Взято из журнала Defaced ( первый выпуск ). Думаю кому-нибудь инфа будет интересна. ЗАКЛЮЧЕНИЕ ЭКСПЕРТА ------------------- Эксплуатационно-технический центр при ГУВД ********** ******** г.************************** тел. ***-**-** Мне, старшему инженеру группы телеграфной связи и передачи данных эксплуатационно-технического центра при ГУВД **********, старшему лейтенанту внутренней службы ****** ******** *******, назначенному экспертом, разъяснены в соответствии со ст. 187 УПК РСФСР права и обязанности эксперта предусмотренные ст. 82 УПК РСФСР. Об ответственности за дачу заведомо ложного заключения по ст. 307 УК РФ предупрежден. "5" апреля ****** г. подпись _____________ Экспертиза начата 5 апреля ****г. Экспертиза окончена 15 мая **** г. Эксперт, старший инженер группы телеграфной связи и передачи данных эксплуатационно-технического центра при ГУВД *******************, старший лейтенант внутренней службы ****** ** **, имеющий высшее техническое образование и стаж работы в области обслуживания систем передачи данных 5 лет. На основании постановления о назначении экспертизы, вынесенного 31 марта **** г. следователем СЧ ГСУ при ГУВД ******** капитаном юстиции *********** по уголовному делу N 0012345 произвел информационно-техническую экспертизу. Обстоятельства дела указаны в постановлении о назначении экспертизы. Эксперт с ними ознакомлен. На экспертизу представлены: - Системный блок персонального компьютера (без названия и серийного номера) упакованный в полиэтиленовый пакет; - Монитор LG модели 57М серии N808KG 01009. Шнур сетевого питания монитора скручен в жгут и упакован в прозрачный полиэтиленовый пакет. - Модем Zyxel Comet 3356 NS96F818Q92 с блоком питания, клавиатура, мышь, два шнура для подключения к электрической сети. Все упаковано в один полиэтиленовый пакет с изображением девушки. 12 CD-дисков, следующего содержания: 1. "Секреты Adobe photoshop" - диск темного цвета в пластиковой коробке; 2. "Bass fishing" - диск белого цвета в пластиковой коробке; 3. Видео-CD "Матрица" - два диска с изображением фрагментов фильма в пластиковой коробке; 4. "Профессиональный софт для видеостудий" - диск коричневого цвета в пластиковой коробке; 5. "SimCity 3000" - диск зеленого цвета в пластиковой коробке; 6. "Офис -CD" - диск черного цвета в пластиковой коробке; 7. "DJ New97. Vol.17" - диск розового цвета без коробки (Б/к); 8. "Zyxel" - диск синего цвета Б/к; 9. Диск металлического цвета с иероглифами. Б/к. 10. "Data forses -2" - диск красно-желтого цвета.Б/к; 11. "Windows 98.Только новые версии" - диск зеленого цвета. Б/к; 12. "Анти-хакер" - диск сине-коричневого цвета с изображением щита. Б/к; 45 дискет 3,5" для компьютера, из них: 1. 10 дискет серого цвета с белыми наклейками - без информации; 2. 26 дискет разного цвета, из них одна в пластиковой коробке, с наклейками фирм-производителей - драйверы различных устройств; 3. 5 дискет с надписями от руки на наклейках - содержат файлы пользователя данного ПК, утилиты; 4. 4 дискеты без наклеек, черного цвета; - общая тетрадь с изображением девушки, 3 фрагмента бумаги с рукописным текстом, лист бумаги формата А-4 с рукописным текстом. Все упаковано в один полиэтиленовый пакет синего цвета. Перед экспертом поставлены вопросы: 1. Пригодны ли представленные для исследования системный блок персонального компьютера (ПК) и его периферийные устройства (клавиатура, модем, манипулятор мышь, блок питания модема) для работы? Если да, то возможно ли использование представленных устройств для работы в компьютерной сети "Интернет"? 2. Требуются ли для работы на представленных носителях информации специальные пароли? Если да, то являются ли они препятствием для ответа на поставленные вопросы? 3. Имеются ли на жестком диске системного блока ПК, а так же на других представленных носителях информации (CD-дисках, дискетах) программы для работы в компьютерной сети "Интернет"? Если да, то какие именно? 4. Имеется ли на жестком диске системного блока ПК программа "Интернет-пейджер" - ICQ? Если да, то какая именно информация имеется в контактном листе данной программы? 