Комплексная экспертиза, правовая база и практические кейсы

📚 Глава 1. Правовые основы деятельности по выявлению шпионского ПО

Процесс выявления программ-шпионов на смартфоне и пк должен осуществляться в строгом соответствии с законодательством Российской Федерации. Ниже приведён перечень ключевых нормативных актов.

1.1 Уголовно-процессуальное законодательство

Уголовно-процессуальный кодекс РФ (УПК РФ):

• Статья 57 УПК РФ — эксперт даёт заключение от своего имени, предупреждается об ответственности по ст. 307 УК РФ за дачу заведомо ложного заключения.

• Статья 195 УПК РФ — экспертиза назначается постановлением следователя или определением суда. В постановлении указываются вопросы, объекты и экспертное учреждение.

• Статья 204 УПК РФ — структура заключения эксперта (вводная, исследовательская часть, выводы).

1.2 Материальное уголовное право

Уголовный кодекс РФ (УК РФ):

• Статья 138.1 УК РФ — незаконный оборот специальных технических средств для негласного получения информации (сталкервары, шпионские приложения). Санкция — до 4 лет лишения свободы. 🚨

• Статья 272 УК РФ — неправомерный доступ к компьютерной информации (копирование данных без согласия). Санкция — до 7 лет.

• Статья 273 УК РФ — создание, использование и распространение вредоносных программ. Санкция — до 7 лет.

• Статья 183 УК РФ — незаконные получение и разглашение коммерческой тайны. Санкция — до 10 лет.

1.3 Гражданское законодательство

Гражданский кодекс РФ (ГК РФ):

• Статья 152.1 — охрана изображения гражданина.

• Статья 152.2 — охрана частной жизни.

Эти статьи могут служить основанием для взыскания компенсации морального вреда при незаконном сборе данных через шпионское ПО. 💰

1.4 Специальные федеральные законы

• ФЗ от 31.05.2001 № 73-ФЗ «О государственной судебно-экспертной деятельности в РФ» — устанавливает требования к экспертам, методикам и аттестации.

• ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

• ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» — нарушается практически любым шпионским ПО.

Вывод: При проведении выявления программ-шпионов на смартфоне и пк эксперт должен не только технически идентифицировать вредоносное ПО, но и квалифицировать его с точки зрения указанных статей. Это повышает ценность заключения для следствия и суда. 📜✅

🔬 Глава 2. Универсальная методология выявления шпионского ПО

Независимо от типа устройства (смартфон или ПК), профессиональное выявление программ-шпионов на смартфоне и пк строится на единых принципах. Ниже представлен стандартный протокол нашей лаборатории.

2.1 Приём объектов и обеспечение сохранности доказательств

Объектами исследования могут быть: смартфоны (iOS, Android), планшеты, ноутбуки, стационарные ПК, внешние носители. При приёме составляется акт, в котором фиксируются:

• Модель, серийные номера, IMEI (для телефонов), MAC-адреса.

• Внешнее состояние, наличие повреждений, следов вскрытия.

• Упаковка (антистатический пакет, контейнер).

Объект помещается в сейф с ограничением доступа. Нарушение chain of custody влечёт признание заключения недопустимым доказательством (ст. 75 УПК РФ). 🔐📦

2.2 Создание криминалистически чистых копий

Золотое правило: все исследования проводятся на копии, а не на оригинале.

Все копии снабжаются хеш-суммой SHA-256, которая вносится в протокол. 💾🔏

2.3 Статический анализ (поиск артефактов)

Образ диска или резервная копия анализируются с использованием специализированного ПО:

• Magnet AXIOM — анализ мобильных устройств и ПК, поиск скрытых приложений, разрешений.

• Oxygen Forensic Detective — глубинная выгрузка артефактов из iOS/Android.

• X-Ways Forensics — ручной анализ файловых систем ПК и дампов Android.

• Autopsy / The Sleuth Kit — для анализа образов дисков ПК.

Целевые индикаторы шпионского ПО:
🔹 Приложения с нестандартными именами (System Update, WiFi Service, com.engineering.sys.helper).
🔹 Наличие MDM-профилей на iOS (часто используются для скрытой установки).
🔹 Приложения с избыточными разрешениями (доступ к микрофону, камере, геолокации, SMS, контактам).
🔹 Необычные файлы в скрытых директориях (.cache, .thumbnails, .logs, Temp).
🔹 Подозрительные записи в реестре Windows (автозагрузка, сервисы).
🔹 Планировщики заданий (cron, Task Scheduler) с периодическим запуском неизвестных скриптов.

