К вопросу о механизме образования материальных следов компьютерных преступлений
Дата: 17.05.2005Источник: www.crime-research.ru
Автор: Виталий Козлов, к.ю.н., доцент
... жидкие материалы, отображающие особенности внутреннего строения следообразующего объекта.Основополагающими знаниями, необходимыми для исследования следов компьютерных преступлений являются:
- знания о механизме следообразования, накопленные криминалистикой в рамках соответствующего учения [4];
- знания смежных по отношению к исследуемым проблемным вопросам наук [5, с. 365-372.].
Без их комплексного использования, в связи с объективно существующей сложностью понимания происходящих технологических процессов, исследование следов компьютерных преступлений представляется нам невозможным.
По Р.С. Белкину и М.В. Салтевскому, механизм следообразования - есть специфическая конкретная форма протекания процесса, конечная фаза которого представляет собой образование следа-отражения [6, с. 62-63; 7, с. 42]. Элементами этого механизма являются объекты следообразования – СОО, СВО и вещество следа, а также следовой контакт как результат взаимодействия между ними в связи с приложением энергии к объектам следообразования. Исследованию следов компьютерных преступлений в настоящий момент посвящено достаточно много научных работ, однако следует признать, что большинство из них решает частные задачи, решение которых диктуется избранным объектом и предметом исследования [8]. Создание же целостного научного представления о механизме следообразования при совершении компьютерных преступлений, пригодного для практического использования при их выявлении, раскрытии и расследовании, является насущной задачей ученых-криминалистов. Из существующих подходов, предлагаемых исследователями, концептуальный характер имеют, на наш взгляд имеют основные положения, содержащиеся в работах М.В. Салтевского и В.А. Мещерякова.
По М.В. Салтевскому искомый механизм следообразования представляет собой процесс обмена энергией между СОО и СВО при их взаимодействии. Исходя из видов взаимодействующих объектов, участвующих в следообразовании, все процессы следообразования подразделяются им на простые (в основе следообразования лежит один вид движения) и составные (в следообразовании участвуют несколько видов движений); опосредованные и непосредственные; контактные и бесконтактные. Справедливо полагая, что основными видами движения являются психическое, механическое, физическое, химическое, биологическое, М.В. Салтевский раскрывает криминалистическую сущность физического движения, отмечая, что такая форма взаимодействия происходит на молекулярном или атомарном уровнях, и представляет собой изменение внутреннего строения, структуры предмета (например, изменения кристаллической структуры), в отличии от механического движения, предполагающего перемещение тел в пространстве. В свете современных взглядов такие процессы сопровождаются тепловыми, магнитными, электрическими, радиоактивными изменениями в структурах взаимодействующих объектов. Такие следы получаются невидимыми для человека. Следы физического движения образуются при контактном и бесконтактном взаимодействии. Таким образом, следы физического взаимодействия – это невидимые изменения в материальных телах органического и неорганического происхождения, которые подразделяются на два вида [7, с. 43, с. 98-99].
1) Следы структурных изменений: собственно структурный след – изменение внутренней структуры, следствием которого является утрата либо появление новых свойств предмета; след качественного изменения – характеризуется не только появлением новых свойств, но и качеств объекта в целом; термический след – изменение скорости молекулярного движения.
2) Следы энергетических изменений: электрический след – появление в объекте стороннего электрического заряда, который вызывает помехи в измерительных приспособлениях, компьютерах, системах связи; след динамический и возникает только в процессе работы системы, когда его возможно выявлять, измерять и зафиксировать как след в криминалистическом аспекте; электростатический след – представляет собой заряд, распределенный по диэлектрику; магнитные следы – возникновение магнитного поля на следовоспринимающем объекте; типичным магнитным следом является аналоговая либо цифровая запись звука или видеосигнала на магнитный носитель; иные виды следов.
В целом, предложенный М.В. Салтевским подход к пониманию механизма следообразования, основанный на анализе физических процессов, происходящих в материальных телах и средах, следует признать основополагающим для понимания сущности происходящих процессов в отношении значительно более широкой чем компьютерная информация (КИ) категории, а именно – радиоэлектронной (РЭИ) [9]. Усомнимся, однако, в целесообразности разделения электрических, электростатических и магнитных следов, как следов энергетических изменений.
