К информационным файлам относятся файлы, содержащие информацию вводимую пользователем. Как правило, такие файлы создаются с помощью одной из программ (например, текстового редактора или программы электронных таблиц) и имеют стандартное для данной программы расширение, по которому может быть определена программа в которой был создан файл. Однако, следует учесть, что пользователь сам может задать расширение сохраняемого файла. Можно сохранить текстовый документ в файл с расширением исполняемой программы (например, назвав файл command.com).
Вот список наиболее распространенных расширений файлов и наиболее распространенных программ, создающих по умолчанию файлы с такими расширениями:
текстовые файлы:
doc – создается программами Microsoft Word (встречаются как отдельные версии, так и в составе пакета Microsoft Office) и Lexicon (Лексикон);
dot – файл шаблона программы Microsoft Word;
txt – текстовый файл (как правило в кодировке MS–DOS);
файлы электронных таблиц:
xls – создается программой Microsoft Excel (встречаются как отдельные версии, так и в составе пакета Microsoft Office);
xlt – файл шаблона программы Microsoft Excel;
файлы баз данных:
mdb, mda – файл программами Microsoft Access (встречаются как отдельные версии, так и в составе пакета Microsoft Office);
pdx, px,mb – файл в формата Paradox;
db, dbf – файл формата dBASE;
ora – файла Oracle;
mdf, ldf – файлы Microsoft SQL;
графические форматы файлов:
jpq, tif, gif, pcx, bmp, tga – являются стандартными форматами и могут быть созданы практически любой программой для обработки графики (например, Adobe PhotoShop, Corel Photo Paint и др.);
файлы программ электронной верстки:
psd – файл программы Adobe PhotoShop;
pm, p?? – (где?? – цифры соответствующие версии, например для версии 6.5 расширение имеет вид р65) файл программы Page Maker;
ai – файл программы Adobe Illustrator;
cdr – файл программы CorelDraw;
qxp – файл программы Quark X–press;
файлы программ мультимедиа:
wav, mp3, mid, voc – звуковые файлы;
avi, mpq, mov – файлы видеоизображений;
файлы создаваемые программами архиваторами (упаковщиками) (данные программы применяются для сжатия файлов. При сжатии файлов в архив могут использоваться пароли для ограничения доступа):
arj, zip, rar, ha, lha, lzh, tar, arc;
прочие файлы:
html, htm – файлы написанные на языке html, могут быть просмотрены с помощью любого интернет браузера (Microsoft Explorer, Netscape Navigator и т.д.);
pdf – файлы публикаций, могут быть созданы рядом программ электронной верстки или программой Adobe Acrobat Distiller и просмотрены с помощью программы Adobe Acrobat Reader;
ps, eps –файл на языке постскрипт. Создается программами верстки для распечатки на печатающие устройства, поддерживающие данный язык или вывода на полиграфическое оборудование. Может быть преобразован для просмотра в pdf файл с помощью программы Adobe Acrobat Distiller;
dwg – файл конструкторского пакета AutoCAD;
asm, c, cpp, pas, vbs, bas – файлы исходных текстов программ, созданных на различных языках программирования;
Краткое содержание экспертного исследования
В качестве примера рассмотрим экспертное заключение по исследованию системного блока персонального компьютера и поиску файлов на жестком диске данного компьютера.
Для исследования жестких дисков необходимо использовать стендовый компьютер. В предварительной части заключения необходимо подробно описать используемые экспертом аппаратные и программные средства. Если в экспертизе проводиться распечатка каких либо файлов найденных на исследуемом жестком диске, необходимо указать модель принтера, на которой производилась распечатка, из какой программы и какие параметры при этом использовались.
На первой стадии эксперт производит внешний осмотр и описание системного блока. Затем производится его вскрытие и подробно описываются его составляющие и конфигурация.
Пример.
Системный блок собран в корпусе типа "тауэр" с размерами 335х180х400 мм. На лицевой стороне расположены: устройство для чтения компакт–дисков (CD–ROM), устройства для чтения гибких магнитных дисков размером 3,5 дюйма, кнопка включения компьютера, кнопки "сброс" и включения режима "турбо", наклейка с эмблемой и надписью "KT TECHNOLOGY pentium system", трехзначный цифровой индикатор и три светодиодных индикатора. На тыльной стороне компьютера размещены разъемы интерфейсных устройств.
