
Судебная и досудебная экспертиза
Введение: актуальность экспертного поиска программ-слежения в условиях цифровой трансформации
В эпоху тотальной цифровизации, когда большинство финансовых операций, деловой переписки и личных коммуникаций осуществляется через смартфоны, компьютеры и корпоративные серверы, проблема несанкционированного доступа к данным приобретает характер системной угрозы национального масштаба. Злоумышленники, недобросовестные конкуренты и даже близкие люди все чаще прибегают к использованию специализированного шпионского программного обеспечения для скрытого сбора информации, кражи денежных средств и нарушения неприкосновенности частной жизни. В этих условиях профессиональные услуги поиска и выявления программ-слежения становятся не просто технической необходимостью, а обязательным элементом правовой защиты и финансовой безопасности. Настоящая статья представляет собой систематизированное, глубокомысленное и научно обоснованное исследование методологических, правовых и практических аспектов судебной и досудебной экспертизы в области обнаружения шпионского ПО, основанное на многолетнем опыте нашей экспертной организации.
Раздел 1. Понятие и классификация программ-слежения как объектов судебной компьютерно-технической экспертизы
Программы-слежения (spyware, stalkerware, tracking software) представляют собой класс вредоносного или потенциально нежелательного программного обеспечения, предназначенного для скрытого сбора, агрегации и передачи информации с зараженного устройства без ведома и согласия его владельца. Сложность выявления таких программ обусловлена их высокой степенью маскировки: современные образцы используют обфускацию кода, мимикрию под системные процессы, легитимные каналы связи (HTTPS, DNS-over-HTTPS, Telegram Bot API) и механизмы самоуничтожения при обнаружении.
С научной точки зрения, классификация программ-слежения может быть построена по нескольким основаниям:
- По целевому назначению и функционалу:
- Кейлоггеры (Keyloggers) — записывают нажатия клавиш, перехватывая пароли, номера банковских карт и пин-коды. Подразделяются на аппаратные (внедряемые на уровне контроллера клавиатуры) и программные (реализуемые через хуки в оконную подсистему или драйверы).
- Трояны удаленного доступа (RAT — Remote Access Trojan) — обеспечивают полный контроль над устройством, включая активацию камеры и микрофона, кражу файлов и запись экрана.
- Информационные сборщики (Data Stealers) — специализируются на поиске и извлечении конкретных данных: файлов по расширению, кэшей браузеров, данных из мессенджеров.
- Банковские трояны — внедряются в процессы банковских приложений, подменяют интерфейсы ввода и перехватывают одноразовые пароли, что напрямую ведет к хищению денежных средств.
- Сетевые снифферы (Sniffers) — перехватывают сетевые пакеты на зараженном хосте, анализируя трафик.
- По стелс-технологиям и устойчивости к обнаружению:
- User-Mode Rootkits — маскируют процессы, файлы и ключи реестра на уровне приложений.
- Kernel-Mode Rootkits — внедряются в ядро операционной системы, перехватывая системные вызовы, что делает их обнаружение стандартными средствами практически невозможным.
- Буткиты (Bootkits) — заражают загрузочные секторы (MBR, UEFI) и активируются до загрузки ОС, что требует для выявления низкоуровневого анализа прошивки.
- Бесфайловые (Fileless Malware) — исполняются в памяти, используя легитимные процессы и скриптовые движки (PowerShell, WMI), не оставляя следов на диске.
Понимание этой таксономии является основой для выбора корректной методики при оказании услуг поиска и выявления программ-слежения, поскольку каждый тип угрозы требует специфического инструментария и подходов.
Раздел 2. Правовое регулирование и нормативно-правовая база противодействия шпионскому ПО
Любое выявление программ-шпионов должно опираться на четкую правовую основу, и наши услуги поиска и выявления программ-слежения всегда сопровождаются юридической квалификацией обнаруженных фактов. Российское законодательство предусматривает серьезную ответственность за создание, распространение и использование шпионского ПО:
- Статья 138.1 УК РФ «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации» — является основной для квалификации деяний, связанных с использованием коммерческих программ-шпионов (stalkerware). Санкция — до 4 лет лишения свободы.
- Статья 272 УК РФ «Неправомерный доступ к компьютерной информации» — применяется в случаях, когда программа-шпион копирует, модифицирует или удаляет данные без согласия владельца. Квалифицирующим признаком является причинение крупного ущерба (свыше 1 млн руб.).
- Статья 273 УК РФ «Создание, использование и распространение вредоносных программ» — охватывает случаи, когда шпионское ПО обладает способностью к самораспространению или модифицирует системные файлы.
- Статья 183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» — применяется в делах о корпоративном шпионаже и может повлечь наказание до 10 лет лишения свободы.
- Статья 152.2 ГК РФ «Охрана изображения гражданина» и статья 152.1 ГК РФ «Охрана частной жизни» — позволяют взыскать компенсацию морального вреда при незаконном сборе персональных данных через программы-шпионы.
Кроме того, деятельность экспертов регламентируется Федеральным законом от 31.05.2001 № 73-ФЗ «О государственной судебно-экспертной деятельности в РФ», который устанавливает требования к методикам и порядку производства экспертизы. Таким образом, профессиональные услуги поиска и выявления программ-слежения имеют не только техническое, но и глубокое правовое измерение, обеспечивая возможность использования полученных результатов в судопроизводстве.
Раздел 3. Методология экспертного поиска программ-слежения: научно-обоснованный подход
Методология оказания услуг поиска и выявления программ-слежения базируется на принципе последовательного перехода от анализа внешних проявлений (аномалий) к исследованию низкоуровневых артефактов. Наша экспертная организация применяет многоуровневый подход, который включает следующие этапы:
3.1. Подготовительный этап и обеспечение неизменности данных
Любой поиск шпионского ПО начинается не с запуска сканера, а с процессуальной и технической фиксации состояния системы. Золотое правило: никогда не работать с оригинальным носителем. Наши специалисты:
- Отключают сетевые интерфейсы (патч-корд, режим «в самолете») для предотвращения удаленного уничтожения следов.