2.4 Поведенческий анализ в изолированной среде

Обнаруженные подозрительные файлы (APK, IPA, EXE, DLL, скрипты) не запускаются на реальных устройствах. Используются:

• Cuckoo Sandbox (модифицированная версия) — для Windows, Android.

• Corellium — для iOS-приложений.

• Android Studio Emulator — для динамического тестирования APK.

Регистрируемые поведенческие маркеры:

• Отправка HTTP/HTTPS POST-запросов на внешние серверы с большими объёмами данных.

• Использование AccessibilityService (Android) для чтения уведомлений.

• Циклическое чтение буфера обмена, клавиатурный перехват (keylogging).

• Запись аудио или видео без индикации.

• Сканирование сетевых дисков и папок на наличие документов с определёнными расширениями (.doc, .xls, .pdf, .dwg).

2.5 Реверс-инжиниринг (статический анализ кода)

При выявлении вредоносной активности проводится дизассемблирование и декомпиляция:

• jadx (Android) — DEX → Java.

• Ghidra / IDA Pro — для нативных библиотек (C/C++), а также для EXE/DLL Windows.

• dnSpy — для .NET-сборок.

• strings и objdump (Linux/macOS) — быстрый поиск подозрительных строк.

В коде анализируются:

• Наличие строк с URL, IP-адресами, email, токенами, ключами шифрования.

• Вызовы функций: sendMessageLogs(), uploadScreenshot(), recordAudio(), getLocation(), CopyFile().

• Криптографические обфускации (XOR, AES, Base64) — попытка скрыть передаваемые данные.

• Модули для работы с мессенджерами (Telegram, WhatsApp, Viber) через чтение баз данных или AccessibilityService.

2.6 Анализ оперативной памяти

Если был получен дамп RAM (для ПК или включённого смартфона), применяется Volatility 3 (с кастомными профилями). Исследуются:

• Скрытые процессы (не отображаемые в стандартных менеджерах).

• Инжектированные DLL в легитимные процессы.

• Сетевые соединения без привязки к процессу.

• Возможные руткиты на уровне ядра.

2.7 Формирование заключения эксперта

Итоговый документ оформляется по ст. 204 УПК РФ и включает:

1. Вводную часть — дата, место, основание, сведения об эксперте (предупреждение по ст. 307 УК РФ), перечень объектов, вопросы, применённые методики.

2. Исследовательскую часть — пошаговое описание действий, выявленные артефакты (скриншоты, распечатки кода), хеш-суммы.

3. Выводы — категоричные ответы на поставленные вопросы (например: «На смартфоне и ПК обнаружены программы-шпионы, осуществляющие сбор и передачу данных…»).

Только соблюдение всех этапов делает выявление программ-шпионов на смартфоне и пк юридически значимым и воспроизводимым. 🧾✅

📋 Глава 3. Кейс №1: Корпоративный шпионаж — синхронизация телефона и ПК (Москва)

Обстоятельства. АО «СтройИнвест» (г. Москва) понесло убытки в размере 18 млн рублей из-за утечки тендерной документации. Руководство заподозрило, что шпионское ПО работает одновременно на смартфоне коммерческого директора (iPhone 13) и его рабочем ПК (Dell, Windows 11). Данные синхронизировались через облачный сервер. Следователь назначил комплексную судебную компьютерно-техническую экспертизу. 🏢📱💻

Вопросы эксперту:

1. Имеются ли на смартфоне и ПК программы-шпионы?

2. Осуществляется ли между ними синхронизация данных?

3. Какие данные передаются и на какие внешние адреса?

Ход экспертизы (лаборатория, Москва).

Этап 1. Приём объектов: смартфон (iPhone 13) и ПК (системный блок) приняты по актам. Созданы: зашифрованная резервная копия смартфона через iTunes и образ SSD ПК через Tableau Forensic Bridge. Хеши SHA-256 внесены в протокол.

Этап 2. Анализ смартфона (Magnet AXIOM): обнаружен MDM-профиль «CorpMonitor», не связанный с ИТ-политикой компании. В рамках профиля установлено приложение com.corp.monitor, отсутствующее в App Store. Приложение имело разрешения на чтение всех уведомлений, геолокацию, доступ к микрофону.