5. Имеется ли на представленных носителях информации (в том числе на жестком диске системного блока ПК) какие-либо сетевые реквизиты (логины, пароли) для доступа к компьютерной сети "Интернет", в частности логины: ZZEDVRFO, ZZSTEALT; пароли "Мюллер", "Штирлиц", "ЕС"(или Z?)L48JJH? 6. Сохранились ли на жестком диске системного блока ПК временные файлы и файлы статистики соединений с компьютерной сетью "Интернет"?Если да, то где именно сохранились и содержат ли они: - сетевые реквизиты (логины, пароли), если да, то какие именно; - время начала и окончания сеанса работы в компьютерной сети "Интернет" 7. Какая информация была ранее записана на жестком диске системного блока ПК (отмеченная как стертые файлы) и возможно ли ее восстановление? 8. Была ли на жестком диске системного блока ПК какая-либо информация, которая была уничтожена пользователем 22.3.**** г., если да то в какое именно время, какая именно информация, в каких файлах, и подлежит ли она восстановлению? Если да, то восстановить. 9. Влечет ли за собой уничтожение какой-либо информации на жестком диске системного блока ПК его перезагрузка? Если да, то возможно ли ее восстановление? 10. Имеется ли на жестком диске системного блока ПК компьютерная программа, обеспечивающая прием и передачу электронной почты? Если да, то какая именно? 11. Сохранилась ли в программе электронной почты переписка? Если да, то каково ее содержание, время получения и отправки сообщений? 12. Какие именно адреса применял пользователь ПК для отправки и получения электронной почты? 13. Имеются ли на жестком диске системного блока ПК текстовые файлы или файлы со специальной структурой, которые обрабатываются специальными программами (такие как: записные книжки, блокноты, адресные книги, картотеки, органайзеры и т.п.), содержащие: - записи сетевых реквизитов (пароли, логины); - домашние адреса; - номера телефонов: - иные сведения о контактах пользователя представленного на экспертизу ПК? 14. Если да, то каково их содержание и время создания? 15. Является ли информация, записанная на представленных фрагментах бумаги, тетради, листе бумаги "Интернет"-адресами? Если да, то могут ли данные записи, относиться к сетевым реквизитам (логинам, паролям)?Если да, то какие именно? 16. Имеются ли аналогичные данные на жестком диске системного блока ПК, дискетах? 17. Имеются ли на представленных носителях информации (CD-дисках, дискетах, жестком диске системного блока ПК) вредоносные программы? Если да, то какие именно и каково их действие? ИССЛЕДОВАНИЕ Вещественные доказательства, представленные на экспертизу, поступили в упакованном в три полиэтиленовых пакета и опечатанном виде. Целостность упаковки не нарушена. Шнур сетевого питания монитора скручен в жгут и упакован в прозрачный полиэтиленовый пакет. Горловины всех пакетов обвязаны ниткой, окончания которой скреплено листом нелинованной бумаги с печатью ГСУ ГУВД ** N*, подписями понятых, следователя и списком содержащихся в них предметов. Представленный на экспертизу системный блок белого цвета (без названия и серийного номера) имеет следующую аппаратную конфигурацию - процессор Celeron 333 MHz, 64 Мб оперативной памяти, 3,2 Гб жесткий диск. Операционная система Windows 98 инсталлирована в последний раз 7.03.2000 г. Системная дата на ПК соответствует реальной. Системное время на ПК отстает на 1 минуту. После включения ПК и загрузки установленной на нем операционной системы Windows 98 (в безопасном режиме) был подключен представленный на экспертизу модем Zyxel Сomet 3356 NS96F818Q92, а также другие представленные на экспертизу периферийные устройства. Проведенный тестовый сеанс связи с коммуникационным узлом ГУВД ** показал, что данный ПК, его периферийные устройства (клавиатура, манипулятор мышь, модем, монитор), аппаратно полностью работоспособны и могут (могли) использоваться для работы с компьютерной сетью "Интернет". Информация, находящаяся на жестком диске компьютера не защищена с помощью аппаратно-программных средств, требующих использования специальных паролей. Было произведено исследование установленного на жестком диске данного ПК всего комплекса программного обеспечения путем проведения тестовых сеансов работы с каждым программным компонентом в отдельности. Были исследованы все имеющиеся личные файлы, в том числе и текстовые, пользователя данного ПК. Часть их, представляющая интерес, распечатана в приложении к данному заключению. На жестком диске ПК установлено следующее программное обеспечение: - Протокол TCP/IP, контроллер удаленного доступа - набор программ и драйверов для работы с сетью "Интернет"; - Программное обеспечение модема Zyxel Comet; - В меню "Удаленный доступ к сети" создано соединение "*****". В настройках протокола TCP/IP указаны адреса ДНС-серверов - ***.