ики (коли записувати не агрегована за часом інформація про передані пакетах ). За допомогою даного заходу, знаючи IP-адресу цікавить нас комп'ютера, можна встановити наявність на даному комп'ютері тієї чи іншої програми, як часто вона використовується і деякі інші її дані.
Приховати по сигнатурах використовується для захисту інформації при виявленні атак. Вона шукає в переданих пакетах заздалегідь визначені послідовності байтів, відповідні спробам несанкціонованого доступу, активності шкідливих програм, іншим підозрілим діям.
Наступне ОРЗ, яке має важливе значення ході розслідування НПКМ, - це наведення довідок. При його проведенні можна визначити злочинця, що здійснив НПКМ, а також встановити інші обставини, що мають значення для слідства. Дане ОРЗ здійснюється за такими напрямами.
. Встановлення належності і розташування IP-адреси.
У кримінальній справі по НПКМ перед особами, що ведуть наслідок, ставиться завдання визначення комп'ютера і його місця розташування по відомому і залишеному IP-адресою. IP-адреса фіксується кожен раз при виході в Інтернет за допомогою різних технічних засобів. За зафіксованому IP-адресою (дані про нього знаходяться в лог-файлах на сервері у провайдера) встановлюється комп'ютер, з якого був здійснений несанкціонований доступ. Встановивши комп'ютер, слідчому необхідно буде довести, що саме підозрюваний у момент здійснення злочинної діяльності перебував за комп'ютером. При цьому треба пам'ятати, що вміст лог-файлів сервера, в яких відображаються настройки, використані злочинцем при здійсненні несанкціонованого доступу, їх коректність і незмінність, повинно бути підтверджено КТЕ.
Встановити приналежність IP-адреси можна через whois-клієнт. Даний клієнт доступний в Інтернеті будь-якому користувачеві. При запиті користувача whois-клієнт звертається до бази даних реєстраторів IP-адрес.
Той же результат можна отримати, якщо зробити запит через веб-форму на веб-сайті Європейського реєстратора IP-адрес. Однак таким даними цілком довіряти не слід. Відомості про місцеве реєстраторі будуть вірними, оскільки він є членом регіонального реєстратора, має з ним договір, постійно взаємодіє. Відомості про клієнта місцевого реєстратора, безпосереднього користувача IP, підлягають надалі перевірці.
Для кримінальної справи буде недостатньо роздруківки відповіді whois-сервера, вона повинна бути завірена місцевим оператором зв'язку, що є одночасно місцевим реєстратором. Крім того, отримання відомостей про приналежність IP-адреси може бути оформлено рапортом оперуповноваженого, який прямо в нього переписує відомості з бази даних реєстратора. Є й інші варіанти документування: нотаріальне завірення, довідка від регіональної організації IP-адрес. Згодом ці дані повинні бути підтверджені КТЕ цього комп'ютера і свідченнями співробітників оператора зв'язку.
Зробивши запит до клієнта whois-сервера, можна дізнатися, за ким закріплена відповідна підмережа і діапазон IP-адрес. Зазвичай таким є оператор зв'язку. Отримати і уточнити дані про безпосередній користувача, а також встановити його місце розташування можна у оператора зв'язку, на якого зареєстрований відповідний діапазон IP-адрес. Якщо між користувачем і оператором знаходиться оператор - посередник або оператор останньої милі, то необхідно перевірити всіх операторів. Складність у проведенні даної операції полягає в тому, що на сьогоднішній день відсутній єдиний і систематичний облік всіх операторів.
. Встановлення належності адреси ЕП *. Повідомлення ЕП фігурують в багатьох кримінальних справах. За допомогою ЕП відбувається, наприклад, змова про вчинення злочину. У більшості випадків адреса ЕП пов'язаний з поштовою скринькою. Однак з кожного правила є винятки:
групові та колективні адреси, які являють собою адресу списку розсилки: всі вступники на цю адресу листи розсилаються певній групі адресатів, такими виступають часто рольові адреси;
технічні адреси: всі вступники листи на ці ящики обробляються програмою, яка відсилає їх потім за призначенням;
адреси для пересилання повідомлення: всі повідомлення перенаправляються на інший, заздалегідь задану адресу.
Знаючи адреса ЕП, можна встановити поштову скриньку, з яким пов'язаний цю адресу, потім з'ясувати, хто користується цією поштовою скринькою. Таким способом буде встановлено власника адреси.
Для установки місця розташування ящика спеціаліст (експерт) встановлює первинний MX домену. У багатьох випадках ящик, приналежність якого встановлюється, находиться на цьому ж сервері, що відповідає його настройок. В інших випадках поштовий сервер пересилає пошту на інший сервер, зазначений у його налаштуваннях. В обох випадках потрі...
