Počítače, notebooky, externí disky – Ing. Jiří Berger, MBA

V rámci své znalecké činnosti se dlouhodobě zabývám analýzou obsahu počítačů a notebooků. V převážné většině posudků využívám tzv. nedestruktivního zkoumání, při němž nedojde k žádnému zásahu do dat uložených na disku a z předaného hardware není po mém zkoumání patrné, že k nějakému zkoumání došlo. Interní metodika stanovuje způsob připojení disků k laboratornímu počítači a práci s nimi v každém kroku tak, aby mohlo dojít ke kompletnímu zkoumání, aniž by se jakkoliv změnil obsah disku. Samozřejmě existují případy, kdy je nutné z důvodu objektivní nemožnosti jiného postupu provádět přímé zkoumání, ale tento způsob práce se snažím využívat minimálně a pro jeho využití jsem připravil množství interních metodik a postupů.

Kromě zkoumání celých počítačů do této kategorie patří i zkoumání samostatných harddisků a externích paměťových zařízení jako jsou externí harddisky, USB paměťové klíčenky, paměťové karty různých formátů (MMC, SD, MemoryStick, MemoryStick Duo, PC card, XD apod.) nebo například obsah BlueRay, DVD, CD, ZIP a dalších médií.

Vlastní zkoumání obsahu harddisků probíhá na laboratorních počítačích a zaměřuje se zejména na obnovu smazaných dat, prohledávání obsahu disku na klíčová slova, zálohu dokumentů, audiovizuálního obsahu, obrázků a videosekvencí, dále pak na procházení internetové komunikace a její historie, tedy převážně e-mailů, navštívených internetových stránek, historie různých komunikátorů a dalších informací, které mohou sloužit jako důkaz pro další jednání případně vyšetřování.

Častý požadavkem je kompletní rekonstrukce posledního období používání daného počítače. V této oblasti vyhledávám a identifikuji napadení různými závadnými programy jako jsou viry, malware, spyware nebo backdoor, případně analyzuji způsob neoprávněného průniku k datům a provádění nelegální činnosti nad nimi.

V rámci své činnosti zajišťuji také kompletní smazání dat z harddisků počítačů, které společnosti prodávají při obměně hardware. Smazání je provedeno tak, aby nebyla možná jakákoliv obnova dat, které byly na hraddiscích dříve uloženy a k takto smazaným harddiskům vydávám i certifikát o výmazu dat.