Устройство дублирования информационных носителей для проведения компьютерных судебных криминалистических экспертиз

Изобретение относится к области криминалистики и судебной экспертизы, а именно к устройству для проведения экспертиз и экспертных исследований электронных носителей информации. Техническим результатом является обеспечение повышения достоверности результатов экспертизы за счет исключения возможности записи информации на ЭНИ во время подготовки к экспертизе и при ее проведении. Автоматизированное рабочее место для проведения криминалистических экспертиз электронных носителей информации (ЭНИ) состоит из персональной электронно-вычислительной системы (ПЭВМ) и универсального стенда для исследования ЭНИ, причем стенд дополнительно содержит модуль блокирования записи, который представляет собой совокупность s каналов, образуемых из последовательно соединенных линии задержки и управляемого размыкателя, устройства сравнения и регистра команды. Входы 1-го - s-го каналов подключены соответственно к 1-му - s-му первым входам устройства сравнения, ко вторым 1-му - s-му входам которого подключены 1-й - s-й выходы регистра команды. Выход устройства сравнения подключен к управляющим входам всех управляемых размыкателей. 4 ил.

 

Предлагаемое устройство относится к области криминалистики и судебной экспертизы, а именно к использованию электронных средств для повышения оперативности и объективности проведения экспертиз и экспертных исследований информационных носителей за счет автоматизации ряда операций.

Предложенное устройство позволяет с высокой надежностью оперативно создавать информационную копию электронного носителя информации (ЭНИ), при этом количественные и качественные характеристики ЭНИ не изменяются, что имеет решающее значение для обеспечения законной силы результатов процедуры судебной экспертизы.

Одним из родов судебной экспертизы является компьютерная экспертиза (КЭ). На данном этапе развития КЭ - самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз и проводимый в целях: определения статуса объекта как компьютерного средства, выявления и изучения его следовой картины в расследуемом преступлении, а также получения доступа к компьютерной информации на информационных носителях с последующим всесторонним ее исследованием. Указанные цели представляются родовыми задачами КЭ [1]. При этом в качестве информационных носителей при данном виде экспертиз выступают электронные носители информации (ЭНИ).

Процесс собирания доказательств по преступлениям, сопряженным с использованием компьютерных средств, включает в себя, прежде всего, обнаружение, фиксацию и изъятие компьютерной информации. Тактика следственных действий по раскрытию и расследованию преступлений в обсуждаемом случае неразрывно и напрямую зависит от используемых специальных средств и инструментов. Эти технические средства должны быть предназначены для поиска и предварительного исследования ЭНИ, которые впоследствии могут приобрести статус вещественных доказательств. Приборы, аппаратуру, оборудование, инструменты, принадлежности, применяемые для собирания и исследования доказательств в процессе судопроизводства, принято обозначать как «криминалистическая техника».

Первичную основу рассматриваемого класса криминалистической техники составляют аппаратно-программные средства, приемы и методы, заимствованные из таких областей науки и техники, как вычислительная техника и программирование, радиотехника и электроника, вычислительные сети и телекоммуникации, криптография и защита информации.

Постепенно криминалистическая техника пополняется средствами, приемами и методами, специально разработанными для целей исследования и раскрытия преступлений в сфере компьютерной информации.

На сегодняшний момент типовым технико-криминалистическим оснащением собирания компьютерной информации являются следующие средства [2]:

- персональный портативный компьютер (ПК), с достаточным быстродействием и объемом оперативной памяти, обладающий возможностями предварительного полного физического копирования исследуемых носителей данных (в т.ч. жестких дисков) на рабочий винчестер соответствующей емкости (часто в съемном варианте);

- установленные на указанном ПК операционная система Windows 98 (2000) с набором системных и прикладных утилит (например, Norton SystemWork); файловые диспетчеры (в т.ч. с поддержкой MS DOS-сессий), расширенное прикладное программное обеспечение (MS Office, графические пакеты (PhotoShop, Corel-Draw) и пр.;

- комплект пустых CD и/или CD-R;

- устройство CD-RW для записи на компакт-диски;

- необходимые кабели сопряжения (в т.ч. нуль-модемный кабель);

- набор CD и дискет (загрузочных и с сервисными утилитами) для определения конфигурации исследуемого персонального компьютера, его характеристик;

- набор CD и дискет с программами вирусной диагностики;

- упаковочный материал: жесткие коробки для упаковки изымаемых системных блоков и носителей данных; антистатические пакеты для носителей данных, полиэтиленовые пакеты и холщовые мешки; бумага для опечатывания разъемов, клей, липкая лента;

- вспомогательный инструменты - электронный тестер, отвертки, плоскогубцы и пр. (например, для отключения разъемов, вскрытия кожухов системных блоков, изъятия жестких дисков).