Этап 3. Анализ ПК (X-Ways Forensics): обнаружен скрытый процесс svchost.exe (маскировка), запущенный из C:\Windows\Temp\sysupdate. EXE-файл извлечён.

Этап 4. Реверс-инжиниринг (Ghidra): в коде приложения на смартфоне и на ПК обнаружены одинаковые строки: https://5.188.210.33:8443/api/sync, upload_logs, screenshot. Оба приложения отправляли данные на один и тот же C2-сервер. На ПК программа каждые 10 минут делала скриншот активного окна и отправляла на сервер, а также копировала файлы из папки «Документы». На смартфоне — перехватывала сообщения из WhatsApp и геолокацию.

Этап 5. Поведенческий анализ: в песочнице подтверждена синхронизация — данные с обоих устройств отправлялись на общий сервер с интервалом 5–10 минут.

Заключение эксперта. На смартфоне и ПК выявлены шпионские программы, работающие в связке. Данные собирались и передавались на внешний сервер. Установлен IP-адрес злоумышленника (бывший системный администратор).

Юридический исход. Заключение признано допустимым доказательством. Возбуждено уголовное дело по ст. 183, 272, 138.1 УК РФ. Ущерб взыскан в полном объёме.

Вывод. Комплексное выявление программ-шпионов на смартфоне и пк позволяет раскрыть сложные схемы корпоративного шпионажа, где данные перетекают между устройствами. 🔍⚖️

📱 Глава 4. Кейс №2: Семейный шпионаж — слежка через смартфон и домашний ПК (выезд в Воронеж)

Ситуация. Гражданка В. (г. Воронеж) обратилась в суд с иском о защите частной жизни (ст. 152.2 ГК РФ). Её бывший муж, по её мнению, установил шпионское ПО на её смартфон (Samsung Galaxy S22) и домашний ПК (ноутбук ASUS). Она замечала, что он комментирует её переписку и знает о её перемещениях. Истица не могла приехать в Москву по состоянию здоровья, суд назначил выездную экспертизу. 👨‍👩‍👧⚖️

Выездная экспертиза. Наша группа вылетела в Воронеж, временная лаборатория организована на базе местного юридического центра.

Ход исследования (4 дня):

День 1. Приём объектов: смартфон (по акту), ноутбук (по акту).

День 2. Смартфон (Android): создана резервная копия через ADB (root нет). В Oxygen Forensic обнаружено приложение com.android.sys.helper с разрешениями на доступ к микрофону, геолокации, SMS и контактам. APK декомпилирован в jadx, найдены классы KeyLogger, SendLocation, URL http://185.130.5.66:8080.

День 3. Ноутбук (Windows 10): создан образ SSD через Tableau. В реестре обнаружен ключ автозагрузки HKLM\Software\Microsoft\Windows\CurrentVersion\Run с параметром syshelper = C:\Users\Public\updater.exe. Файл извлечён. Реверс-инжиниринг (IDA Pro) показал, что программа каждые 5 минут отправляла скриншоты и историю браузера на тот же IP-адрес.

День 4. Поведенческий анализ в песочнице подтвердил синхронизацию — оба устройства отправляли данные на один сервер. В дампе RAM ноутбука (горячее копирование) найден активный процесс шпиона.

Заключение. На смартфоне и ПК обнаружены шпионские программы, работающие в связке. Суд принял заключение как доказательство. Бывший муж обязан удалить шпионское ПО, выплатить компенсацию морального вреда (150 000 руб.) и возместить судебные издержки.

Значение кейса. Выездной формат позволил оперативно провести выявление программ-шпионов на смартфоне и пк и представить результаты в суд без пересылки устройств в Москву. ✈️🔐

🏭 Глава 5. Кейс №3: Промышленный шпионаж — сервер как точка сбора (выезд в Тюмень)

Обстоятельства. Нефтесервисная компания «ТюменьНефтеГаз» понесла убытки в размере 45 млн рублей из-за утечки геологоразведочных данных. Подозрение пало на ноутбуки геологов (Windows) и их смартфоны (Android), которые синхронизировались с корпоративным сервером. Руководство заподозрило, что шпионское ПО установлено и на клиентских устройствах, и на сервере. Удалённый анализ невозможен (изолированная сеть), сервер нельзя отключать. 🏭⛽

Решение. Наша лаборатория направила двух экспертов в Тюмень. Выездная экспертиза согласована с руководством и местным УВД.

