Ответы на вопросы по компьютерно-технической тематике
В случае если существует вероятность, что в скором будущем информация, хранящаяся на накопителях информации в компьютере будет подвергнута исследованию в рамках компьютерно-технической экспертизы, то крайне не рекомендуется включать и тем более использовать его для работы, поскольку различные системные журналы как операционной системы, так и программного обеспечения могут потерять криминалистически важную информацию о различных операциях пользователя в связи со спецификой ее хранения, также в ходе работы снижается вероятность восстановления удаленной информации и ее целостность. В редких случаях сам накопитель может выйти из строя, потеряв тем самым ту важную информацию, по которой Вы планировали провести судебное или внесудебное исследования.
Для того чтобы идентифицировать файлы, которые передаются на исследование, достаточно указывать значение их хеш-функций по любому из алгоритмов хеширования (например MD5) и размер файла в байтах во избежание коллизий.
Делать выводы о вредоносности программного обеспечения или о том, что представленные объекты являются контрафактом, эксперт не вправе. Однако в рамках экспертизы при правильной постановке вопросов возможно установить признаки как вредоносности, так и контрафактности, которые уже впоследствии помогут суду в окончательной классификации исследуемых объектов.
Проведение повторного исследования возможно при соблюдении экспертом методик исследования, позволяющих сохранить объект в том виде, котором он был перед исследованием. Для этого при подключении исследуемого НЖМД стоит использовать аппаратные или программные блокираторы, позволяющие работать с исследуемом накопителем информации в режиме «только чтение», и тем самым не вносить изменения в информацию, имеющую криминалистическое значение. Во избежание возможного выхода из строя исследуемого накопителя, следует снимать образ или делать клонирование накопителя и все исследования проводить уже на них. Исключением является восстановление удаленной информации, поскольку проводить восстановление с образов и клонов накопителя некорректно, и может привести к тому, что эксперт проведет экспертизу не в полном объеме.