Пробегусь по Вашим ответам, уважаемый Игорь, привязав их к конкретной ситуации.
4) Доводилось. Много раз. Только не в роли - тут не театр - а в качестве специалиста.
"Не доводилсоь. Экспертизу проводил впервые." (Из протокола допроса эксперта)
5) От следователя Пупкина. Под расписку.
Проведение экспертизы было поручено ИЦ ж/д. Соответственно руководитель учреждения назначал эксперта. Так должно быть и так было при производстве первой экспертизы. Дополнительную экспертизу проводил тот же эксперт (что не возбраняется), но поручение о производстве экспертизы получил непосредственно от следователя. Не противоречит ли это требованиям ст.16 ФЗ «О ГОСУДАРСТВЕННОЙ СУДЕБНО - ЭКСПЕРТНОЙ ДЕЯТЕЛЬНОСТИ В РОССИЙСКОЙ ФЕДЕРАЦИИ», ст.199 УПК РФ?
6) Я об этом подробно написал в заключении. Могу процитировать - то-то, то-то и то-то.
Подробно написано, что был передан системный блок и постановление о назначении экспертизы. А где же лог-файлы с сервера провайдера???
7) Я об этом подробно написал в заключении. Могу процитировать - так-то и так-то.
Я об этом подробно написал в заключении. Могу процитировать - такими-то и такими-то. Естественно, ваш эксперт мог пользоваться другими программами, поэтому тут не перечисляю.
Цитирую заключение : «Жесткий диск был подключен в режиме Master. Исследование проводилось при помощи ОС Windows 2000»
Чем проводилось исследование поверхности диска - не указано.
11) По-английски - свободно читаю и могу объясниться.
12) Считаю себя вполне компетентным. Английское слово recovery представляет из себя термин. А термин не обязательно переводится буквально. Например, словосочетание password recovery вполне может быть переведено, в зависимости от контекста, и как восстановление пароля, и как взлом пароля.
Может в этом месте вызвать специалиста? Ну, хотя бы, - студента или преподавателя с ин.яза?
13) Таких специалистов не существует вовсе. Знание принципа расшифровки лог-файлов является частью моих специальных познаний.
14) Полностью - смотрите инструкцию по ZoneAlarm. Кратко: FWIN - попытка подключения к компьютеру извне, FWOUT - попытка некоей программы на компьютере выйти в сеть.
15) В описании события FWOUT в ряде случаев указывается в явном виде программа, получавшая доступ в сеть.
Почему, в таком случае, эксперт толкует событие FWIN, как МОЮ попытку неправомерного доступа?
16) А кто сказал, что заключение сделано только на основании лог-файлов ZoneAlarm? Эксперт вполне мог сделать заключение на основании лог-файлов самой программы SMAC или чего-то еще.
Вот лог-файлы программы SMAC в заключении эксперта как - раз и отсутствуют. Проводится анализ ТОЛЬКО логов сервера и ZoneAlarm!
17) Не обнаружено - значит не обнаружено. Нигде никаких признаков этого не имеется.
18) Сперва пробовал отвечать на такие вопросы. Прерывался судьей - "Не надо, мне это неинтересно, я вам верю". Теперь не отвечаю, отсылаю к литературе.
Класс! Значит теперь меня и за изнасилование привлекут!!! Аппарат-то есть, и работоспособный (киндер тому подтверждение)!
19-22) Заключения не видел, так что прокомментировать не могу. Правда, не совсем понятно, к чему эти вопросы.
Вопросы к тому, чтобы выяснить возможность изменения сетевых настроек из сети. Если я не менял, жена работать не умеет, за компом никто не сидел (ни разу?!), то КАК МОЖНО ОБЪЯСНИТЬ всю эту свистопляску с IP и MAC адресами???
23) Например, лог-файлами самой программы. Более точно наверняка изложено в заключении.
НИКАКИМИ. Все что сказано в заключении, цитирую: «Смена MAC адреса на представленном компьютере не однократно производилась с помощью установленной программы (SMAC)»
24) Изменяется не MAC-адрес сетевой платы, а соответствующее поле в направляемых в сеть пакетах. Делать это умеют многие программы, и вовсе не только SMAC.
Пусть это скажет эксперт. В скриншотах с параметрами радио-карты явно указан мой родной MAC адрес!
25) Если и вправду проигнорировал - ату его! Потому что вообще-то такое использование вполне возможно.
26) Вопросы о мотивах и целях в компетенцию эксперта заведомо не входят. Это прерогатива следователя и суда.
Просто этот эксперт зациклился на этих программах - он даже AAPR и AZPR (которые у меня стоят со времен работы в прокуратуре - это видно по дате на скриншоте) сюда же приплетает.
28) Ответ сильно зависит от того, где именно на жестком диске такие данные были обнаружены. Если в файле подкачки - одно, а в отдельном текстовом файлике - совершенно другое. Кстати, arp-таблица на диск вообще не кешируется.
Вот то-то и оно, что результаты сканирования сети программкой EssentialNetTools сохранены в папке «Мои документы» в формате html (всего 10 файлов). Я об этом сообщил следователю еще до заключения эксперта, так же я дал пояснения - для чего я их сохранял.
29) В ряде случаев можно. Вообще это сильно зависит от топологии сети и применяемых протоколов.
Как это уточнить? Просить о проведении эксперимента?
30-34) Читайте статью 235 УПК РФ, она очень интересная. От вас требуется не принципиальная возможность проделать что-то, а доказательство того, что это было проделано.
Этими вопросами (точнее - ответами на них) ставится под сомнение, то, что ТОЛЬКО Я мог осуществить действия по подмене MAC-адреса.
Так что сомневаюсь, что эти вопросы сильно помогут...
Остается только надежда.
Ваши советы?
Вам как «неоднократному» эксперту вопрос: как связать тот факт (зарегистрировано в логах сервера провайдера), что использовались MAC адреса неизвестных пользователей? Провайдер объясняет, что данные MAC адреса использовались неустановленными(?!) пользователями, позже эти MAC адреса были изменены(
?).