При визуальном осмотре компьютера со снятой крышкой кожуха было обнаружено, что данный системный блок находится в собранном состоянии.
Системная плата собрана на VIA чипсете. На ней интегрированы: контроллеры портов ввода/вывода (два последовательных порта и один параллельный), двухканальный контроллер накопителей на жестких дисках EIDE, контроллер накопителей на гибких дисках. На плате в гнездо типа Socket 7 установлен процессор типа Pentium с тактовой частотой 150 МГц, и в слоты для установки памяти установлено два модуля памяти типа SIMM 72 pin по 8 Мб каждый. В слот расширения типа PCI вставлена плата видеоадаптера фирмы SiS, модель 6215 PCI. В слоты расширения типа ISA вставлена звуковая карта типа ESS 1868.
В корпусе системного блока установлены три накопителя: накопитель на гибких магнитных дисках 3,5 дюйма, накопитель на оптических дисках CD–ROM фирмы Samsung, модель SCR–1231 и накопитель на жестких магнитных дисках фирмы Western Digital типа Caviar 11000 объемом 1000 Мб 3,5', серийный номер WD23487A, с интерфейсом типа EIDE.
После производиться отключение жесткого диска, и системный блок (без жесткого диска!) включается в сеть для определения установок БИОС, уточнения конфигурации и определения работоспособности.
Следующий этап – исследование жесткого диска. На этом этапе, одной из главнейших задач является обеспечение полной сохранности информации на исследуемом диске. Т.е. при исследовании эксперт должен обеспечить условия при которых на исследуемый диск не будет производиться запись. В идеальном варианте эксперт должен с помощью специальных средств создать полную копию исследуемого жесткого диска на физическом уровне на такой же диск и в дальнейшем работать только с ним. Однако, данный вариант в большинстве случаев не возможен. В этом случае, эксперт подключает исследуемый диск в качестве дополнительного к стендовому компьютеру и производит загрузку ОС MS–DOS (или его аналога) без загрузки каких–либо драйверов и дополнительных программ. После определяется тип файловой системы используемой на исследуемом жестком диске (например, с помощью программы fdisk).
Если на жестком диске содержаться разделы типа FAT и его модификаций, то на стендовом компьютере лучше всего использовать ОС Windows 95 OSR2 русскую версию. Перед подключением исследуемого жесткого диска необходимо отключить все резидентные программы, загружаемые в данной ОС и производящие операции записи на диск. Исследуемый диск должен быть установлен в системе как дополнительный съемный диск. Все файлы с исследуемого диска копируются на диск стендового компьютер. После отключается исследуемый диск, и проводиться исследование скопированных файлов. При этом желательно загрузить резидентную программу антивирус.
Поиск среди удаленных файлов можно проводить с помощью программы UnErase Wizard из пакета Norton Utilities. В случае, если можно определить какие либо ключевые фразы искомые на жестком диске, можно произвести поиск по диску с помощью программы Disk Edit из этого же пакета. При таком поиске могут быть обнаружены фрагменты удаленных файлов, которые не могут быть восстановлены с помощью UnErase Wizard.
В заключении исследования, его синтезирующей части, даётся общая суммарная оценка результатов проведённого исследования компьютерных средств и обоснование выводов, к которым пришёл эксперт. Выводы представляют собой ответы на поставленные перед экспертом вопросы и являются умозаключением, которое эксперт делает по результатам проведённых исследований на основе выявленных или представленных ему данных об исследуемом объекте КТЭ и общего научного положения соответствующей отрасли знания – электроники, радиотехники, программирования и т.п.
Контрольные вопросы:
1. Содержание экспертного исследования
2. Как правильно подготовиться к обыску?
3. Как правильно провести обыск?
4. Как правильно выключить компьютер?
5. Как правильно изъять компьютер?
6. Какие меры предосторожности при транспортировке и хранении изъятых технических средств и магнитных носителей?
7. Как правильно опечатывать компьютеры и носители информации?