
Судебно-экспертная методология, процессуальные аспекты и криминалистическая практика ⚖️🔍
Доброго дня, уважаемые коллеги — судебные эксперты, следователи, адвокаты и специалисты в области информационной безопасности! 🏛️🛡️ Сегодня мы обращаемся к одной из наиболее чувствительных и юридически значимых областей судебной компьютерной экспертизы — проблеме детекции программных средств негласного получения информации. Поиск и выявление программ слежения — это не просто техническая задача, а комплексная лабораторно-юридическая процедура, результаты которой могут стать основой для уголовного преследования по статьям 137, 138, 272 и 273 Уголовного кодекса Российской Федерации. В условиях, когда шпионское программное обеспечение внедряется не только через фишинговые ссылки, но и через аппаратные закладки, модифицированные прошивки и инжекты в легитимное ПО, профессиональный поиск и выявление программ слежения становится критическим элементом защиты конституционных прав граждан на неприкосновенность частной жизни и сохранность коммерческой тайны.
Настоящая статья представляет собой систематизированное изложение методологических основ, инструментария и процессуальных аспектов экспертной деятельности в области выявления шпионского ПО. Особое внимание уделяется разбору реальных кейсов из практики, демонстрирующих многообразие векторов проникновения, а также правовой квалификации выявленных деяний. Материал предназначен для специалистов, участвующих в судебных разбирательствах, связанных с нарушением тайны переписки, неправомерным доступом к компьютерной информации и коммерческим шпионажем.
- Правовая природа программ слежения: нормативно-правовая база и уголовно-правовая квалификация 📜⚖️
Прежде чем рассматривать методы обнаружения, необходимо чётко определить, что с юридической точки зрения представляет собой программа слежение, и почему профессиональный поиск и выявление программ слежения должен проводиться в строгом соответствии с процессуальными нормами.
Определение с позиции судебной экспертизы
Под программой-шпионом в судебной компьютерно-технической экспертизе понимается программное обеспечение, которое втайне от пользователя и без его информированного согласия собирает, копирует, передаёт или уничтожает конфиденциальную информацию. Ключевой признак, отличающий шпионское ПО от легитимных средств родительского контроля или корпоративного мониторинга, — отсутствие осведомлённости и согласия наблюдаемого лица. Важнейшая задача эксперта при поиске и выявлении программ слежения — доказать не просто наличие ПО, а его скрытный характер и отсутствие информированного согласия пользователя.
Нормативно-правовая база
В российском правовом поле установка такого ПО без согласия пользователя подпадает под действие нескольких статей Уголовного кодекса РФ:
- Статья 137 УК РФ (Нарушение неприкосновенности частной жизни) — незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия.
- Статья 138 УК РФ (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) — применяется при перехвате сообщений, прослушивании разговоров, чтении переписок в мессенджерах.
- Статья 272 УК РФ (Неправомерный доступ к компьютерной информации) — в случае, если программа-шпион получает несанкционированный доступ к файлам, паролям, учётным записям.
- Статья 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ) — если программа предназначена для несанкционированного копирования или модификации информации.
- Статья 183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну) — актуальна для корпоративного шпионажа.
Нормы об ответственности за преступления в сфере компьютерной информации осуществляют двойную превенцию, создавая правовые барьеры для совершения иных, более тяжких деяний, таких как мошенничество, хищение персональных данных или промышленный шпионаж.
Статистика и судебная практика
Анализ судебных актов за 2024-2025 годы показывает, что большинство инцидентов связаны с неправомерным доступом к компьютерной информации. В 86% проанализированных уголовных дел были вынесены обвинительные приговоры, при этом в 87% случаев к ответственности привлекались рядовые сотрудники организаций. С 2024 года действует статья 272.1 УК РФ о неправомерном получении, передаче, сборе и хранении персональных данных, предусматривающая лишение свободы от 4 до 10 лет и штрафы до 3 млн рублей.
- Методология экспертного поиска и выявления программ слежения: процессуальные и технические аспекты 🔬⚙️
Профессиональный поиск и выявление программ слежения базируется на строгих принципах криминалистики, исключающих повреждение исходных данных и гарантирующих воспроизводимость результатов. Процесс выявления шпионского ПО строится по принципу «от простого к сложному» и обязательно документируется на каждом шагу.
