Одним из наиболее часто встречающихся  в настоящее время видов преступлений в сфере компьютерной информации является распространение вредоносных программ типа «троянский конь» (например, рассмотренный нами ранее Legion, BackOrifice, Dollyl6 и т.п.) с целью несанкционированного получения информации и паролей с компьютеров «жертв».

     Одним из наиболее часто встречающихся в настоящее время видов преступлений в сфере компьютерной информации является распространение вредоносных программ. В.А. Мещеряков на примере данного вида преступлений рассмотрел особенности механизма образования "виртуальных" следов. Механизм следообразования – это специфическая конкретная форма протекания процесса, конечная фаза которого представляет собой образование следа-отображения. Элементами этого механизма являются объекты следообразования – следообразующий, следовоспринимающий, следовой контакт как результат взаимодействия вследствие приложения энергии к объектам следообразования. В зависимости от этапа совершения данного вида преступления будет существовать различный набор следообразующих объектов. Например, на этапе внедрения известной программы "Троянский конь" это сообщение электронной почты с прикрепленным исполняемым файлом в специальном формате, а на этапе активизации к нему добавится еще исполняемый файл. При этом основными с криминалистической точки зрения характеристиками следообразующих объектов будут:

     - размер программ и сообщения электронной почты с присоединенным файлом;

     - дата и время создания/получения и/или модификации файлов и сообщения;

     - отдельные атрибуты (например, признак архивного, скрытого или системного файла, уровень важности и конфиденциальности полученного сообщения) файлы и сообщения;

     - характерные записи исполняемых программ или файлов конфигурации, позволяющие идентифицировать конкретный экземпляр вредоносной программы. Например, адрес электронного почтового ящика, куда следует отсылать выкраденные пароли, логины и IP- адреса компьютера [1].

     Помимо  самих файлов вредоносной программы  следообразующими объектами также  будут:

     1. Файлы, использующиеся для электронной  рассылки "троянских коней":

     а) специализированная программа рассылки электронных сообщений (ее вид, версия, текущие настройки);

     б) текстовые файлы или файлы  в специальном формате, содержащие списки рассылки и вспомогательные данные – даты и время рассылки, количество попыток повторения и т.п.

     2. Файлы компилятора, использующегося для создания (программирования или настройки) самой вредоносной программы:

     а) версия, настройки и параметры. Эти  данные в ряде компиляторов включаются в тело создаваемой с их помощью программы;

     б) используемые библиотеки компилятора, операционной системы или других пакетов прикладных программ. Ряд программ рассчитан на обязательное присутствие на компьютере отдельных библиотек или отдельных пакетов прикладных программ. Например, известны случаи, когда вредоносные программы типа "троянский конь" для рассылки украденной парольно-ключевой информации используют коммуникационные средства программы обмена информацией в реальном времени ICQ.

     Учитывая, что при совершении рассмотренных  выше преступлений в сфере компьютерной информации используется, по крайней мере, два компьютера (преступника и жертвы), то следовоспринимающих объектов также будет несколько.

     На  компьютере жертвы такими объектами  будут:

     1. Таблица размещения файлов. На  компьютере жертвы должны появиться  файлы с программами, представляющими собой часть вредоносной программы "троянский конь". Как правило, это два файла: один исполняемый файл (непосредственно сама программа), а второй файл содержит параметры конфигурации и вспомогательные данные, необходимые для работы исполняемого файла; Имена этих файлов могут быть произвольными (легко и без изменения функциональных возможностей программы заменяются преступником), но они должны иметь фиксированную (одну и ту же) длину, а также дата и время создания/модификации этих файлов должны соответствовать дате и времени установки этих программ на компьютер-жертву.

     2. Системный реестр операционной  системы. Соответствующие разделы  системного реестра должны включать  указания на размещение и параметры  установленных программных файлов.

     3. Отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов, конфигурации почтовой программы.

     4. Файлы и каталоги (папки) хранения  входящей электронной почты и  прикрепленных исполняемых файлов, конфигурации почтовой программы.

     5. Файлы конфигурации программ  удаленного соединения компьютера  с информационной сетью.

     На  компьютере преступника такими объектами  будут:

     1. Таблица размещения файлов. На  компьютере жертвы должны появиться  файлы с программами, представляющими собой вторую (управляющую) часть вредоносной программы "троянский конь".

     2. Системный реестр операционной  системы. Соответствующие разделы  системного реестра должны включать  указания на размещение и параметры  установленных программных файлов.

     3. Скопированные с компьютера-жертвы  файлы данных и программы, а  также так называемые "скриншоты" (графические изображения экрана  монитора) с компьютера-жертвы.

     4. Файлы и каталоги (папки) хранения  входящей электронной почты, конфигурации  почтовой программы. Здесь могут быть обнаружены присланные с компьютера-жертвы значения паролей и логинов для входа в информационную сеть, копии украденной электронной корреспонденции и т.п.

