Каким способом следует выключать компьютер, который подлежит изъятию и который застали во включенном состоянии?
По большому счету, выбор сводится к двум вариантам: воспользоваться штатной командой выключения или выключить прерыванием электропитания. Рассмотрим преимущества и недостатки каждого из методов.
Команда завершения работы и выключения компьютера имеется в составе почти всех ОС. Часто та же команда не только завершает работу ОС, но и выключает электропитание. Иногда только завершает работу, а блок питания надо будет выключить вручную.
По большому счету, выбор сводится к двум вариантам: воспользоваться штатной командой выключения или выключить прерыванием электропитания. Рассмотрим преимущества и недостатки каждого из методов.
Команда завершения работы и выключения компьютера имеется в составе почти всех ОС. Часто та же команда не только завершает работу ОС, но и выключает электропитание. Иногда только завершает работу, а блок питания надо будет выключить вручную.
Во время процедуры завершения работы закрываются все открытые файлы, стираются временные файлы, иногда очищается область подкачки (своп). Кроме того, всем текущим процессам посылается сигнал завершения работы. Что именно будет делать программа, получив такой сигнал, в общем случае сказать нельзя. Большинство программ просто завершают работу. Некоторые сохраняют промежуточные варианты данных. Другие, напротив, стирают свои временные файлы. Ряд вредоносных программ, таких как троян или руткит, могут при сигнале завершения работы целенаправленно уничтожить следы своего присутствия.
Если перед выключением специалист снял короткоживущие данные, то почти все недостатки этого метода выключения можно считать компенсированными.
Кроме того, при завершении работы может сработать специально установленная логическая бомба, которая уничтожит самые важные данные. Такие бомбы (к тому же связанные с командой завершения работы) встречаются редко, но все же...
Прерывание электропитания осуществляется вытаскиванием электрического шнура из компьютера. Причем лучше вытаскивать тот конец, который подключен к компьютеру, а не тот, который к стенной розетке.
Дело в том, что между розеткой и компьютером может оказаться источник бесперебойного питания. Он не только станет поддерживать напряжение, но и может дать компьютеру команду завершения работы. Для ноутбуков, кроме того, следует извлечь аккумулятор.
В случае прерывания электропитания все временные файлы остаются нетронутыми. Но зато может быть нарушена целостность файловой системы, если прерывание электропитания застанет компьютер в момент проведения файловой операции. Испорченная файловая система в большинстве случаев может быть потом восстановлена, но не все экспертные системы поддерживают такую операцию, а экспертное изучение испорченной файловой системы затруднено. Кроме того, могут появиться локальные дефекты в некоторых открытых на запись файлах, например лог-файлах.
Вариант выключения выбирает специалист, исходя из обстоятельств дела: насколько важны временные файлы, можно ли предполагать наличие вредоносных программ. При отсутствии специалиста или при неясности указанных обстоятельств следует избрать метод выключения прерыванием электропитания.
Стоит ли упоминать, что примененный метод выключения компьютера должен быть указан в протоколе?
Некоторые криминологи даже советуют поступать следующим образом. Если подозреваемый, в доме или на рабочем месте которого производится обыск, настаивает на «правильном» выключении компьютера, то согласиться для виду, но не позволять ему проделывать такую операцию. Вместо этого попросить написать или нарисовать необходимую последовательность действий. Этот документ приобщить к делу, а компьютер выключить методом обесточивания. При последующей экспертизе, если эксперт установит, что описанная подозреваемым последовательность действий должна была привести к уничтожению существенной для дела информации, это будет лишним доказательством вины и, возможно, отягчающим обстоятельством.
Такой совет применить его вряд ли удастся. Тем не менее следует помнить о возможности подобного обмана со стороны подозреваемого.
Например, многие модели криптодисков имеют штатную возможность под названием «пароль для работы под контролем». Это альтернативный пароль, при вводе которого вместо подключения криптодиска безвозвратно уничтожается ключ шифрования, так что все защищенные данные становятся недоступны навек. При этом либо имитируется внешний сбой, либо вместо истинного криптодиска подключается имитационный, с безобидными данными. Еще раз напомним, что «работа под контролем» – это не кустарная поделка, а штатная возможность всякой добротно сделанной системы защиты.
Если перед выключением специалист снял короткоживущие данные, то почти все недостатки этого метода выключения можно считать компенсированными.
Кроме того, при завершении работы может сработать специально установленная логическая бомба, которая уничтожит самые важные данные. Такие бомбы (к тому же связанные с командой завершения работы) встречаются редко, но все же...
Прерывание электропитания осуществляется вытаскиванием электрического шнура из компьютера. Причем лучше вытаскивать тот конец, который подключен к компьютеру, а не тот, который к стенной розетке.
Дело в том, что между розеткой и компьютером может оказаться источник бесперебойного питания. Он не только станет поддерживать напряжение, но и может дать компьютеру команду завершения работы. Для ноутбуков, кроме того, следует извлечь аккумулятор.
В случае прерывания электропитания все временные файлы остаются нетронутыми. Но зато может быть нарушена целостность файловой системы, если прерывание электропитания застанет компьютер в момент проведения файловой операции. Испорченная файловая система в большинстве случаев может быть потом восстановлена, но не все экспертные системы поддерживают такую операцию, а экспертное изучение испорченной файловой системы затруднено. Кроме того, могут появиться локальные дефекты в некоторых открытых на запись файлах, например лог-файлах.
Вариант выключения выбирает специалист, исходя из обстоятельств дела: насколько важны временные файлы, можно ли предполагать наличие вредоносных программ. При отсутствии специалиста или при неясности указанных обстоятельств следует избрать метод выключения прерыванием электропитания.
Стоит ли упоминать, что примененный метод выключения компьютера должен быть указан в протоколе?
Некоторые криминологи даже советуют поступать следующим образом. Если подозреваемый, в доме или на рабочем месте которого производится обыск, настаивает на «правильном» выключении компьютера, то согласиться для виду, но не позволять ему проделывать такую операцию. Вместо этого попросить написать или нарисовать необходимую последовательность действий. Этот документ приобщить к делу, а компьютер выключить методом обесточивания. При последующей экспертизе, если эксперт установит, что описанная подозреваемым последовательность действий должна была привести к уничтожению существенной для дела информации, это будет лишним доказательством вины и, возможно, отягчающим обстоятельством.
Такой совет применить его вряд ли удастся. Тем не менее следует помнить о возможности подобного обмана со стороны подозреваемого.
Например, многие модели криптодисков имеют штатную возможность под названием «пароль для работы под контролем». Это альтернативный пароль, при вводе которого вместо подключения криптодиска безвозвратно уничтожается ключ шифрования, так что все защищенные данные становятся недоступны навек. При этом либо имитируется внешний сбой, либо вместо истинного криптодиска подключается имитационный, с безобидными данными. Еще раз напомним, что «работа под контролем» – это не кустарная поделка, а штатная возможность всякой добротно сделанной системы защиты.
