Аннотация.  В статье представлен системный научный анализ компьютерно-технической экспертизы телефонов (смартфонов) как высокоспециализированного направления в рамках родовой компьютерно-технической экспертизы.  Рассматриваются теоретические основания, специфика объекта исследования, обусловленная конвергенцией функций мобильного устройства (компьютер, средство связи, навигатор, банковский терминал).  Детально анализируются классификации мобильных устройств по операционным платформам (iOS, Android, HarmonyOS) и их влияние на выбор экспертных методик.  Определяется система типовых экспертных задач:  от диагностики технического состояния и установления фактов модификации до извлечения и анализа пользовательских данных (коммуникации, геолокации, финансовых транзакций).  Особое внимание уделено методологическим особенностям, включающим процедуры изъятия, обеспечения верификации данных (расчёт хеш-сумм), обхода блокировок и работы с зашифрованной памятью.  На основе анализа современных вызовов (облачная синхронизация, усиленная защита данных, аппаратная интеграция) формулируются принципы дальнейшего развития данного экспертного направления.

Ключевые слова:  компьютерно-техническая экспертиза телефона, экспертиза смартфона, мобильное устройство связи, iOS, Android, извлечение данных, дамп памяти, криминалистический анализ, цифровые следы, метаданные.

Введение

Современный смартфон представляет собой концентрированное воплощение цифровых технологий, объединяющее в едином корпусе функции персонального компьютера, средства связи, мультимедийного центра, навигационного устройства, инструмента электронной коммерции и биометрического идентификатора.  Его интеграция в повседневную жизнь сделала смартфон не только неотъемлемым атрибутом личности, но и богатейшим источником цифровых следов, объективно отражающих деятельность, интересы, социальные связи и перемещения пользователя.  В этой связи компьютерно-техническая экспертиза телефона из узкоспециальной процедуры превратилась в один из наиболее востребованных и информативных видов судебных исследований по широкому спектру дел — от гражданских споров и административных правонарушений до уголовных расследований.

Если традиционная компьютерно-техническая экспертиза ориентирована на стационарные системы с относительно открытой архитектурой, то экспертиза смартфона сталкивается с рядом принципиальных ограничений и сложностей.  Это закрытые, сильно интегрированные аппаратно-программные экосистемы, жёстко контролируемые производителями (OEM) и разработчиками операционных систем.  Они используют многоуровневое шифрование данных, безопасные элементы хранения (Secure Enclave, TrustZone), регулярные обновления безопасности, что создаёт постоянный вызов для экспертных методик.  Таким образом, данное направление требует глубокой специализации, актуального инструментария и адаптации классических принципов компьютерной экспертизы к мобильной среде.

Цель настоящей статьи — осуществить комплексный научно-методический анализ компьютерно-технической экспертизы телефонов, раскрыть специфику её объекта, систематизировать решаемые задачи, описать современный методологический аппарат и обозначить векторы развития в условиях технологической эволюции.

1. Телефон как объект компьютерно-технической экспертизы: классификация и специфика

С позиций теории судебной экспертизы, телефон (смартфон) является сложным, составным объектом, относящимся одновременно к нескольким родам:  компьютерно-технической (как вычислительное устройство), трасологической (как физический предмет) и, в некоторых аспектах, инженерно-технической экспертизы средств связи.  Ключевой определяющей характеристикой является тип операционной системы, которая диктует архитектуру, файловую систему, способы хранения и защиты данных.

1. 1. Классификация по доминирующим операционным платформам:

• Устройства на базе iOS (Apple iPhone, iPad).  Закрытая экосистема с жёсткой вертикальной интеграцией «аппаратное обеспечение — операционная система — сервисы».  Характеризуются единой аппаратной платформой, монолитным ядром (XNU), высокоуровневой файловой системой APFS с обязательным сквозным шифрованием, наличием защищённого аппаратного модуля Secure Enclave для хранения криптографических ключей и биометрических данных.  Доступ к файловой системе на низком уровне (помимо логического извлечения данных через резервные копии) возможен только при определённых условиях (отключение проверки целостности системы, использование специализированных аппаратных комплексов для снятия дампа памяти с чипов NAND).
• Устройства на базе Android.  Открытая, но фрагментированная экосистема, включающая устройства множества производителей (Samsung, Xiaomi, Huawei, Google и др. ).  Базируется на модифицированном ядре Linux, использует файловые системы ext4, f2fs, EROFS.  Ключевая особенность — высокий уровень кастомизации производителями (скины, предустановленное ПО) и наличие механизма Verified Boot, обеспечивающего целостность системы.  Степень защиты данных варьируется в зависимости от версии Android, наличия аппаратного шифрования и политик производителя.
• Прочие платформы (HarmonyOS, устаревшие Symbian, Windows Mobile).  Требуют отдельных, часто уникальных методик исследования ввиду своей архитектурной специфики или ограниченного распространения.

