К вопросу о механизме образования материальных следов компьютерных преступлений
Дата: 17.05.2005Источник: www.crime-research.ru
Автор: Виталий Козлов, к.ю.н., доцент
... каждой части каждого файла. С ее помощью операционная система определяет, какие кластеры занимает файл. Файловая система FAT32 – наиболее распространенная система на основе формата FAT. Она поддерживается операционными системами Windows 98/SE/ME/2000/XP и использует 32-разрядные идентификаторы кластеров. Максимальный размер кластеров FAT32 32 Кбайт. FAT32 может работать с 8-терабайтными томами. Windows 2000 ограничивает размер новых томов FAT32 до 32 Гбайт, хотя поддерживает существующие тома FАТ32 большего размера при условии, что они созданы в других операционных системах. FAT32 может использовать 512-байтовые кластеры для томов размером до 128 Мбайт. Файловая система FAT 32 в операционных системах семейства Windows 98 используется в качестве основной. Реализация всех существующих возможностей операционных систем семейства Windows NT (в т.ч. - Windows 2000/XP) обеспечиваются его собственной файловой системой NTFS (4 и 5). В общем случае NTFS позволяет создавать на дисках средств компьютерной техники СКТ разделы объемом до 2 Тбайт, кроме того, в нее встроены функции сжатия файлов, безопасности и аудита, необходимые при работе в сетевой среде. Дальнейшая детализация приводит к исследованию ферромагнитных доменов и явления намагничивания.Все указанные изменения имеют электромагнитную природу. Следовательно, физически РЭИ может быть обнаружена, зафиксирована и изъята с ее носителей. Для КИ таковыми являются – временные (ВЗУ) и постоянные (ПЗУ) запоминающие устройства. Для ВЗУ, преимущественно состоящих из полупроводниковых элементов, элементарными составляющими являются частицы с отрицательными и положительными элементарными электрическими зарядами (электронно-дырочные переходы). Для ПЗУ – магнитные (магнитооптические) и оптические носители КИ; в первых - носителях элементарными составляющими процесса являются ферромагнитные домены, обладающие характеристикой намагниченности; во вторых - дорожки оптического диска, обладающие характеристиками амплитуды, фазы, частоты отраженного оптического луча.
Как для ВЗУ, так и для ПЗУ происходящие процессы являются материальными проявлениями, возникающими, происходящими и прекращающимися под воздействием электромагнитного поля, которое обладает двумя характеристиками: напряженностью электрического поля и магнитной индукцией. Т.е. фактически на некоем «низшем» - «физическом уровне» СОО выступает электромагнитное поле, СВО – электронно-дырочные переходы, ферромагнитные домены и дорожки магнитного диска. Органами чувств человека такие, происходящие при следообразовании процессы, в силу незначительных параметров напряженности и магнитной индукции непосредственно не могут быть восприняты, а воспринимается опосредованно по результатам применения НТС. Таковы выводы, объективно вытекающие из анализа основных положений механизма следообразования, предложенных М.В. Салтевским.
Развивая их, логично обратиться к формам представления КИ на различных этапах ее обработки и хранения в СКТ (рис. 1.). Таковыми являются следующие.
1) Отображаемая (КИ доступна для восприятия человеком непосредственно в виде символов, графики, звука).
2) Неотображаемая логическая (КИ представлена логическими структурами компьютерных данных).
3) Неотображаемая физическая – (КИ представлена физическими структурами – электромагнитным полем, а также проводниковыми, полупроводниковыми, магнитными, магнитооптическими и оптическими носителями).
Субъект (человек) воздействует на КИ, которая находится в форме, доступной восприятию человеком → КИ преобразуется в цифровую форму, доступную для обработки программными средствами СКТ → КИ преобразуется в электромагнитный сигнал, который может быть обработан аппаратными средствами СКТ (вычисления, запись на носитель и т.д.).
Таким образом, с учетом заявленных нами ранее свойств КИ [9], применительно к процессу следообразования при совершении компьютерного преступления, можно сделать следующие основополагающие выводы.
1) Следы компьютерного преступления представляют собой разновидность РЭИ - компьютерную информацию, и являются результатом взаимодействия тел и сред; соответственно, такое взаимодействие инициирует энергетические изменения в материальных телах.
2) Воздействие человека на КИ с помощью СКТ на элементарном уровне представляет собой сигнал, имеющий электромагнитную природу, подаваемый человеком с использованием аппаратно-программных устройств - СКТ.