Пояснение
Действительно, электромагнитное поле является одним из физических полей, посредством которого осуществляется взаимодействие электрически заряженных частиц, обладающих магнитным компонентом. Электрическое и магнитное поля – есть формы проявления электромагнитного поля. Электрическое поле действует как на движущиеся, так и на неподвижные электрические заряды. Источником электрического поля являются электрические заряды и изменяющееся во времени магнитное поле. Магнитное поле действует только на движущиеся электрически заряженные частицы или тела, на проводники с током и на частицы или тела, обладающие магнитным моментом, и создается такими же объектами. Деление электромагнитного поля на электрическое и магнитное условно – в данном случае имеет место двуединство составляющих электромагнитное поле частей. В различных инерциальных системах отсчета, движущихся одна относительно другой, векторы напряженности электрического поля и магнитной индукции в одной и той же точке пространства различны. В неподвижной среде электромагнитное поле описывается уравнениями Максвелла. На физическом уровне, например, для жестких компьютерных дисков все запросы на чтение и запись осуществляются через контроллер жесткого диска, который осуществляет оптимизацию операций чтения – записи и трансляцию (преобразование) операционной системе данных о количестве цилиндров, головок и секторов. Магнитные головки дисков синхронно считывают записи со всех дорожек дисков, находящихся на равном удалении от оси его вращения. Такой набор дорожек именуют цилиндром. Каждая дорожка разбивается на сектора, которые являются минимальными логическими элементами для хранения данных. Секторы логически объединены в кластеры. Для операционной системы минимальным фрагментом КИ является именно кластер. Т.н. физический адрес сектора на жестком диске формируется из трех составляющих (номеров): цилиндра; магнитной головки, определяющего дорожку чтения – записи; сектора на дорожке. Логическая структура - таблица FAT хранит информацию о файлах на жестком диске в виде последовательности чисел, определяющих местонахождение каждой части каждого файла. С ее помощью операционная система определяет, какие кластеры занимает файл. Файловая система FAT32 – наиболее распространенная система на основе формата FAT. Она поддерживается операционными системами Windows 98/SE/ME/2000/XP и использует 32-разрядные идентификаторы кластеров. Максимальный размер кластеров FAT32 32 Кбайт. FAT32 может работать с 8-терабайтными томами. Windows 2000 ограничивает размер новых томов FAT32 до 32 Гбайт, хотя поддерживает существующие тома FАТ32 большего размера при условии, что они созданы в других операционных системах. FAT32 может использовать 512-байтовые кластеры для томов размером до 128 Мбайт. Файловая система FAT 32 в операционных системах семейства Windows 98 используется в качестве основной. Реализация всех существующих возможностей операционных систем семейства Windows NT (в т.ч. - Windows 2000/XP) обеспечиваются его собственной файловой системой NTFS (4 и 5). В общем случае NTFS позволяет создавать на дисках средств компьютерной техники СКТ разделы объемом до 2 Тбайт, кроме того, в нее встроены функции сжатия файлов, безопасности и аудита, необходимые при работе в сетевой среде. Дальнейшая детализация приводит к исследованию ферромагнитных доменов и явления намагничивания.
Все указанные изменения имеют электромагнитную природу. Следовательно, физически РЭИ может быть обнаружена, зафиксирована и изъята с ее носителей. Для КИ таковыми являются – временные (ВЗУ) и постоянные (ПЗУ) запоминающие устройства. Для ВЗУ, преимущественно состоящих из полупроводниковых элементов, элементарными составляющими являются частицы с отрицательными и положительными элементарными электрическими зарядами (электронно-дырочные переходы). Для ПЗУ – магнитные (магнитооптические) и оптические носители КИ; в первых - носителях элементарными составляющими процесса являются ферромагнитные домены, обладающие характеристикой намагниченности; во вторых - дорожки оптического диска, обладающие характеристиками амплитуды, фазы, частоты отраженного оптического луча.
Как для ВЗУ, так и для ПЗУ происходящие процессы являются материальными проявлениями, возникающими, происходящими и прекращающимися под воздействием электромагнитного поля, которое обладает двумя характеристиками: напряженностью электрического поля и магнитной индукцией. Т.е. фактически на некоем «низшем» - «физическом уровне» СОО выступает электромагнитное поле, СВО – электронно-дырочные переходы, ферромагнитные домены и дорожки магнитного диска. Органами чувств человека такие, происходящие при следообразовании процессы, в силу незначительных параметров напряженности и магнитной индукции непосредственно не могут быть восприняты, а воспринимается опосредованно по результатам применения НТС. Таковы выводы, объективно вытекающие из анализа основных положений механизма следообразования, предложенных М.В. Салтевским.
Развивая их, логично обратиться к...