Средства исследования информации, хранящейся в электронной форме, должны обеспечивать [3]:

- техническую возможность доступа к информации, содержащейся в объекте исследования (жесткие диски компьютеров, гибкие магнитные диски, магнитооптические диски, кассеты стриммеров, оптические диски, флеш-память и другие средства хранения информации);

- фиксацию информации, не разрушая и не изменяя объекта исследования (например, на жестких дисках лабораторных компьютеров, записываемых оптических дисках);

- преобразование информации в форму, доступную для восприятия экспертом (программное обеспечение для поиска и визуализации информации).

Эти задачи решаются совместно техническими и программными средствами обеспечения исследований.

Таким образом, можно сделать вывод о том, что методика решения любой задачи при компьютерной экспертизе должна уточняться при появлении нового поколения аппаратного обеспечения или новых версий программного обеспечения [4, 5].

Благодаря наличию высококлассных специалистов в ряде ведущих экспертных организаций отрабатываются технологии проведения практических работ по проведению криминалистических экспертиз ЭНИ. Для этого проводится целый комплекс специфических нетиповых работ, разрабатывается и осваивается соответствующий инструментарий.

Результатом соответствующих работ являются АРМ (программные или программно-аппаратные комплексы) для всех конкретных видов работ.

Методические наработки и средства автоматизации, аккумулирующие в себе знания и опыт уникальных высококлассных специалистов, позволяют повышать уровень решения вопросов КЭ малыми силами на местах, путем поручения этих задач малочисленным группам или отдельным штатным экспертам.

Одним из таких АРМ является система ПРОПЛАН.

Автоматизированное рабочее место ПРОПЛАН для проведения компьютерной экспертизы представляет собой специализированный программно-технический комплекс, обеспечивающий автоматизацию деятельности эксперта и его рабочего места при КЭ.

Техническая часть комплекса представляет собой:

- стенд для исследования информационных носителей,

- ПЭВМ для обработки данных исследования и подготовки экспертного заключения.

Программная часть комплекса состоит из набора общего и специального программного обеспечения (ОМО и СМО).

В качестве СМО используется «ПРОфессиональная система для решения Поисковых задач и Логического АНализа машинных носителей информации» («ПРОПЛАН»).

Основным недостатком указанного АРМ является невозможность подключения ЭНИ новых типов, появившихся после его создания, и невозможность его модернизации для устранения указанного недостатка в силу ограниченности числа кодов системных прерываний, соответствующих максимальному числу подключаемых внешних устройств.

Указанный недостаток устранен в АРМ для проведения криминалистических экспертиз ЭНИ [6].

АРМ для проведения криминалистических экспертиз ЭНИ состоит из стенда для исследования ЭНИ и ПЭВМ для обработки данных исследования и подготовки экспертного заключения. Стенд для исследования ЭНИ состоит из управляемого коммутационного устройства, обеспечивающего возможность сопряжения электронного носителя информации и ПЭВМ по информационным шинам и шинам управления, и источника регулируемого напряжения, при этом управляемое коммутационное устройство имеет m+n входов/выходов и представляет собой набор из m·n управляемых вентилей, образующих коммутационную матрицу размерности m×n, соединяющую 1÷m и (m+1)÷(m+n) входы/выходы таким образом, что каждый i-й вход/выход соединен с j-м входом/выходом посредством управляемого ij-го вентиля, при этом m=k+1, числа k и n соответствуют максимальным значениям чисел контактов разъемов ПЭВМ и электронного носителя информации соответственно; в свою очередь управляемый вентиль состоит из двух управляемых усилителей (УУ), а также двух неуправляемых вентилей (НУВ), причем выходы управляемых усилителей подключены ко входам неуправляемых вентилей, а выходы неуправляемых вентилей соединены со входами управляемых усилителей таким образом, что образуется замкнутое кольцо из четырех элементов; точки соединения входов управляемых усилителей и выходов неуправляемых вентилей служат входами/выходами управляемых вентилей; выход источника регулируемого напряжения подключается к m-му входу управляемого коммутационного устройства, 1÷k входы/выходы управляемого коммутационного устройства подключаются к контактам разъема ПЭВМ, (m+1)÷(m+n) входы/выходы управляемого коммутационного устройства подключаются к контактам разъема электронного носителя информации.