3) Материальные следы энергетических изменений представляют собой результат воздействия электромагнитного поля на соответствующие объекты - носители КИ, при этом происходит изменение свойств КИ (как внешних – стандартных свойств компьютерных файлов – носителей КИ, так и структурных – содержания КИ).
4) Все физические невидимые следы, имеющие электромагнитную природу, могут быть выявлены и зафиксированы с помощью соответствующей диагностической либо измерительной аппаратуры (в т.ч. - РЭИ в форме следов компьютерных преступлений).
5) Для КИ такими техническими средствами являются аппаратно-программные средства, входящие в структуру СКТ.
Последний вывод примечателен тем, что вплотную приближается к прикладным вопросам использования знаний о механизме следообразования для обнаружения, фиксации изъятия и исследования следов компьютерных преступлений, а именно – использованию для таких процессов специальных знаний и НТС. Действительно, возможно ли представить, что для исследования следов компьютерных преступлений, представляющих из себя отражение электромагнитных полей, используется пусть и доступное, но очевидно сложное и дорогостоящее оборудование? Насколько приемлемы для процесса расследования полученные таким образом результаты? Для исследования РЭИ, несущей следы преступления (например – бесконтактного перехвата компьютерной и иной информации с применением технических средств ведения разведки), в общем случае да, применительно к обоим вопросам. Для исследования же КИ - очевидно, что нет. В таком случае используются аппаратно-программно совместимые СКТ, результатом применения которых является получение КИ, имеющей полезные свойства, заключающиеся в конечном итоге в восстановлении события преступления по его следам.
С другой стороны, возможно ли изучение логических структур КИ (программ, данных, файловых систем) отдельно от физического понимания происходящих процессов и аппаратной части СКТ? Также, очевидно, нет. Следы компьютерных преступлений (КИ), воспринимаются субъектом, осуществляющим их исследование в форме, доступной для непосредственного восприятия также благодаря использованию СКТ. Возможно ли механическое разделение этих частей, если вести речь о следообразовании? Видимо нет. Существующее, ставшим классическим, деление СКТ на программную и аппаратную части изначально было достаточно условным, если речь шла непосредственно о процессе обработки и хранения КИ. Т.е. компьютер всегда представлял из себя неразрывную систему (единое целое), состоящую из аппаратной и программной частей. Следовательно, процесс следообразования при совершении компьютерного преступления происходит под воздействием СКТ как единого целого.
Эти же средства используются для исследования следовой картины преступления. Результатом является информация в форме, доступной для восприятия человеком (изображение на мониторе, распечатки, полученные с использованием принтера и т.д.). Сведения о логической и физической структурах КИ на носителях (например, особенности структурного построения файловых систем, структуры файлов данных и программ и т.д.), физических параметрах аппаратных компонентов СКТ и иные прикладные знания, доступные при взаимодействии подсистем противодействия, имеют важное прикладное значение для материалистического понимания сущности происходящих процессов, а также разработки и внедрения научно-обоснованной системы действий уполномоченных субъектов по исследованию КИ. Тем не менее, такие сведения не меняют криминалистической сущности самого механизма следообразования при совершении компьютерного преступления, которая, очевидно, состоит в том, что именно СКТ (частный случай – ЭВМ), как система устройств, реализующих логическое и одновременно физическое воздействие на КИ, является СОО. Он взаимодействует с КИ, вызывая материальные последствия, возникшие в связи с подготовкой, совершением и сокрытием компьютерного преступления, а именно - остаточные явления, представляющие собой материально фиксированные отображения на одном объекте внешнего строения (в данном случае – свойств) другого объекта. Следовательно, КИ является СВО. Соответственно следы компьютерных преступлений в общем случае являются компьютерной же информацией. Данное утверждение противоречит, например, в целом прогрессивным результатам исследований А.Г. Волеводза о том, что «аппаратные и программные компьютерные средства являются носителями следов компьютерных преступлений» [1, с. 361]. Указанные им средства являются носителями КИ в различных ее формах, а уже КИ – носителем следов.
Является ли такое понимание механизма следообразования при совершении компьютерного преступления слишком широким? Ответ на этот вопрос будет зависеть от избранной прикладной области применения знаний об исследуемом механизме следообразования, иными словами от цели деятельности ее субъекта. Мы полагаем, что применительно к процессам работы со следами компьютерного преступления в процессе его выявления и раскрытия оно достаточно. В случае иного подхода (например, в сторону усложнения – путем заимствования и механического переноса знаний иных, преимущественно технических наук в криминалистику) разработка и внедрение новых видов СКТ будет стимулировать проведение дальнейших исследований, все более удаляющихся от предмета криминалистики и...