***.***.* и ***.***.***.* - Etype Dialer версии 1.30 Данного программного обеспечения достаточно для установки соединения и работы с сетями, использующими протокол TCP/IP, в том числе с "Интернет". Так же на компьютере установлены следующие программы для работы с сетью "Интернет": Microsoft Internet Explorer - программа-просмотрщик (броузер) WWW-серверов сети "Интернет"; ATGuard - персональный фейрволл (программа защиты ПК от несанкционированного доступа); ICQ - интернет-пейджер (обмен короткими сообщениями и индикация подключения интересующих пользователей к сети); ReGet, NetVampire - программы для приема файлов; Etype Mail Decoder - программа для восстановления писем, пришедших в неправильной кодировке; G6 FTP Server - фтп-сервер; MediaRingTalk99 - общение голосом через сеть; The Bat - почтовая программа для обмена сообщениями (электронная почта) в сети. На жестком диске имеется программа "Интернет"-пейджер ICQ 99. Реквизиты владельца программы: ICQ UIN - ******** - уникальный номер-идентификатор владельца программы; Last IP - ***.***.***.** - последний IP-адрес, под которым работал в сети владелец программы; Nick - ***** - псевдоним, под которым владелец программы виден другим пользователям ICQ. e-mail - Ошибка! Закладка не определена. - адрес электронной почты. В контакт-лист (перечень пользователей системы ICQ, с которыми контактировал владелец программы) внесен ряд лиц. Информация о переговорах с использованием программы ICQ находится в приложении 1. В настройках программы Etype Dialer имеется соединение - "*****". Номера телефонов модемного пула - ****** и ******. Логин "mobil1". В каталоге c:\Windows обнаружен файл ******.pwl. После его просмотра в нем обнаружены логины "mobil1" пароль "rjktcj" и логин "h20netny2" пароль "h9546j68". Логинов "ZZEDVRFO" "ZZSTEALT" и паролей "Мюллер" "Штирлиц" "ЕС" "L48JJH" на жестком диске и дискетах не обнаружено. Среди находящихся на жестком диске ПК программ связи с "Интернет" ни одна не вела файлов статистики сеансов соединений. Программа Etype Dialer сохранила только общую статистику работы с момента ее инсталляции 7.03.**** г. - всего пользователь проработал с ее помощью 2 дня 21 час 13 минут 27 секунд из них в последнем сеансе связи 3 часа 25 минут 35 секунд. Кроме того, в каталоге Windows\cookies сохранился ряд временных файлов, создаваемых программой MS Internet Explorer, по времени создания и содержимому которых можно судить о том, в какое время пользователь был подключен к сети "Интернет" и какие серверы (сайты) посещал. Список данных файлов с датой создания приведен в Приложении2 На данном ПК в каталоге Recicled был обнаружен и восстановлен (путем загрузки операционной системы MS DOS 6.22 c дискеты с использованием возможностей восстановления удаленных файлов программы DOS Navigator 1.50) удаленный файл openpass.zip. Данный файл представляет собой утилиту (программу) просмотра скрытых паролей Windows 95/98. Определить дату удаления данного файла не представляется возможным. Также на данном ПК есть еще несколько удаленных каталогов, восстановление которых в данный момент уже невозможно. Перезагрузка ПК влечет за собой уничтожение некоторых временных файлов, создаваемых программным обеспечением, упорядочение файла подкачки. Эти файлы, как правило, не представляют особого интереса. Также при перезагрузке возможна очистка папок почтовых программ, ньюс-клиентов, если таковая очистка включена в их настройках. На исследуемом ПК восстановление такой информации не представляется возможным. На данном ПК установлена программ электронной почты The Bat версии 1.35 Зарегистрирована на ***** *******. Создан 1 почтовый ящик ******@inbox.ru - на бесплатном почтовом сервере inbox.ru соответственно. В папке входящих сообщений находятся 4 письма от различных пользователей, остальные сообщения, порядка 55 штук - массовые