Основным недостатком указанного АРМ является потенциальная возможность несанкционированной записи на ЭНИ информации во время подготовки к экспертизе и при ее проведении из-за особенностей взаимодействия ПЭВМ и ЭНИ (обусловленных алгоритмическими особенностями функционирования операционной системы ПЭВМ, а также служебных и прикладных программ, выполняемых на ПЭВМ при подключенном ЭНИ) и ошибок экспертов и вспомогательного технического персонала. При появлении на ЭНИ записей, датированных после его изъятия, результаты экспертизы могут быть опротестованы и признаны недействительными.

Данное АРМ выбрано в качестве прототипа.

Целью изобретения является исключение возможности записи информации на ЭНИ во время подготовки к экспертизе и при ее проведении, что позволит повысить достоверность результатов экспертизы.

Сущность изобретения: устройство, состоящее из ПЭВМ и универсального стенда для исследования ЭНИ, отличается тем, что универсальный стенд, состоящий из управляемого коммутационного устройства (УКУ), обеспечивающего возможность сопряжения ЭНИ и ПЭВМ, и источника регулируемого напряжения (ИРН) дополнен Модулем блокирования записи, основой которого является набор из s каналов, каждый из которых представляет собой цепочку из последовательно соединенных Линии задержки и Управляемого размыкателя. Кроме того, в состав Модуля блокирования записи входят Устройство сравнения и Регистр команды. Шины управления ПЭВМ и ЭНИ соединяются через Модуль блокирования записи. При появлении на входе s каналов совокупности сигналов, соответствующих команде «запись», вырабатывается сигнал управления, обеспечивающий блокирование поступления данной команды на выходы s каналов, что обеспечивает невозможность записи на ЭНИ какой-либо информации. Число s равно числу шин управления ЭНИ, размыкание каналов выполняется по команде от Устройства сравнения, формируемой при совпадении совокупности сигналов на входе s каналов с содержимым Регистра команды. Линии задержки выполняют задержку сигналов на интервал времени, равный быстродействию Устройства сравнения.

Перечень фигур:

Фиг.1 - Схема Устройства дублирования информационных носителей для проведения компьютерных судебных криминалистических экспертиз. Показаны основные элементы устройства и связи между ними.

Фиг.2 - Схема управляемого коммутационного устройства. Показан принцип построения коммутационной матрицы размерностью m×n, состоящей из mn управляемых вентилей, а также входы и выходы управляемого коммутационного устройства.

Фиг.3 - Схемы управляемого вентиля. Показан состав управляемого вентиля, а также соединения между элементами, входящими в его состав.

Фиг.4 - Схемы модуля блокирования записи. Показан состав модуля блокирования записи, а также соединения между элементами, входящими в его состав.

Поставленная цель достигается тем, что Устройство дублирования информационных носителей для проведения компьютерных судебных криминалистических экспертиз состоит из:

- Универсального стенда для исследования ЭНИ;

- ПЭВМ 1 для подготовки и хранения методических указаний, обработки данных исследования и подготовки экспертного заключения (см. фиг.1).

Универсальный стенд для исследования ЭНИ представляет собой совокупность Управляемого коммутационного устройства (УКУ) 2, обеспечивающего возможность сопряжения ЭНИ и ПЭВМ 1 по информационным шинам и шинам управления (при этом термин «сопряжение» означает обеспечение электрического соединения и согласование уровней сигнала), Источника регулируемого напряжения (ИРН) 3, позволяющего обеспечить питание УКУ и ЭНИ (через УКУ), и Модуля блокирования записи 4, обеспечивающего блокирование поступления команды «запись» на входы ЭНИ (см. фиг.1).

