Форензика

Форензика



Форензика (компьютерная криминалистика) является прикладной наукой о раскрытии и расследовании преступлений, связанных с компьютерной информацией, о методах получения и исследования доказательств, имеющих форму компьютерной информации (так называемых цифровых доказательств), о применяемых для этого технических средствах.


Предметами форензики являются:


— криминальная практика — способы, инструменты совершения соответствующих преступлений, их последствия, оставляемые следы, личность преступника;

— оперативная, следственная и судебная практика по компьютерным преступлениям;

— методы экспертного исследования компьютерной информации и, в частности, программ для ЭВМ;

— достижения отраслей связи и информационных технологий (ИТ), их влияние на общество, а также возможности их использования как для совершения преступлений, так и для их предотвращения и раскрытия. Традиционные разделы криминалистики — дактилоскопия, баллистика, токсикология — развиваются уже более ста лет. В них не только накоплен большой опыт и отточены методики исследования. Некоторые особенности криминалистических технологий отражены в законодательстве. Например, законодательством прямо предусматривается взятие отпечатков пальцев и отстрел оружия в определённых случаях. Компьютерная криминалистика только что родилась. Опыт и инструментарий её пока невелик. А требования законодательства совсем не заточены под особенности применяемых технологий, и даже иногда препятствуют их использованию.


Форензика оказалась почти не связанной с другими разделами криминалистики. Разве что прослеживается некоторая связь с технико-криминалистическим исследованием документов — компьютеры и компьютерная периферия широко применяются для подделки традиционных, бумажных документов.


Внутри форензики уже наметился один обособленный раздел — исследование программ для ЭВМ. Изучение устройства программ по исполняемому коду, методы создания вредоносных программ и противодействия им — это требует своих методов, существенно отличающихся от прочих методов форензики, применяемых для поиска, сбора и исследования цифровых доказательств. Хорошие специалисты по вредоносным программам, как правило, имеют узкую специализацию и не занимаются ничем иным — ни восстановлением скрытой информации, ни фиксацией короткоживущих данных, ни трассировкой источника DoS-атаки. И напротив, эксперт, специализирующийся на исследовании информационного содержимого компьютеров, вряд ли возьмётся за исследование неизвестного компьютерного вируса.


Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensics). Применяемые методы в том и в другом случае действительно отличаются. Наряду с общенаучными форензика применяет и специальные методы исследования, свойственные только ей. Назовем некоторые из этих методов.


— Создание и применение специализированных криминалистических информационных систем; перенастройка и использование в своих целях систем двойного назначения.

— Использование в целях обнаружения или исследования доказательств публичных поисковых систем (таких как «Google»), а также поисковых систем специального назначения (типа «Эшелон»).

— Создание виртуальной личности для целей проведения с её помощью ОРМ и агентурной работы.

— Сбор хэш-функций известных файлов для отделения их от файлов, содержащих оригинальную пользовательскую или модифицированную информацию.

— Архивирование полного содержимого носителей для целей последующего расследования возможных инцидентов.

— Эмулирование сетевых сервисов для исследования поведения подозрительных программ в лабораторных условиях.



Report Page