Читаем Следственные действия: психология, тактика, технология полностью

Если компьютер подключён к локальной сети, то необходимо: установить количество подключённых к файл-серверу рабочих станций или компьютеров, вид связи сети, количество файл-серверов в сети; по возможности организовать параллельный осмотр включённых в локальную сеть рабочих станций и компьютеров (по вышеизложенной схеме осмотра работающего компьютера). Если же такая возможность отсутствует, то надо обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера.

При осмотре неработающего компьютера требуется: определить местонахождение компьютера и его периферийных устройств (печатающего устройства, дисплея, клавиатуры, дисководов и прочего) с обязательным указанием в протоколе наименования, номера, модели, формы, цвета каждого из них; установить порядок соединения между собой вышеуказанных устройств, количество соединительных разъёмов, их спецификации, виды проводов и кабелей, их цвет и количество, выяснить, подключён ли данный компьютер в сеть, и если да, то в какую именно и каковы способ и средства его подключения; проверить красящую ленту матричного принтера, на которой могут быть обнаружены следы текста.

В современных СКТ объём хранимой информации огромен и разнообразен. Поэтому выбор интересующих сведений становится весьма трудоёмким. Однако современные программные средства предоставляют широкий спектр возможностей не только пользователю, но и преступнику и следователю.

Многие текстовые и финансовые программы сохраняют список документов последних сеансов работы и могут их мгновенно вызвать, если, конечно, они не удалены или не перемещены в другое место. На диске компьютера пользователи обычно сохраняют документы в каталогах (папках) со стандартными названиями: Мои документы, Архив, Петров, Шек (пользователь). Файлы документов имеют в названии характерное уточнение ("расширение"), т.е. часть имени, которая стоит после точки в названии файла, - письмо.txt, сведения.doc, платёж.xls, архив98.zip, входящие.arj, счета.rar и т. п. Значительный интерес могут составить базы данных или данные из программы-"ежедневника", которые являются компьютерным аналогом записной книжки с адресами. Все компьютерные файлы хранят дату последнего изменения, а после некоторых программ - и дату первоначальной записи файла под этим именем. Мощные программы при сохранении файла приписывают к полезной информации дополнительную информацию (служебные данные, которые удаётся выявить при необходимости специальными программами просмотра).

Имеются в виду сведения о зарегистрированном владельце или организации (если владелец ввёл такие данные при установке программы), об установленном принтере. Иногда внутрь файла попадает "соседняя" информация из документа, который обрабатывался в памяти параллельно.

Автоматический поиск среди огромного объёма информации на диске помогают вести программы поиска документов по имени файла или по дате, размеру и даже по словам в тексте документа. Часть информации хранится в сжатом виде, и её прямой просмотр невозможен. Однако существуют программы поиска и в таких сжатых файлах. Ко многим шифровальным защитам документов и сжатым архивам известны программы подбора "забытых" паролей.

Обычный, не искушённый в тонкостях пользователь, как правило, не догадывается, что фрагменты или целые файлы, которые программы создают как временную подсобную базу для работы, нередко остаются на диске и после окончания работы. Во всяком случае такие хранилища обрывков временных файлов целесообразно проверять при производстве следственного осмотра. Популярный программный пакет Microsoft Office после установки на компьютере ведёт негласный файл-протокол, куда заносит дату и время всех включений компьютера. Программы связи и работы с сетью запоминают адреса многих Интернет-контактов пользователя, документы электронной почты с адресами отправителя.

Если пользователь не попросит иначе, то современные операционные системы удаляют файлы не "начисто", а сначала в "корзину", в некий чулан для хлама, просмотрев который информацию можно восстановить.

Но даже в случае удаления файла, минуя корзину, остаётся вероятность восстановления, поскольку место его на диске не очищается, а только помечается как неиспользованное.

Остающиеся на месте осмотра СКТ можно опечатать путём наклеивания листа бумаги с подписями следователя и понятых на разъёмы электропитания, на крепёж и корпус. Не допускается пробивать отверстия в магнитных носителях, ставить на них печати. Пояснительные надписи на этикетку для дискет наносятся фломастером (но не авторучкой) или жёстким карандашом.