1. 2. Специфические свойства объекта, влияющие на экспертизу:

• Постоянная подключённость к сетям (сотовым, Wi-Fi, Bluetooth), что подразумевает наличие следов сетевой активности, данных о местоположении (Location Services), облачной синхронизации.
• Мультимодальность датчиков:  акселерометр, гироскоп, магнитометр, барометр, датчик освещённости, несколько камер и микрофонов.  Данные с этих датчиков могут быть использованы для реконструкции обстоятельств события.
• Высокая степень персонализации и биометрической аутентификации (отпечаток пальца, распознавание лица), что создаёт правовые и технические сложности для доступа.
• Эфемерность и динамичность данных:  оперативная память очищается при выключении, кэш приложений постоянно обновляется, что требует применения методов «живой» экспертизы (live forensics).

2. Система целей и типовых задач экспертизы

Общей целью компьютерно-технической экспертизы телефона является установление фактических данных, имеющих значение для дела, путём исследования аппаратного состояния, программной среды и пользовательских данных мобильного устройства.  Данная цель конкретизируется через систему типовых задач.

2. 1. Задачи аппаратно-диагностического исследования:

• Установление модели, производителя, серийных номеров (IMEI, SN), технических характеристик устройства.
• Диагностика физического состояния:  наличие повреждений (гидроудар, падение, перегрев), следов вскрытия, ремонта или модификации (кастомная прошивка, разблокировка загрузчика).
• Определение исправности компонентов (дисплей, аккумулятор, модули связи).

2. 2. Задачи исследования программной среды и системных данных:

• Установление версии и сборки операционной системы, списка установленных приложений, истории их обновлений.
• Определение фактов и способов разблокировки устройства (графический ключ, PIN-код, биометрия), рут- или джейлбрейка (получения привилегий суперпользователя).
• Анализ системных журналов (логов), дампов крашей, данных о подключении к сетям Wi-Fi и Bluetooth.
• Выявление признаков наличия вредоносного или шпионского ПО.

2. 3. Задачи извлечения и анализа пользовательской информации (основной массив работы):

• Коммуникации:  извлечение списка контактов, истории звонков (входящие, исходящие, пропущенные), SMS/MMS-сообщений, переписки из мессенджеров (Telegram, WhatsApp, Viber и др. ), электронной почты.
• Мультимедиа и документы:  фотографии, видео, аудиозаписи, скачанные или созданные документы (PDF, DOC, XLS), заметки.
• Интернет-активность:  история посещения веб-сайтов в браузерах, поисковые запросы, данные автозаполнения форм, cookie-файлы.
• Геолокационные данные:  история перемещений, сохранённые в картографических сервисах (Google Maps, Apple Maps) и метаданных фотографий (GPS-координаты), список точек доступа Wi-Fi.
• Финансовая информация:  история операций в банковских приложениях, кэшбэк-сервисах, данных о платежных картах.
• Данные приложений социальных сетей (ВКонтакте, Instagram, Facebook):  кэшированные сообщения, списки друзей/подписчиков, история активности.

2. 4. Ситуационные и реконструкционные задачи:

• Установление факта и времени совершения определённых действий (отправка сообщения, создание фото, совершение звонка).
• Реконструкция маршрутов перемещения лица в определённый временной период.
• Установление связи между пользователем устройства и его аккаунтами в интернет-сервисах.
• Восстановление удалённой информации.

3. Методологический аппарат и этапы проведения экспертизы

Методика экспертизы телефона строится на адаптации классических принципов цифровой криминалистики с учётом специфики объекта.