2.1. Фаза 1: Подготовка к исследованию — изоляция и консервация данных 🛡️
Любой поиск и выявление программ слежения начинается не с запуска сканера, а с процессуальной и технической фиксации состояния системы. Золотое правило: никогда не работать с оригинальным носителем.
Алгоритм действий на месте изъятия:
✅ Не выключать компьютер или смартфон! Выключение уничтожает оперативную память, содержащую следы fileless-вредоносов.
✅ Отключить сетевые интерфейсы (физическое отсоединение Ethernet, включение режима «в самолете»).
✅ Выполнить дамп оперативной памяти (RAM) с использованием WinPMEM (Windows) или LiME (Linux).
✅ Создать посекторную копию (образ) диска с использованием аппаратного блокиратора записи (write-blocker) — например, Tableau Forensic, Atola Insight — с параллельным вычислением хеш-суммы SHA-256.
✅ Упаковать и опломбировать оригинальный носитель и образы.
Для мобильных устройств используется аппаратно-программный комплекс (например, Cellebrite UFED, Magnet AXIOM), позволяющий получить физический дамп всей памяти, включая удалённые файлы и системные разделы, недоступные в штатном режиме работы ОС.
2.2. Фаза 2: Анализ оперативной памяти (RAM Forensics) 🧠
Многие современные импланты работают бесфайлово — они загружаются прямо в память через уязвимости или легитимные средства администрирования (PowerShell, WMI, PsExec). Такие угрозы невозможно обнаружить при сканировании диска, поэтому поиск и выявление программ слежения обязательно включает RAM-форензик.
Инструментарий: Volatility Framework, Rekall, MemProcFS.
В ходе анализа ищем:
- Инжектированные DLL в чужие процессы (svchost.exe, explorer.exe, winlogon.exe).
- Скрытые процессы и аномальные таймеры (разница между pslist и psscan).
- Подозрительные сетевые соединения на нестандартные порты (4444, 5555, 8080, 31337).
- Руткиты, перехватывающие системные вызовы (SSDT, IDT).
Кейс из практики: Выезд в Уфу — сервер бухгалтерии предприятия показывал аномальный трафик. Поиск и выявление программ слежения в дампе RAM выявил RAT-клиент, внедрённый в процесс обновления Windows, который каждые 15 минут отправлял скриншоты рабочего стола на сервер в Германии.
2.3. Фаза 3: Статический анализ файловой системы 📁
Выполняется только на образе диска, смонтированном через write-blocker. Никаких изменений оригинального носителя!
Этапы:
- Сверка хешей всех системных файлов с эталонной базой (от чистого образа той же версии ОС).
- Поиск файлов с атрибутами «скрытый», «системный» в пользовательских каталогах.
- Анализ временных меток (MAC-времена) на предмет аномалий: файл с датой создания 2015 год, но с содержимым, ссылающимся на события 2024 года — явный признак подделки.
- Сканирование по YARA-правилам (база из 5000+ сигнатур для spyware).
Особое внимание уделяется точкам персистентности:
- Ключи реестра Windows (Run, RunOnce, RunServices).
- Планировщик задач (Scheduled Task).
- Системные службы и драйверы (особенно неподписанные).
- Альтернативные потоки данных NTFS (ADS) — стандартный способ маскировки шпионского ПО.
- Теневые копии (Volume Shadow Copy) — там могут сохраниться удалённые шпионы.
Кейс из практики: Выезд в Самару — корпоративный ноутбук сотрудника работал медленно, антивирус ничего не находил. Поиск и выявление программ слежения через анализ теневых копий VSS обнаружил удалённый установщик кейлоггера, который активировался раз в сутки через планировщик задач.
2.4. Фаза 4: Динамический анализ в изолированной среде (Sandboxing) 🏜️
Запуск подозрительных файлов в изолированной среде (песочнице) с мониторингом всех действий: попыток записи в реестр, создания процессов, обращения к файловой системе и сетевой активности.
