хідно:
1) не дозволяти кому б то не було з осіб, які працюють на об'єкті обшуку, торкатися до працюючим комп'ютерам, магнітним носіям, включати і вимикати комп'ютери;
2) самому не виробляти ніяких маніпуляцій з комп'ютерною технікою, якщо результат цих маніпуляцій заздалегідь не відомий;
3) за наявності в приміщенні, де знаходяться СКТ та магнітні носії інформації, вибухових, легкозаймистих, токсичних та їдких речовин або матеріалів якомога швидше видалити ці речовини в інше приміщення.
Особливості виробництва оглядів і обшуків
Якщо комп'ютер працює, ситуація для слідчого, що виробляє слідча дія без допомоги фахівця, істотно ускладнюється, однак і в цьому випадку не слід відмовлятися від оперативного вилучення необхідних даних.
У даній ситуації:
а) визначити, яка програма виконується. Для цього необхідно вивчити зображення на екрані дисплея і по можливості детально описати його.
Після зупинки програми і виходу в операційну систему іноді при натисканні функціональної клавіші В«F3В» можна відновити найменування Викликає востаннє програми.
Можна здійснити фотографування або відеозапис зображення;
б) зупинити виконання програми. Зупинка здійснюється одночасним натисканням клавіш Ctrl-C, або Ctrl-Break;
в) зафіксувати (Відобразити в протоколі) результати своїх дій і реакції комп'ютера на них;
г) визначити наявність у комп'ютера зовнішніх пристроїв - накопичувачів інформації на жорстких магнітних дисках і віртуального диска;
д) визначити наявність у комп'ютера зовнішніх пристроїв віддаленого доступу до системи і визначити їх стан (відобразити в протоколі), після чого роз'єднати мережеві кабелі так, щоб ніхто не міг змінити або стерти інформацію в ході обшуку (Наприклад, відключити телефонний шнур з модему);
е) скопіювати програми та файли даних. Копіювання здійснюється стандартними засобами ЕОМ або командою DOS COPY;
ж) вимкнути подачу енергії в комп'ютер і далі діяти за схемою В«комп'ютер не працює В».
Якщо комп'ютер не працює, слід:
а) точно відобразити в протоколі і на що додається до нього схемою місцезнаходження ПК і його периферійних пристроїв;
б) точно описати порядок з'єднання між собою цих пристроїв із зазначенням особливостей (колір, кількість з'єднувальних роз'ємів, їх специфікація) з'єднувальних проводів і кабелів; перед роз'єднанням корисно здійснити відеозапис або фотографування місць з'єднання;
в) з дотриманням всіх запобіжних заходів роз'єднати пристрої комп'ютера, попередньо знеструмивши його;
г) упакувати роздільно носії на дискетах і магнітних стрічках і помістити їх в оболонки, що не несучі заряду статичної електрики;
д) упакувати кожен пристрій і сполучні кабелі, проводи;
е) захистити дисководи гнучких дисків згідно рекомендації виробника (вставити нову дискету або частина картону в щілину дисковода);
ж) особливої обережності вимагає транспортування вінчестера.
Пошук і вилучення інформації та слідів впливу на неї в ЕОМ
і її пристроях
У комп'ютері інформація може знаходитися безпосередньо в оперативному запам'ятовуючому пристрої (ОЗУ) при виконанні програми, в ОЗУ периферійних пристроїв і на зовнішніх запам'ятовуючих пристроях (ВЗУ).
Найбільш ефективним і простим способом фіксації даних з ОЗП є роздруківка на папір інформації, що з'являється на дисплеї.
Якщо комп'ютер не працює, інформація може знаходитися в ВЗП та інших комп'ютерах інформаційної системи або в В«поштових скринькахВ» електронної пошти або мережі ЕОМ.
Необхідно зробити детальний огляд файлів і структур їх розташування; краще це здійснити за участю фахівця в лабораторних умовах або на робочому місці слідчого.
Слід звертати увагу на пошук так званих "прихованих" файлів і архівів, де може зберігатися важлива інформація.
Периферійні пристрої введення-виведення можуть також деякий час зберігати фрагменти програмного забезпечення та інформації, однак для виведення цієї інформації необхідні глибокі спеціальні пізнання.
Огляд комп'ютерів і вилучення інформації проводиться у присутності понятих, які розписуються на роздруківках інформації, виготовлених в ході огляду.
У ході оглядів по справах даної категорії можуть бути виявлені і вилучені такі види важливих документів, які можуть стати речовими доказами у справі:
а) документи, що носять сліди вчиненого злочину, - телефонні рахунки, паролі і коди доступу, щоденники зв'язку та ін;
б) документи зі слідами дії апаратури. Завжди слід шукати в пристроях виводу (Наприклад, в принтерах) паперові носії інформації, які могли залишитися всередині їх в результаті збою в роботі пристрою;
в) документи, описують апаратуру і програм...