УКУ 2 имеет m+n входов/выходов (ВВ) и представляет собой набор из m·n управляемых вентилей (УВ) 5, образующих коммутационную матрицу размерности m×n, соединяющую 1÷m и (m+1)÷(m+n) ВВ (см. фиг.2) таким образом, что каждый i-й ВВ соединен с j-м ВВ посредством УВ 5.ij. При этом m=k+1, числа k и n соответствуют максимальным значениям чисел контактов разъемов ПЭВМ и ЭНИ соответственно.

УВ 5 предназначен для обеспечения возможности сопряжения ЭНИ и ПЭВМ 1 по информационным шинам и шинам управления, а также обеспечения возможности подвода электрического питания от ИРН к ЭНИ.

УВ 5 состоит из двух управляемых усилителей (УУ) 6 и 9, а также двух неуправляемых вентилей (НУВ) 7 и 8, причем выходы УУ 6 и 9 подключены ко входам НУВ 7 и 8 соответственно, а выходы НУВ 7 и 8 соединены со входами УУ 9 и 6 соответственно. Точки соединения входов УУ и выходов НУВ служат входами/выходами УВ 5 (см. фиг.3).

ИРН 3 представляет блок питания, обеспечивающий возможность формирования напряжения, величина которого не меньше необходимого для питания ЭНИ.

Модуль блокирования записи 4 представляет собой совокупность s каналов, каждый из которых представляет собой цепочку из последовательно соединенных Линии задержки 10 и Управляемого размыкателя 11, Устройства сравнения 12 и Регистра команды 13.

Входы 1-го - s-го каналов подключены соответственно к 1-му - s-му первым входам Устройства сравнения 12, ко вторым 1-му - s-му входам которого подключены 1-й - s-й выходы Регистра команды 13. Выход Устройства сравнения 12 подключен к управляющим входам всех Управляемых размыкателей 11.

Линия задержки 10 представляет собой устройство, осуществляющее задержу во времени водного сигнала на время, равное быстродействию Устройства сравнения 12, что обеспечивает исключение поступления команд управления на вход ЭНИ до принятия решения Устройством сравнения 12 (см. фиг.4).

Управляемый размыкатель 11 представляет собой проводимость, сопротивление которой резко увеличивается по команде, поступающей на управляющий вход. Механическим аналогом Управляемого размыкателя 11 является реле. При поступлении команды на управляющий вход Управляемого размыкателя 11.i соединение ЭНИ с ПЭВМ 1 по i-му каналу прерывается.

Устройство сравнения 12 представляет собой устройство с 2s входами, при попарном совпадении всех входных сигналов на первых и вторых s входах на выходе Устройства сравнения 12 вырабатывается управляющий сигнал, поступление которого на входы Управляемых размыкателей 11 приводит к рассоединению ЭНИ с ПЭВМ 1 по шинам управления.

Регистр команды 13 представляет собой регистр, состоящий из s ячеек памяти, предназначен для хранения значения команды «запись».

Принцип действия Устройства дублирования информационных носителей для проведения компьютерных судебных криминалистических экспертиз состоит в следующем. Каждый контакт разъема ПЭВМ 1 соединяется с i-м ВВ УКУ 2. Каждый контакт разъема ЭНИ соединяется с j-м ВВ УКУ 2, причем шины управления ЭНИ соединяются через Модуль блокирования записи 4. Выход ИРН 3 подключается к m-му ВВ УКУ 2. Все УУ 9 m-го канала УКУ 2, каналов, подключенных к контактам разъема ПЭВМ 1, являющихся выходами, и каналов, подключенных к контактам разъема ЭНИ, являющихся входами, выставляются в режим нулевого усиления (на выходе УУ 9 постоянный нулевой потенциал). Все УУ 6 m-го канала УКУ 2, каналов, подключенных к контактам разъема ПЭВМ 1, являющихся входами, и каналов, подключенных к контактам разъема ЭНИ, являющихся выходами, выставляются на заданный уровень усиления (обеспечивающий согласование входных и выходных уровней сигналов ПЭВМ и ЭНИ). В Регистр команды 13 записывается значение команды «запись».