Инструменты: Cuckoo Sandbox, CAPE (современный форк Cuckoo с поддержкой Android), ANY.RUN, Joe Sandbox.
Индикаторы заражения в динамике:
- Попытки доступа к $MFT, SAM, SYSTEM (реестр).
- Вызов SetWindowsHookEx (клавиатурный шпион).
- Чтение буфера обмена (GetClipboardData).
- Отправка данных на неизвестные IP (особенно в нестандартные порты).
- Создание скрытых окон (с параметром WS_EX_TOOLWINDOW).
Важно: динамический анализ всегда проводится на виртуальных машинах, изолированных от корпоративной сети, с использованием VLAN и отдельного физического хоста.
2.5. Фаза 5: Ручной реверс-инжиниринг — для самых сложных случаев 🧬
Когда автоматические методы бессильны (например, кастомное ПО, написанное под конкретную жертву, или обфусцированный код), применяется reverse engineering. Это требует высокой квалификации и времени, но иногда только так возможен поиск и выявление программ слежения нулевого дня (zero-day).
Инструментарий: Ghidra (бесплатный дизассемблер с декомпиляцией от АНБ), IDA Pro (промышленный стандарт), x64dbg, Binary Ninja.
Кейс из практики: Выезд в Москву (медицинский центр) — в частной клинике пропали записи VIP-пациентов. Стандартный поиск и выявление программ слежения на дисках ничего не дал. Эксперты извлекли прошивку EFI через SPI-программатор с использованием flashrom. Внутри была обнаружена внедренная DLL, которая при загрузке ОС инжектировалась в процесс lsass.exe и перехватывала учетные записи врачей. Анализ в IDA Pro подтвердил функционал перехвата.
- Сетевой форензик и выявление C&C-серверов 🌐
Любая шпионская программа нуждается в управляющем сервере (C&C, C2) и канале эксфильтрации данных. Поиск и выявление программ слежения включает анализ сетевых логов.
Источники:
- PCAP-логи сетевого оборудования.
- Логи DNS-сервера.
- Логи прокси и межсетевых экранов.
Индикаторы компрометации (IoC):
- Подозрительные домены (DGA — Domain Generation Algorithm).
- Нестандартные порты (TCP/1443, 8080, 4444).
- Регулярные heartbeat-запросы к C&C-серверам (например, каждые 60 секунд).
- Асимметричный трафик (мало входящего, много исходящего — эксфильтрация).
Инструменты: Wireshark, NetworkMiner, Zeek (Bro), Suricata с правилами ET PRO, JA3/JA3S — отпечатки TLS-рукопожатий.
- Криминалистический анализ: кейсы из экспертной практики 🗂️
Профессиональный поиск и выявление программ слежения подтверждает свою состоятельность в ходе работы по конкретным уголовным делам. Рассмотрим несколько показательных кейсов, демонстрирующих разнообразие векторов проникновения.
Кейс №1: Семейная слежка на устройстве Android («Супружеский детектив») 👨👩👦
Сценарий: В лабораторию обратилась гражданка с жалобами на аномальное поведение её смартфона: быстрый разряд батареи (с 30 часов до 5 часов работы), наличие щелчков и эха во время разговоров, самопроизвольное включение экрана в ночное время, а также неизвестный сетевой трафик в объёме около 250 мегабайт в сутки. Заявительница находилась в процессе расторжения брака и подозревала супруга в установке шпионского ПО.
Вектор проникновения: Физический доступ к устройству. Муж получил доступ к смартфону на несколько минут и установил программу-шпион, замаскированную под системную службу обновлений.
Анализ: В ходе поиска и выявления программ слежения эксперты создали побитовую копию внутренней памяти с помощью аппаратно-программного комплекса. Анализ установленных приложений выявил пакет с названием, визуально неотличимым от системной службы обновлений. Отличие заключалось в одной букве в имени пакета. Цифровая подпись приложения не соответствовала сертификату разработчика ОС. Приложение запрашивало доступ к микрофону, камере, геолокации, контактам, текстовым сообщениям и возможности записи экрана.