Этапы выездной экспертизы (6 дней):

Дни 1–2. Прибытие, фотофиксация, изъятие 5 ноутбуков и 8 смартфонов (по актам). Создание копий: физические дампы EMMC для смартфонов (Medusa Pro), образы SSD для ноутбуков (Tableau).

День 3. Копирование сервера (HP ProLiant, RAID 10 на 10 ТБ) через Tableau Forensic Bridge + дамп RAM (winpmem).

Дни 4–5. Полевой анализ:

• На смартфонах обнаружено приложение com.geo.sync с кодом отправки GPS-координат и фотографий местности на сервер http://5.188.210.90:8080.

• На ноутбуках — процесс winsync.exe, загруженный из скрытой папки, который отправлял файлы .dxf, .shp (геоданные).

• На сервере в дампе RAM найден вредоносный процесс, агрегировавший данные со всех устройств и пересылавший их на внешний FTP.

День 6. Оформление предварительного заключения. Образы доставлены в Москву для углублённого реверса.

Заключение. Шпионское ПО обнаружено на всех устройствах и сервере. Установлен факт промышленного шпионажа с использованием единой C2-панели. Суд удовлетворил иск на сумму 42 млн рублей.

Вывод. Данный кейс подтверждает необходимость выездной экспертизы для анализа стационарных серверов. Мы готовы вылетать в любой регион России для комплексного выявления программ-шпионов на смартфоне и пк. 🌍✈️

🛠️ Глава 6. Инструментарий эксперта: оборудование и ПО

Для обеспечения качественного выявления программ-шпионов на смартфоне и пк наша лаборатория использует следующий арсенал.

6.1 Аппаратные средства

6.2 Программное обеспечение

• Magnet AXIOM 8 — анализ мобильных устройств и ПК.

• Oxygen Forensic Detective 15 — глубинный анализ iOS/Android.

• X-Ways Forensics — ручной анализ файловых систем.

• Volatility 3 — анализ дампов RAM.

• Ghidra, IDA Pro, jadx, dnSpy — реверс-инжиниринг.

• Cuckoo Sandbox (модифицированная версия) — динамический анализ.

6.3 Собственные разработки

• База сигнатур SpyBase (более 16 000 образцов шпионского ПО).

• YARA-правила для детекции сталкерваров и RAT.

• Скрипт-анализатор разрешений Android — автоматическое выявление подозрительных приложений.

• Модуль поиска синхронизации — выявление общих C2-серверов для разных устройств.

Без этого арсенала профессиональное выявление программ-шпионов на смартфоне и пк невозможно. 🧰🔒

🌐 Глава 7. Выездная экспертиза: регламент и география

Наша лаборатория базируется в Москве. Однако для сложных дел, когда требуется анализ стационарных серверов и множества устройств на месте, мы организуем выезд.

Основания для выезда:

• Наличие сервера, синхронизирующегося со смартфонами и ПК (нельзя отключить или переместить).

• Режимный объект (оборонка, гостайна) — вывоз устройств запрещён.

• Огромный объём данных (RAID-массивы от 10 ТБ).

• Желание заказчика сохранить конфиденциальность (данные не покидают организацию).

Регламент выездной экспертизы:

1. Подготовка — изучение задания, согласование доступа, бронирование билетов.

2. Прибытие — фотофиксация, сверка оборудования.

3. Копирование — дампы EMMC (смартфоны), образы дисков (ПК, серверы), дампы RAM.

4. Полевой анализ — быстрая идентификация явных шпионов (YARA, поведенческие индикаторы).

5. Транспортировка образов в Москву (при необходимости углублённого реверса).

6. Формирование заключения и передача заказчику.

География выездов (2023–2025):

Москва (база), Санкт-Петербург, Казань, Екатеринбург, Новосибирск, Воронеж, Тюмень, Красноярск, Иркутск, Хабаровск, Владивосток, Ростов-на-Дону, Краснодар, Нижний Новгород, Самара, Челябинск, Омск, Уфа, Пермь, Волгоград, Саратов, Калининград, Мурманск, Архангельск, Севастополь, Симферополь, Якутск, Петропавловск-Камчатский.