Устройство может использоваться в двух режимах:

1. Исследовательский режим;

2. Режим проведения криминалистической экспертизы ЭНИ.

В исследовательском режиме осуществление всех соединений и установления необходимых уровней напряжений осуществляется высококвалифицированным специалистом на основе изучения технических характеристик и особенностей ЭНИ. Результаты фиксируются в виде методических указаний, размещаемых в памяти ПЭВМ 1.

В режиме проведения криминалистической экспертизы ЭНИ после осуществления всех соединений и установления необходимых уровней напряжений (в соответствии с методическими указаниями) осуществляется считывание информации из памяти ЭНИ и формируется образ ЭНИ в памяти ПЭВМ 1 (оперативной или долговременной, например, на жестком магнитном диске).

В случае выставления (несанкционированного или ошибочного) на шины управления команды «запись» Устройство сравнения 12 формирует сигнал управления, который поступает на управляющие входы Управляемых размыкателей 10.1-10.s, в результате чего происходит размыкание связи ПЭВМ-ЭНИ по шинам управления и команда «запись» не выполняется.

После формирования образа (завершения дублирования) ЭНИ УКУ 2 отключается и производится отключение ЭНИ от УКУ 2 и Модуля блокирования записи 4.

Дальнейшее всестороннее исследование информации осуществляется при работе с образом ЭНИ.

Предлагаемое устройство может применяться для всех видов информационных носителей, представляющих собой ЭНИ с параллельным интерфейсом, однако, в связи с тем, что проблема доступа к информации наиболее актуальна для информационных носителей в виде накопителя на жестком магнитном диске, особое значение имеет практическое решение именно в отношении таких устройств.

Экспериментально установлено, что при использовании предлагаемого устройства совместно с ПЭВМ, работающей под управлением операционной системы Windows XP, попытка записи информации на внешний накопитель на жестком магнитном диске приводит к выводу на экран монитора сообщения «Ошибка записи», при этом информация на диск не записывается, следовательно, дублируемый информационный носитель не изменяет своего содержания.

Таким образом, цель изобретения достигнута.

СПИСОК ЛИТЕРАТУРЫ

1. Зубаха B.C., Усов А.И., Саенко Г.В., Волков Г.А., Белый С.Л., Семикаленова А.И. Общие положения по назначению и производству компьютерно-технической экспертизы: Методические рекомендации. - М.: ГУ ЭКЦ МВД России, 2000. - 65 с., 6 ил., библиограф., прил.

2. Шелудченко В.И. Технико-криминалистические средства и методы собирания компьютерной информации // Материалы Всероссийского межведомственного семинара. - Белгород: МВД РФ, 2002. - С.205-207.

3. Копытин А.В., Маршалко Б.Г., Федотов Е.Т. Судебная экспертиза ПЭВМ // Материалы Всероссийского межведомственного семинара. - Казань: МВД Республики Татарстан, 2004. - C.115

4. Айков Д., Сейгер К., Фопсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями. Пер. с англ. В.И.Воропаева и Г.Г.Трехалина. - М.: Мир, 1999.

5. Семенов Н.В., Мотуз О.В. Судебно-кибернетическая экспертиза - инструмент борьбы с преступностью XXI века // Защита информации, конфидент, 1999, 1-2.

6. Автоматизированное рабочее место для проведения криминалистических экспертиз электронных носителей информации. Патент на изобретение РФ №2297664 от 20.04.2007.