Результат: Вредоносный пакет был удалён с сохранением пользовательских данных. Было составлено заключение, которое заявительница использовала в судебном процессе. Супруг признал факт установки шпионского ПО.
Кейс №2: Финансовый троян после перехода по фишинговой ссылке («Роковой клик») 💸
Сценарий: Гражданин получил текстовое сообщение от имени крупного банка о блокировке карты и ссылку для разблокировки. Заявитель перешёл по ссылке и ввёл свои данные. Через несколько часов с его банковского счета было списано 950 000 рублей.
Вектор проникновения: Фишинговая атака. Переход по ссылке инициировал загрузку APK-файла (загрузчика), который установил банковский троян с функцией оверлея.
Анализ: В рамках поиска и выявления программ слежения эксперты создали побитовую копию внутреннего накопителя смартфона. В системном разделе памяти было обнаружено приложение, установленное в тот же день, что и переход по ссылке. Приложение не имело иконки и было скрыто из общего списка установленных программ. Эксперты выполнили дизассемблирование исполняемого файла и выявили функции перехвата одноразовых паролей, поступающих в текстовых сообщениях от банка.
Результат: Вредоносный модуль был удалён. Заключение было передано в правоохранительные органы для возбуждения уголовного дела по ст. 159.6 УК РФ, а также использовано в банке для запуска процедуры страхового возмещения.
Кейс №3: Корпоративный шпионаж на оборонном предприятии (выезд в Московскую область) 🏭
Сценарий: Крупный производитель промышленного оборудования обнаружил, что чертежи новой линейки станков оказались у конкурента. Внутренняя ИБ-служба провела поверхностную проверку, но ничего не нашла.
Постановка задачи: Провести полный поиск и выявление программ слежения на 35 рабочих станциях конструкторского отдела и 8 серверах с PDM-системой.
Ход работ: Выездная группа создала образы дисков всех критичных машин с использованием write-blocker. Выполнен анализ оперативной памяти трёх серверов, которые нельзя было отключать — использован live-дамп через FTK Imager. Проведена глубокая сверка хешей системных файлов с эталонными образами.
Результат: На одном из серверов обнаружен руткит уровня ядра (Kernel-mode spyware), маскирующийся под драйвер файловой системы. Вредонос перехватывал обращения к файлам с расширениями.dwg,.sldprt,.stp и перед отправкой пользователю отправлял копии на внешний сервер. Имплант работал 7 месяцев, за это время утекло более 500 чертежей. Экспертное заключение передано в арбитражный суд и следственные органы по ст. 183 УК РФ.
Кейс №4: Целевая атака с использованием уязвимости нулевого дня 🌍
Сценарий: Федеральной службой безопасности Российской Федерации вскрыта и задокументирована широкомасштабная акция иностранных спецслужб по внедрению вредоносного ПО на мобильные средства коммуникации высокопоставленных российских служащих.
Внедрение: Вредоносное ПО использовалось для снятия имеющихся данных, прослушивания ведущихся переговоров, а также негласного акустического и видеоконтроля обстановки вблизи электронных устройств.
Анализ: Следственным управлением ФСБ возбуждено уголовное дело по ст. 272 и 273 УК РФ. Поиск и выявление программ слежения проводился с применением полного спектра методов — от статического анализа до реверс-инжиниринга.
Результат: Данный случай подтверждает, что даже самые современные антивирусные решения могут быть бессильны перед целевыми атаками с использованием уязвимостей нулевого дня. Только профессиональная криминалистическая экспертиза позволяет выявить такие сложные импланты.