рассылки популярных серверов. В папке исходящих сообщений находились 2 сообщения. Кроме того, в настройках программы ICQ и в текстах сообщений есть упоминание о том, что данный пользователь имел также адрес электронной почты Ошибка! Закладка не определена. . В программе the Bat ящик с таким адресом создан не был. На жестком диске установлена программа CyberDetective Tool kit, которая кроме своих основных функций может выполнять также функции записной книжки. На момент исследования записей в ней не обнаружено. Других программ органайзеров, записных книжек, файлов с адресами, телефонами, сетевыми реквизитами на жестком диске не обнаружено. На представленных фрагментах бумаги и в тетради обнаружен ряд записей, являющихся адресами популярных общедоступных www-серверов, адресами электронной почты, UIN-ми пользователей сервера ICQ фирмы Mirabilis. Среди находящейся на данных бумажных носителях информации обнаружены несколько сочетаний: l:mobil1 p:edhjgyp6 (15 марта) и zzsergtsel s4e5p9g1 про которые, с высокой долей вероятности можно сказать, что они являются логинами и паролями для доступа через модемный пул одного из провайдеров сети "Интернет" в г.**********. На представленных на экспертизу дискетах аналогичных данных обнаружено не было. На представленных дискетах и на жестком диске компьютера вредоносных программ обнаружено не было. Среди 12 компакт-дисков, особый интерес представляет CD "Анти-хакер". На нем находится большое количество технической документации по способам и технологиям взлома узлов компьютерных сетей - каталоги document\Супер Хакер и haker. В каталоге Hacktools\nuke находится программа nuke'em.exe предназначенная для атаки удаленных компьютеров, подключенных к сети "Интернет", приводящей их во временное неработоспособное состояние. В каталоге Phreak\Antiaоn находится файл dez-aon.rar, содержащий в себе программу, предназначенную для посылки ложной информации аппаратуре Автоматического Определения Номера абонента (АОН), установленной, например, на узле провайдера сети "Интернет", в результате чего возможен несанкционированный доступ к сети с использованием чужих сетевых реквизитов. Данные программы на жестком диске исследуемого ПК не были обнаружены. После завершения исследования произведено отсоединение всех периферийных устройств от ПК и произведена их упаковка. ВЫВОДЫ: 1. Представленный на исследование ПК, его периферийные устройства (клавиатура, манипулятор мышь, модем, монитор), аппаратно полностью работоспособны и могут (могли) использоваться для работы с компьютерной сетью "Интернет". 2. Специальные пароли для работы на представленных носителях информации не требуются. 3. На жестком диске исследуемого ПК и CD-дисках имеются программы для работы в сети "Интернет", а именно: - Microsoft Internet Explorer - ATGuard - ICQ - NetVampire - Etype Mail Decoder - G6 FTP Server - MediaRingTalk99 - the Bat 4. На жестком диске ПК имеется программа "Интернет"-пейджер ICQ 99. В контакт-лист внесен ряд лиц. Информация о переговорах с использованием программы ICQ находится в приложении 1. 5. На жестком диске представленного ПК в настройках программы Etype Dialer имеется соединение - "*****". Номера телефонов модемного пула - 613614 и 613613. Логин "mobil1". В каталоге c:\Windows обнаружен файл ******.pwl. После его просмотра в нем обнаружены логины "mobil1" пароль "rjktcj" и логин "h20netny2" пароль "h9546j68". Логинов "ZZEDVRFO" "ZZSTEALT" и паролей "Мюллер" "Штирлиц" "ЕС" "L48JJH" на жестком диске и дискетах не обнаружено. 6. Среди находящихся на жестком диске ПК программ связи с "Интернет" ни одна не вела файлов статистики сеансов соединений. Программа Etype Dialer сохранила только общую статистику работы с момента ее инсталляции 7.03.2000 г. - всего пользователь проработал с ее помощью 2 дня 21 час 13 минут 27 секунд из них в последнем сеансе связи 3 часа 25 минут 35 секунд. Кроме того, в каталоге Windows\cookies сохранился ряд временных файлов, создаваемых программой MS Internet Explorer, по времени создания и содержимому которых можно судить о том, в какое время пользователь был подключен к сети "Интернет" и какие серверы (сайты) посещал. Список данных файлов с датой создания приведен в Приложении2 7. На данном ПК в каталоге Recicled был обнаружен и восстановлен удаленный файл openpass.zip. Данный файл представляет собой утилиту просмотра скрытых паролей Windows 95/98. Определить дату удаления данного файла не представляется возможным. Также на данном ПК есть еще несколько удаленных каталогов, восстановление которых в данный момент уже невозможно. 