Форензика – компьютерная криминалистика. Николай Федотов

Название Термин «форéнзика» произошел от латинского «foren», что значит «речь перед форумом», то есть выступление перед судом, судебные дебаты – это был один из любимых жанров в Древнем Риме, известный, в частности, по работам Цицерона. В русский язык это слово пришло из английского. Термин «forensics» является сокращенной формой «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – именно то, что в русском именуется криминалистикой. Соответственно, раздел криминалистики, изучающий компьютерные доказательства, называется по-английски «computer forensics». При заимствовании слово сузило свое значение. Русское «форензика» означает не всякую криминалистику, а именно компьютерную. Традиционные разделы криминалистики – дактилоскопия, баллистика, токсикология – развиваются уже более ста лет. В них не только накоплен большой опыт и отточены методики исследования. Некоторые особенности криминалистических технологий отражены в законодательстве. Например, законодательством прямо предусматривается взятие отпечатков пальцев и отстрел оружия в определенных случаях. Компьютерная криминалистика только что родилась. Опыт и инструментарий ее пока невелик. А требования законодательства совсем не заточены под особенности применяемых технологий, и даже иногда препятствуют их использованию. Форензика оказалась почти не связанной с другими разделами криминалистики. Разве что прослеживается некоторая связь с технико-криминалистическим исследованием документов – компьютеры и компьютерная периферия широко применяются для подделки традиционных, бумажных документов. Внутри форензики уже наметился один обособленный раздел – исследование программ для ЭВМ. Изучение устройства программ по исполняемому коду, методы создания вредоносных программ и противодействия им – это требует своих методов, существенно отличающихся от прочих методов форензики, применяемых для поиска, сбора и исследования цифровых доказательств. Хорошие специалисты по вредоносным программам, как правило, имеют узкую специализацию и не занимаются ничем иным – ни восстановлением скрытой информации, ни фиксацией короткоживущих данных, ни трассировкой источника DoS-атаки. Для полного понимания данной книги необходимо владеть компьютером на уровне продвинутого пользователя и иметь базисные представления о современных коммуникационных технологиях и Интернете. Автор весьма опечален, что пришлось ограничить таким образом круг читателей, но, к большому сожалению, по-другому поступить невозможно. Понимание материала настоятельно требует специальных познаний. Если вдаваться в подробные объяснения о том, что такое файловая система, как работает протокол TCP или почему мощность процессора не влияет на скорость интернет-соединения, то вместо работы по криминалистике получится пятисотстраничный самоучитель по работе на компьютере, в котором всего несколько страниц – по делу. Именно такая история происходит с большинство книг, изданных в Европе и США [1-6, 74], которым подошло бы название «Компьютерная криминалистика для чайников». Также практикуется чисто популяризаторский подход, при котором материал излагается поверхностно, хотя и занимательно; специальных знаний не требует, но и не дает [39]. Если в подробные объяснения не вдаваться, а просто привести определения всех используемых терминов, как это любят делать отечественные авторы, то подготовленный читатель будет на этих страницах скучать, а неподготовленный все равно ничего не поймет. Определения – не объяснения. Подобный метод изложения незнакомого материала напоминает книгу на иностранном языке, к которой приложен словарь этого языка; одним читателям он не нужен, другим не поможет. Поэтому не остается ничего иного, как рассчитывать на определенный уровень компьютерной грамотности читателя. А имеющийся в конце книги словарь компьютерных терминов преследует совсем иную цель – отделить устоявшиеся термины от жаргонных и указать, какие из многочисленных вариантов следует использовать в официальных документах.

Скачать книгу в формате PDF