Автоматизированное рабочее место для проведения криминалистических экспертиз электронных носителей информации (ЭНИ), состоящее из Персональной электронно-вычислительной системы (ПЭВМ) 1 для обработки данных исследования и подготовки экспертного заключения, Универсального стенда для исследования ЭНИ, состоящего из Управляемого коммутационного устройства 2, обеспечивающего возможность сопряжения ЭНИ и ПЭВМ 1 по информационным шинам и шинам управления, и Источника регулируемого напряжения 3, при этом Управляемое коммутационное устройство 2 имеет m+n входов/выходов и представляет собой набор из m·n Управляемых вентилей 5, образующих коммутационную матрицу размерности m×n, соединяющую 1÷m и (m+1)÷(m+n) входы/выходы таким образом, что каждый i-й вход/выход (i∈{1,m}) соединен с j-м входом/выходом (j∈{m+1, m+n}) посредством ij-го Управляемого вентиля 5, при этом m=k+1, числа k и n соответствуют максимальным значениям чисел контактов разъемов ПЭВМ 1 и ЭНИ соответственно; в свою очередь Управляемый вентиль 5 состоит из двух Управляемых усилителей (УУ) 6 и 9, а также двух Неуправляемых вентилей (НУВ) 7 и 8, причем выходы Управляемых усилителей 6 и 9 подключены ко входам Неуправляемых вентилей 7 и 8 соответственно, выходы Неуправляемых вентилей 7 и 8 соединены со входами Управляемых усилителей 9 и 6 соответственно, а точки соединения входов Управляемых усилителей и выходов Неуправляемых вентилей служат входами/выходами Управляемых вентилей 5; выход Источника регулируемого напряжения 3 подключен к m-му входу Управляемого коммутационного устройства 2, 1÷k входы/выходы Управляемого коммутационного устройства 2 подключены к 1÷k контактам разъема ПЭВМ 1, отличающееся тем, что Универсальный стенд для исследования ЭНИ дополнительно содержит Модуль блокирования записи 4, состоящий из: s Линий задержки 10, s Управляемых размыкателей 11, s-канального Устройства сравнения 12 и s-разрядного Регистра команды 13, при этом (m+s+1)÷(m+n) входы/выходы Управляемого коммутационного устройства 2 подключаются к соответствующим контактам разъема ЭНИ непосредственно, a (m+1)÷(m+s) входы/выходы Управляемого коммутационного устройства 2 подключаются к 1÷s контактам разъема ЭНИ соответственно через 1÷s каналы Модуля блокирования записи 4, каждый из которых представляет собой последовательно соединенные Линию задержки 10 и Управляемый размыкатель 11, также входы 1÷s Линий задержки 10 подключены соответственно к первым s входам Устройства сравнения 12, ко вторым s входам которого подключены 1÷s выходы Регистра команды 13 соответственно, а выход Устройства сравнения 12 подключен одновременно к управляющим входам всех Управляемых размыкателей 11.



 

Похожие патенты:

Изобретение относится к области оптического формирования изображений и может быть использовано в системах биометрической идентификации личностей. .

Изобретение относится к смарт-карте в двухкарточной системе для использования с терминалом. .

Банкнота // 2374083
Изобретение относится к банкноте с армирующим упрочнением и средствами защиты от подделок. .

Изобретение относится к области электротехники, в частности к элементу обеспечения безопасности для радиочастотной идентификации, а также к способу изготовления указанного элемента обеспечения безопасности.

Изобретение относится к опрашиваемому по радио кодированному идентификационному элементу. .

Изобретение относится к маркеру товаров, который пригоден для бесконтактной идентификации товара, а также для защиты товара. .

Изобретение относится к способам осуществления денежных расчетов с помощью карт, выпускаемых в обращение. .

Изобретение относится к вычислительной технике и может найти использование при создании пластиковой карты, предназначенной для выполнения безналичных операций по взиманию штрафов за нарушение правил безопасности дорожного движения.

Изобретение относится к устройствам передачи информации и может быть использовано как переносное устройство передачи данных и элемент его крепления. .

Изобретение относится к считыванию информации с интеллектуальной карточки. .
Изобретение относится к способу идентификации человека. Техническим результатом является обеспечение возможности идентифицировать человека в течение жизни независимо от его возраста, состояния и дееспособности, а также повышение надежности идентификации человека. Способ оперативной, мобильной идентификации имплантированного личного идентификационного кода-имплантанта (чипкода) осуществляется мобильным телефоном-сканером, считывающим устройством, считывают персональные данные с памяти чипкода и отправляется смс-запрос в специализированную базу персональных данных, а смс-ответ сверяют с документами, при совпадении данных идентификация завершена, в случае утраты информации с памяти чипкода, например при размагничивании, идентификация осуществляется при помощи рентгеновских лучей методом просвечивания металлической части чипкода, наличие перфорации на идентификационном номере позволяет сделать это.
Наверх