- Инструментальный стек и технологический стенд 🛠️
Эффективность поиска и выявления программ слежения напрямую зависит от используемого инструментария. Ниже представлена систематизация инструментов по этапам анализа:
| Этап анализа | Категория инструментов | Конкретные примеры | Назначение и выходные данные |
| Сбор артефактов | Криминалистические сборщики | FTK Imager, Magnet AXIOM, Belkasoft Live RAM Capturer, Tableau TD3, Atola Insight | Создание посекторной копии диска (dd-образ), дампа оперативной памяти, извлечение ключей реестра. Сохранение целостности и хэш-сумм |
| Статический анализ | Анализаторы памяти | Volatility Framework, Rekall | Парсинг структур данных ОС в дампе памяти для поиска аномалий |
| Анализаторы файловых систем | Autopsy, The Sleuth Kit, X-Ways Forensics | Построение временной шкалы событий, поиск удаленных файлов, анализ метаданных, MFT-анализ | |
| Анализаторы реестра | Registry Explorer, PECmd | Анализ точек автозагрузки, поиск аномальных записей | |
| Динамический анализ | Системы песочниц | Cuckoo Sandbox, ANY.RUN, Joe Sandbox | Автоматизированный отчет о поведении образца: вызовы API, созданные файлы, сетевые подключения |
| Отладчики и дизассемблеры | IDA Pro, Ghidra, x64dbg | Графы вызовов функций, строковые константы, алгоритмы обфускации | |
| Сетевой анализ | Снифферы и анализаторы | Wireshark, NetworkMiner, Zeek | PCAP-файлы трафика, выделенные файлы, реконструированные сессии, статистика |
| Вспомогательные | Платформы разведки угроз | VirusTotal, MalwareBazaar, MITRE ATT&CK Navigator | Контекст по образцам (хэши, поведение), сопоставление тактик и техник |
- Процессуальное оформление результатов экспертизы 📄⚖️
Кульминацией поиска и выявления программ слежения является подготовка мотивированного экспертного заключения, которое может быть использовано в качестве доказательства в суде.
Процессуальные основания для назначения экспертизы:
- Уголовное дело (ст. 195 УПК РФ — обязательная экспертиза при наличии специальных знаний).
- Гражданское или арбитражное дело (ст. 79 АПК РФ, ст. 79 ГПК РФ).
- Административное расследование (КОАП РФ, например, незаконный сбор персональных данных).
Типовые вопросы суда эксперту: ❓
- Обнаружены ли на представленных носителях программы, предназначенные для негласного получения информации?
- Каков механизм их работы (кейлоггинг, скриншоттинг, доступ к микрофону/камере)?
- Когда и с какого IP-адреса производилась установка?
- Какой объём информации был скомпрометирован и куда она передавалась?
Эксперт предупреждается об ответственности за дачу заведомо ложного заключения по ст. 307 УК РФ. Заключение должно содержать вводную часть с указанием оснований для проведения экспертизы, исследовательскую часть с подробным описанием применённых методов и выводов, а также быть понятным для суда и участников процесса, но при этом технически обоснованным.
- Заключение и практические рекомендации 📑
Проведённое исследование показывает, что угрозы, исходящие от шпионского ПО и программ хищения денежных средств, носят системный и высокотехнологичный характер. Противодействие данным угрозам невозможно без применения сложных криминалистических методов, объединённых в рамках профессионального поиска и выявления программ слежения. Только комплексный подход, включающий статический анализ, исследование оперативной памяти, динамическое тестирование в песочнице и анализ низкоуровневых компонентов прошивки, способен гарантировать обнаружение и документирование следов ВПО.
Практические кейсы демонстрируют разнообразие векторов проникновения — от простого физического доступа до сложных целевых атак с использованием уязвимостей нулевого дня и буткитов. Внедрение научно обоснованной методологии поиска и выявления программ слежения является критическим фактором обеспечения информационной и финансовой безопасности как для частных лиц, так и для организаций.
Практические рекомендации для заказчика при подозрении на слежку: 👣
- Не выключайте компьютер или смартфон — поставьте на паузу работу, отключите сеть (выдернуть патч-корд или включить режим «в самолете»).
- Не запускайте антивирус — он может уничтожить активные трояны и их логи.
- Не копируйте файлы вручную — это изменит временные метки и может быть расценено как уничтожение следов.
- Зафиксируйте всё на фото/видео (экраны, системное время, горящие лампочки на сетевой карте).
- Обратитесь к сертифицированным экспертам для проведения процессуально корректного поиска и выявления программ слежения с созданием криминалистически корректных образов и формированием доказательной базы.
Более подробная информация о методологии и примерах экспертных заключений представлена на специализированном ресурсе: https://fse.ms



Задавайте любые вопросы