8. Ответить на данный вопрос не представляется возможным в связи с тем, что операционная система Windows 98, установленная на данном ПК не имеет возможности протоколирования времени удаления файлов. На ПК обнаружены несколько удаленных каталогов, восстановление которых не представляется возможным. 9. Перезагрузка ПК влечет за собой уничтожение некоторой служебной информации операционной системы, не представляющей интереса. Восстановление данной информации невозможно. 10. На данном ПК установлена программ электронной почты The Bat версии 1.35 Создан 1 почтовый ящик ******@inbox.ru - на бесплатном почтовом сервере inbox.ru соответственно. Кроме того, в настройках программы ICQ и в текстах сообщений есть упоминание о том, что данный пользователь имел также адрес электронной почты Ошибка! Закладка не определена. . В программе the Bat ящик с таким адресом создан не был. 11-12. В папке входящих сообщений находятся 4 письма от различных пользователей, остальные сообщения, порядка 55 штук - массовые рассылки популярных серверов. В папке исходящих сообщений находились 2 сообщения с технической информацией, не представляющих интереса. Для обмена сообщениями электронной почты данный пользователь использовал два адреса электронной почты - ящик Ошибка! Закладка не определена. и Ошибка! Закладка не определена. (упоминается в переговорах по системе ICQ). ---------- Остальное читаем ниже, т.к бля не поместилось :-(
13-14. На жестком диске установлена программа CyberDetective Tool kit, которая кроме своих основных функций может выполнять также функции записной книжки. На момент исследования записей в ней не обнаружено. Других программ органайзеров, записных книжек, файлов с адресами, телефонами, сетевыми реквизитами на жестком диске не обнаружено. 15-16. На представленных фрагментах бумаги и в тетради обнаружен ряд записей, являющихся адресами популярных общедоступных www-серверов, адресами электронной почты, UIN-ми пользователей сервера ICQ фирмы Mirabilis. Среди находящейся на данных бумажных носителях информации обнаружены несколько сочетаний: l:mobil1 - (вероятно является логином) p:edhjgyp6 (15 марта) - (вероятно является паролем) zzsergtsel - (вероятно является логином) s4e5p9g1 - (вероятно является паролем) для доступа через модемный пул одного из провайдеров сети "Интернет" в г.**********. На представленных на экспертизу дискетах аналогичных данных обнаружено не было. 18. На представленных дискетах и на жестком диске компьютера вредоносных программ обнаружено не было. Среди 12 компакт-дисков, особый интерес представляет CD "Анти-хакер". На нем находится большое количество технической документации по способам и технологиям взлома узлов компьютерных сетей - каталоги document\Супер Хакер и haker. В каталоге Hacktools\nuke находится программа nuke'em.exe предназначенная для атаки удаленных компьютеров, подключенных к сети "Интернет", приводящей их во временное неработоспособное состояние. В каталоге Phreak\Antiaоn находится файл dez-aon.rar, содержащий в себе программу, предназначенную для посылки ложной информации аппаратуре Автоматического Определения Номера абонента (АОН), установленной, например, на узле провайдера сети "Интернет", в результате чего возможен несанкционированный доступ к сети с использованием чужих сетевых реквизитов, под чужим телефонным номером. Данные программы на жестком диске исследуемого ПК не были обнаружены. Эксперт, старший инженер группы телеграфной связи и передачи данных эксплуатационно-технического центра при ГУВД **************** ********* старший лейтенант внутренней службы ********* ** ** --------------------- 2 Defaced Respect!
http://otdel-k.ur.ru/index.php?sid=13&pid=13 http://otdel-k.ur.ru/index.php?sid=14&pid=14 здесь тоже можно прочитать подобное тока старое. "Процессор Интел Пентиум 4, шнур, обратить в доход государства. Дискеты, компакт диски - уничтожить." =)