Мы готовы вылетать в любой регион России. 🗺️✈️

📊 Глава 8. Статистика эффективности методов

На основе 850 экспертиз, проведённых в 2024 году, получены следующие показатели эффективности выявления программ-шпионов на смартфоне и пк:

Вывод: только комплексная методика даёт достоверность, достаточную для суда. 📈✅

🧾 Глава 9. Рекомендации для заказчиков

Для следователей и судей:

• Назначайте экспертизу незамедлительно.

• Чётко формулируйте вопросы: охватывайте оба типа устройств (смартфон и ПК), а также возможную синхронизацию.

• При наличии сервера — требуйте выездную экспертизу.

Для адвокатов и юристов:

• Ходатайствуйте о назначении комплексной экспертизы.

• Проверьте, предупреждён ли эксперт по ст. 307 УК РФ.

• Присутствуйте при производстве экспертизы (ст. 58, 198 УПК РФ).

Для руководителей организаций:

• Разработайте регламент реагирования на инциденты.

• Проводите регулярное выявление программ-шпионов на смартфоне и пк для сотрудников, имеющих доступ к коммерческой тайне (1 раз в 6 месяцев).

• Обращайтесь к экспертам при первых подозрениях.

Для физических лиц:

• При подозрении на шпионаж не выключайте устройства, переведите в режим «в самолёте».

• Не удаляйте подозрительные приложения.

• Свяжитесь с экспертом как можно быстрее.

🔮 Глава 10. Прогнозы на 2026–2028 годы

1. Увеличение числа бесфайловых шпионов — программы, не оставляющие следов на диске. Наш ответ — обязательный анализ RAM. 🧠

2. Кросс-платформенный шпионаж — единый шпион работает на смартфоне, ПК и сервере. Наши методики уже учитывают синхронизацию.

3. Использование AI для обхода детекции — адаптивное поведение. Разрабатываем эвристики, не зависящие от сигнатур. 🤖

4. Рост спроса на выездные экспертизы — прогнозируем увеличение выездов на 200% к 2028 году. Расширяем штат полевых экспертов.

✅ Глава 11. Памятка для действий при подозрении на шпионское ПО

1. Не выключайте устройства (потеря данных RAM).

2. Переведите в режим «в самолёте» (прекращение передачи данных).

3. Не удаляйте приложения и файлы.

4. Зафиксируйте признаки (скриншоты, логи, показания свидетелей).

5. Обратитесь к эксперту (чем быстрее, тем выше шанс).

6. Передайте устройства эксперту (лично, курьером или с выездом).

7. Дождитесь заключения и используйте его в суде или для внутреннего расследования.

Соблюдение этой инструкции повышает эффективность выявления программ-шпионов на смартфоне и пк. 📋🛡️

🏁 Глава 12. Заключение и итоговые положения

Подводя итог настоящему системному изложению, сформулируем основные выводы:

1. Выявление программ-шпионов на смартфоне и пк — это комплексная, юридически значимая деятельность, требующая соблюдения норм УПК РФ, ГПК РФ и ФЗ № 73. Самостоятельные попытки (установка антивируса, удаление приложений) не имеют доказательственной силы и могут уничтожить улики.

2. Только универсальная методология, объединяющая статический анализ, поведенческий анализ в песочнице, анализ памяти и реверс-инжиниринг, обеспечивает достоверность > 97%, необходимую для судебного доказывания.

3. Реальные кейсы (Москва, Воронеж, Тюмень) демонстрируют эффективность предлагаемых методов при расследовании корпоративного, семейного и промышленного шпионажа.

4. Наша лаборатория базируется в Москве, но для сложных дел, требующих анализа стационарных серверов, мы готовы вылетать в любой регион России. Выездная экспертиза — отработанная и стандартная процедура.

5. Рекомендуем заказчикам не откладывать обращение к экспертам: каждый день промедления увеличивает риск утраты доказательств и продолжения утечки информации.

🟩 Ваша информационная безопасность — наша профессиональная ответственность. Доверьте выявление шпионского ПО аттестованным экспертам.

Подробная информация о наших услугах, методиках, стоимости и порядке заказа размещена на официальном сайте:
https://sud-expertiza.ru/uslugi-po-poisku-shpionskih-programm-na-kompyutere/

С уважением, коллектив судебных экспертов. Работаем на законных основаниях. Обеспечиваем результат. ⚖️🔐📱💻