     5. Файлы конфигурации программ  удаленного соединения компьютера  с информационной сетью. В этих файлах могут быть обнаружены логины и пароли компьютера-жертвы, его адресная книга, используемые скрипты и т.п.

     6. Отдельные кластеры магнитного  носителя информации (винчестер  и дискеты), в которых записываются  фрагменты исполняемых файлов (программ) и файлов конфигурации [6].

     Таким образом, механизм образования компьютерно-технических  следов, возникающих в процессе работы с текстовыми файлами, основан на свойствах современных офисных  программ (например, Microsoft Word) протоколировать  и хранить в виде служебной информации любые события, связанные с файлом (дата и время создания, изменения, печати и др.). Указанное свойство текстовых редакторов позволяет решать большое число криминалистически значимых задач, связанных с идентификацией текстовой информации и диагностикой происходивших с ней процессов [3].

     Механизм  следообразования в графических  файлах, созданных посредством использования  цифровой фотокамеры основан на технологическом  наложении даты, времени, служебных  сигналов и другой информации на видеоизображение. Аналогичный механизм позволяет использовать в качестве доказательств по уголовным делам видеозаписи, полученные телевизионными системами видеонаблюдения.

     Механизм  следообразования в программных  средствах основан на свойстве программных продуктов «отражать» сведения о себе в реестре операционной системы, а также протоколирования действия программ в файлах - отчетах, электронных журналах и пр. Процесс обнаружения программного средства зависит от того, в каком состоянии (в виде дистрибутива, инсталлированная программа или работающая программа) оно находится.

     Механизм  образования компьютерно-технических  следов в служебных метках компакт-дисков и иных носителях информации основан  на свойствах аппаратуры, используемой для их записи, фиксировать информацию о программном продукте, времени его появления и фирме-изготовителе и иных сведениях в специальной таблице VTOC (Virtual Table of Contens - виртуальная таблица содержания).

     Механизм  следообразования в сети Интернет обусловлены  особенностями организации и принципами работы сети. К важнейшим следам здесь относятся: IР- адрес, имя и пароль доступа пользователя к ресурсам сети, электронные почтовые отправления, сведения о фирме-провайдере и др.

Заключение

     В результате проведенного исследования мы можем сделать следующие выводы:

     На  механизм следообразования при совершении преступлений, совершенных с использованием средств компьютерной техники, влияет комплекс факторов, которые представляется возможным подразделить на объективные  и субъективные. К важнейшим объективным факторам, не зависящим от личностных особенностей преступника и потерпевшего, и влияющих на механизм следообразования, относятся: предмет преступного посягательства, место, время и способ совершения преступления, используемые орудия и средства, наличие, а также надежность средств защиты информации, тип используемой операционной системы и программного обеспечения, аппаратно-техническая конфигурация компьютера.

     Субъективные  факторы находятся в прямой зависимости  от личностных качеств потерпевшего и преступника и включают в себя: криминальный опыт преступника, его интеллектуальные качества, виктимное поведение потерпевшего.

     Особенности механизма следообразования в реестре  операционной системы состоят в  том, что все основные события  в системе (установка или удаление программ, изменение настроек системы, установка оборудования, подключение к Интернету и др.) автоматически отражаются в виде записей в определенных ключах реестра. Использование данных реестра позволяет эффективно решать значительное число тактических задач расследования, связанных с доказыванием причастности конкретного лица к совершенному преступлению на основе выявления, исследования и оценки компьютерно-технических следов в реестре.

Список использованных источников

1. Козлов  В.Е. Теория и практика борьбы с компьютерной преступностью. - М: Горячая линия - Телеком, 2002. - 336 с.
2. Криминалистика: учебное пособие для студентов вузов / Н.И. Порубов [и др.]; ред. Порубов Н.И. – Минск.: Вышэйшая школа, 2007. – 574 с.
3. Лыткин Н.Н. Использование компьютерно-технических следов в раскрытии и расследовании преступлений: Монография. - М.: Московский университет МВД России, 2006. – 155 с.
4. Мещеряков В.А. Механизм следообразования при совершении преступлений в сфере компьютерной информации // Известия Тульского государственного университета. Серия: Современные проблемы законодательства России, юридических наук и правоохранительной деятельности. Вып. 3. Тула 2000 - с. 170-172.
5. Правовая информатика: курс лекций / Гринберг А.С., Кашинский Ю.И., Славин Б.С. – Минск: БГУ, 2006. - 184 с.
6. Шаталов А.С.,  Пархоменко А.Н.  Криминалистическая характеристика компьютерных преступлений // Российский криминологический взгляд. 2007. - № 1. - С. 204-208.