиксированы на долгов-

' Медведовский И.Д., Семьянов П. В., Платонов В.В. Указ. соч. С. 119-134.

Рис.21.

 Виды следов преступной деятельности возле ЭВМ и на машинах носителях, принадлежащихпреступнику.

ременный носитель специальными программно-техничес­кими средствами контроля доступа', а также установлены при сравнении копий, сохраненных в результате резервно­го копирования файлов и их структуры. Явными следами криминальных действий являются обнаруженные на кон­кретном машинном носителе копии «чужих» файлов, спе-

Сетевые атаки и средства борьбы с ними // ComputerWeekly. 1998. № 14. С. 14, 15, 16, 44.

Рис. 22.

Виды следов преступной деятельности возле ЭВМ и на машинных носителях, принадлежащих потерпевшему

циализированное программное обеспечение, предназна­ченное для «взлома» систем и файлов и др. Сходные следы могут быть обнаружены и на машинных носителях, в которые проник преступник (рис. 22).

Особую группу следов, которые могут стать важными доказательствами по делу, образуют материалы и устройст­ва, которые могут быть обнаружены возле ЭВМ, использу­ющейся для преступной деятельности (рис 21). Из приве­денного здесь перечня многие материалы могут стать как прямыми, так и косвенными данными, устанавливающи­ми

факты неправомерного доступа, изготовления и рас­пространения вредоносных программ и др.

Для указанных разновидностей криминальных действий, а также для противоправных действий в области телеком­муникаций' существенными являются следы криминаль­ной активности на «транзитных» машинных носителях — в линиях электросвязи (рис 23).