Форензика
Форензика (компьютерная криминалистика) является прикладной наукой о раскрытии и расследовании преступлений, связанных с компьютерной информацией, о методах получения и исследования доказательств, имеющих форму компьютерной информации (так называемых цифровых доказательств), о применяемых для этого технических средствах.
Предметами форензики являются:
— криминальная практика — способы, инструменты совершения соответствующих преступлений, их последствия, оставляемые следы, личность преступника;
— оперативная, следственная и судебная практика по компьютерным преступлениям;
— методы экспертного исследования компьютерной информации и, в частности, программ для ЭВМ;
— достижения отраслей связи и информационных технологий (ИТ), их влияние на общество, а также возможности их использования как для совершения преступлений, так и для их предотвращения и раскрытия. Традиционные разделы криминалистики — дактилоскопия, баллистика, токсикология — развиваются уже более ста лет. В них не только накоплен большой опыт и отточены методики исследования. Некоторые особенности криминалистических технологий отражены в законодательстве. Например, законодательством прямо предусматривается взятие отпечатков пальцев и отстрел оружия в определённых случаях. Компьютерная криминалистика только что родилась. Опыт и инструментарий её пока невелик. А требования законодательства совсем не заточены под особенности применяемых технологий, и даже иногда препятствуют их использованию.
Форензика оказалась почти не связанной с другими разделами криминалистики. Разве что прослеживается некоторая связь с технико-криминалистическим исследованием документов — компьютеры и компьютерная периферия широко применяются для подделки традиционных, бумажных документов.
Внутри форензики уже наметился один обособленный раздел — исследование программ для ЭВМ. Изучение устройства программ по исполняемому коду, методы создания вредоносных программ и противодействия им — это требует своих методов, существенно отличающихся от прочих методов форензики, применяемых для поиска, сбора и исследования цифровых доказательств. Хорошие специалисты по вредоносным программам, как правило, имеют узкую специализацию и не занимаются ничем иным — ни восстановлением скрытой информации, ни фиксацией короткоживущих данных, ни трассировкой источника DoS-атаки. И напротив, эксперт, специализирующийся на исследовании информационного содержимого компьютеров, вряд ли возьмётся за исследование неизвестного компьютерного вируса.
Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensics). Применяемые методы в том и в другом случае действительно отличаются. Наряду с общенаучными форензика применяет и специальные методы исследования, свойственные только ей. Назовем некоторые из этих методов.
— Создание и применение специализированных криминалистических информационных систем; перенастройка и использование в своих целях систем двойного назначения.
— Использование в целях обнаружения или исследования доказательств публичных поисковых систем (таких как «Google»), а также поисковых систем специального назначения (типа «Эшелон»).
— Создание виртуальной личности для целей проведения с её помощью ОРМ и агентурной работы.
— Сбор хэш-функций известных файлов для отделения их от файлов, содержащих оригинальную пользовательскую или модифицированную информацию.
— Архивирование полного содержимого носителей для целей последующего расследования возможных инцидентов.
— Эмулирование сетевых сервисов для исследования поведения подозрительных программ в лабораторных условиях.