3. 1. Принципы:

• Принцип обеспечения целостности и неизменности исходных данных.  Работа с устройством начинается с его изоляции от сетей (режим полёта, использование Faraday-сумок) для предотвращения дистанционного стирания данных.  Все исследования по возможности проводятся на криминалистических копиях памяти.
• Принцип верификации и документирования.  Все этапы, применяемые инструменты и полученные данные должны быть подробно задокументированы.  Расчёт хеш-сумм для извлеченных данных является обязательным.
• Принцип использования валидированного инструментария.  Применение профессионального ПО (Cellebrite UFED, Oxygen Forensic Detective, Magnet AXIOM, Elcomsoft iOS Forensic Toolkit) и аппаратных комплексов, прошедших судебную валидацию.

3. 2. Стадийность процесса:

1. Внешний осмотр и документирование:  фиксация модели, состояния, серийных номеров, наличия SIM-карт и карт памяти.
2. Обеспечение изоляции и сохранности:  помещение устройства в экранирующий контейнер, оценка уровня заряда.
3. Выбор стратегии извлечения данных (Acquisition).  В зависимости от модели, версии ОС и состояния блокировки возможны:
   • Логическое извлечение:  получение данных через официальные API операционной системы (например, через создание резервной копии).  Наименее инвазивный, но и наименее полный метод.
   • Физическое извлечение:  создание побитовой копии (дампа) всей флеш-памяти.  Требует специального оборудования и часто — эксплуатации уязвимостей в цепи загрузки (bootrom).  Даёт наиболее полный доступ, в том числе к удалённым данным.
   • Извлечение из файловой системы (File System Dump):  промежуточный метод, позволяющий получить доступ к сырым файлам и каталогам, минуя логический уровень.
4. Обход блокировки экрана:  использование специализированных инструментов для подбора или сброса PIN-кода, эксплойтов для bypass блокировки, в крайних случаях — дешифрование дампа памяти с помощью атак на аппаратные ключи.
5. Анализ и парсинг извлеченных данных:  преобразование сырых данных (базы SQLite, plist-файлы, журналы) в читаемый формат, построение временных линий, визуализация связей.
6. Формулировка выводов и составление заключения.

4. Современные вызовы и перспективы развития

• Усиление шифрования и аппаратной безопасности.  Внедрение функций типа «Защита данных при потере» (Data Protection) в iOS, где ключ шифрования стирается после 10 неудачных попыток ввода пароля, или аппаратные ключи в Secure Enclave/TrustZone, делают физическое извлечение данных без пароля практически невозможным.
• Расширение облачной синхронизации.  Значительная часть пользовательских данных (чаты, фото, документы) по умолчанию хранится в iCloud, Google Drive, что требует проведения параллельной облачной экспертизы на основе легально полученных учётных данных или судебного запроса к провайдеру.
• Фрагментация Android-экосистемы и кастомизация.  Каждый производитель вносит изменения в систему безопасности, что требует от экспертов поддержки огромного парка устройств и постоянного обновления методологической базы.
• Этические и правовые аспекты.  Экспертиза телефона затрагивает огромный массив персональных данных, что требует строгого соблюдения законодательства о защите персональных данных (152-ФЗ) и принципа соразмерности вмешательства.

Заключение

Компьютерно-техническая экспертиза телефона представляет собой динамично развивающуюся, технологически насыщенную дисциплину, имеющую ключевое значение для современного правоприменения.  Её результаты являются незаменимым источником доказательств, позволяющим реконструировать цифровую деятельность личности с высокой степенью детализации.

Успешное проведение такой экспертизы возможно только при условии глубокого понимания архитектуры мобильных платформ, владения специализированным инструментарием и соблюдения строгой методологии, обеспечивающей научную обоснованность и процессуальную чистоту выводов.  В условиях непрерывного ужесточения мер безопасности со стороны производителей, будущее этого направления видится в углублённой специализации экспертов, развитии междисциплинарных подходов (сочетание hardware- и software-анализа), укреплении международного сотрудничества в области исследований уязвимостей и создании стандартизированных отечественных решений для экспертизы мобильных устройств.

Для проведения профессиональной и юридически корректной компьютерно-технической экспертизы телефона, соответствующей всем требованиям современной методологии, вы можете обратиться к специалистам Центра инженерных экспертиз.  Более подробная информация об услугах центра доступна на сайте:  https: //kompexp. ru/.