Детектирование дистрибутивов и portable-программ

Программа «Defacto» изначально создавалась и продолжает развиваться именно как программа для экспресс-аудита ПО. За счет высокой скорости работы значительно сокращается время, затрачиваемое сотрудниками правоохранительных органов на производство осмотра информационного содержимого средств вычислительной техники во время осуществления проверок и обысков. При этом немаловажным фактором является не только полнота представляемых результатов, но и скорость проводимой проверки.

В ходе проводимого программой аудита ПО анализируются как файлы реестра ОС Windows, так и каталоги НЖМД, в которые установлено ПО, а также служебные файлы ОС Windows, хранящие информацию об используемых на компьютере программах.

Программа «Defacto» принципиально не занимается перебором и проверкой всех файлов и каталогов, зарегистрированных на НЖМД, а также архивов и дистрибутивных пакетов. Целесообразность такого подхода обосновывается следующими причинами:

1) ПО, фактически установленное на НЖМД, должно являться работоспособным экземпляром ПО (иначе отсутствует смысл в его установке на НЖМД и последующем хранении), в то время как проверить целостность и комплектность дистрибутива возможно далеко не всегда. Например, дистрибутив ОС Windows представляет собой совокупность файлов, часть из которых являются архивными, при разные билды ОС имеют разную комплектность этих файлов. Выделить совокупность файлов, позволяющих отнести тот или иной набор файлов к конкретной версии ОС, в общем случае не представляется возможным. Поэтому такая проверка возможна лишь при наличии в распоряжении эксперта или специалиста эталонного образца дистрибутива конкретной версии (сборки) ПО. Впрочем, даже при наличии эталона установить точную версию (сборку) ПО не всегда представится возможным – многие распространители ПО переупаковывают исходные дистрибутивы, удаляют или заменяют не нужные на их взгляд файлы, упаковывают исполнимые файлы программ при помощи упаковщиков или навесных защит, в результате чего полученный дистрибутив будет заведомо отличаться от эталонного;
2) Одним из устанавливаемых следствием и судом по ст. 146 УК РФ обстоятельств является наличие у правонарушителя умысла на нарушение чужих исключительных прав. В том случае, когда невозможно обосновать тот факт, что пользователь ПК знал о наличии у него на НЖМД нелицензионного ПО, обнаружение такого ПО не позволит следствию сделать вывод о наличии умысла. Ситуация, в которой пользователь не знает о существовании у него на НЖМД тех или иных файлов, в современных условиях достаточно часта, например, когда компьютер пользователя с использованием вредоносных программ превращается в хранилище или перевалочный пункт для файлов, нарушающих авторские права. Только в том случает, когда ПО было установлено на компьютере и есть сведения о его запуске, можно будет делать выводы о том, что пользователь ПК был осведомлен о наличии этого ПО на НЖМД;
3) В том случае, когда ПО зарегистрировано на НЖМД, но не может быть запущено (из-за удаления или повреждения файлов программы в результате физического или программного сбоя, воздействия вредоносных программ и т.п.), оно не может считаться полноценным экземпляром ПО, а в лучшем случае - лишь его частью. Естественно, такое ПО не может быть запущено и использовано пользователем ПК, а значит и не оставит следов своей работы на НЖМД;
4) В том случае, если ПО было установлено на мобильный носитель (так называемые портативные (portable) программы на USB-flash накопителях), но запускалось (использовалось) на исследуемом ПК, в реестре и служебных файлах ОС все равно останется информация об этом ПО. Поэтому сведения о запуске портативной программы будут обнаружены и отображены программой «Defacto». Необходимо отметить, что если в распоряжении эксперта или специалиста отсутствует сменный накопитель с этим ПО, то нельзя будет сделать однозначный вывод о том, какая именно программа находилась на сменном накопителе. Связано это с тем, что ни по имени исполнимого файла, ни по имени каталога на USB-flash нельзя делать выводы о наименовании программы – файлы любой программы можно переименовать или поместить в каталог с любым именем;
5) В том случае, если портативное ПО было установлено на НЖМД и использовалось пользователем, то сведения о запуске портативной программы будут обнаружены и отображены программой «Defacto»;
6) Перебор всех файлов на НЖМД необоснованно затягивает время проверки, хотя не дает ощутимых результатов – как было показано выше, наличие каких-либо файлов на диске еще не делает эти файлы работоспособным и использовавшимся экземпляром ПО, однако вместе с тем отсутствие файлов программы на НЖМД не говорит о том, что такая программа не использовалась на исследуемом компьютере.