- Создают дамп оперативной памяти (RAM) с использованием специализированного ПО (winpmem для Windows, LiME для Linux).
- Формируют посекторную копию носителя с применением аппаратных блокираторов записи (write-blocker) и контролем хеш-сумм MD5/SHA-256 для обеспечения целостности доказательств.
3.2. Статический анализ артефактов
На этом этапе исследуется образ диска без его запуска. Ключевые направления включают:
- Анализ автозагрузки: проверка ключей реестра (Run, RunOnce), планировщика задач, служб, WMI-подписок на события и драйверов ядра.
- Анализ файловой системы: поиск скрытых файлов и каталогов, файлов с двойными расширениями, проверка цифровых подписей исполняемых файлов, сравнение хэш-сумм системных файлов с эталонными.
- Анализ оперативной памяти: использование Volatility Framework для выявления скрытых процессов, внедренных DLL-библиотек, открытых сетевых сокетов и хуков в системные структуры ядра.
- Сигнатурное сканирование: применение YARA-правил (база из более 5000 сигнатур для spyware) и антивирусных движков.
3.3. Динамический анализ в изолированной среде
Если статический анализ не дал результатов, мы переходим к запуску подозрительных файлов в песочнице (Cuckoo Sandbox, CAPE, ANY.RUN). Это позволяет увидеть поведение, которое не видно в статике:
- Попытки доступа к системным файлам (SAM, SECURITY).
- Вызовы SetWindowsHookEx (клавиатурный шпион).
- Чтение буфера обмена (GetClipboardData).
- Отправка данных на неизвестные IP-адреса в нестандартные порты.
- Создание скрытых окон.
3.4. Ручной реверс-инжиниринг
Для самых сложных случаев, когда автоматические методы бессильны (например, кастомное ПО нулевого дня), наши эксперты применяют дизассемблирование и декомпиляцию с использованием IDA Pro, Ghidra, x64dbg. Это позволяет восстановить логику работы, алгоритмы шифрования и методы маскировки вредоносного кода.
Раздел 4. Кейсы из практики: хищение денежных средств с банковских счетов через шпионское ПО
Наиболее показательными для демонстрации важности профессиональных услуг поиска и выявления программ-слежения являются случаи, когда злоумышленники с помощью шпионского ПО похищали деньги с банковских счетов граждан и организаций. Ниже представлены несколько реальных кейсов, иллюстрирующих масштаб угрозы и сложность их выявления.
Кейс №1: Вирус «Мамонт» — массовое хищение средств через мессенджеры
В 2025 году правоохранительные органы задержали семь человек по подозрению в распространении вредоносной программы «Мамонт», позволяющей похищать деньги с банковских карт. Злоумышленники распространяли вирус в мессенджерах со взломанных аккаунтов, а также под видом безопасных мобильных приложений. Жертвам приходило сообщение с файлом, при открытии которого происходило заражение устройства. Вредоносная программа получала необходимые права пользователя, после чего злоумышленники переводили деньги с банковских счетов на свои счета. По предварительным данным, на счету группы более 300 эпизодов преступной деятельности. В подобных случаях только своевременные услуги поиска и выявления программ-слежения позволяют установить факт заражения, задокументировать цифровые следы и передать их в правоохранительные органы для возбуждения уголовного дела по статьям 159.6 и 272 УК РФ.
Кейс №2: Стилер банковских данных под видом обновления браузера
Индивидуальный предприниматель столкнулся с хищением более двух миллионов рублей с расчетного счета после того, как нажал на всплывающее окно с предложением обновить веб-обозреватель. Проведенные нашими специалистами услуги поиска и выявления программ-слежения показали, что вредоносное ПО внедрилось в память браузера, подменило сертификаты безопасности и при каждом посещении сайта банка динамически подставляло поля для ввода одноразовых паролей. Шпионская программа работала исключительно в оперативной памяти, используя технику бесфайлового сохранения, что делало ее невидимой для стандартных антивирусов. Только применение методов динамического анализа и RAM-форензики позволило выявить и задокументировать факт хищения.
Кейс №3: Хищение 60 млн рублей со счетов тульских компаний
В Тульской области было возбуждено уголовное дело в отношении 31-летнего жителя Перми, который в составе организованной преступной группы участвовал в хищении денег со счетов юридических лиц с помощью вредоносного ПО. Злоумышленники перевели около 60 млн рублей, похищенных со счетов двух тульских компаний, на подконтрольные карты. Вредоносное ПО позволяло осуществлять несанкционированные банковские операции, маскируя их под легитимные платежи. В рамках расследования были назначены судебные компьютерно-технические экспертизы, которые позволили установить механизм хищения и идентифицировать использованное шпионское ПО.
Кейс №4: Банковский троян на Android-планшете предпринимателя
К нам обратился предприниматель, с чьего счета были похищены крупные суммы. В рамках оказания услуг поиска и выявления программ-слежения мы применили методологию динамического анализа в изолированной среде. Обнаружен банковский троян, перехватывавший SMS-сообщения и подменявший интерфейс банковского приложения. Вредонос использовал службы специальных возможностей Android для чтения уведомлений и перехвата одноразовых паролей, что позволило злоумышленникам обойти двухфакторную аутентификацию. Экспертное заключение легло в основу уголовного дела и позволило предотвратить дальнейшие хищения.
Кейс №5: Вредоносная программа на смартфоне жительницы Марий Эл
40-летняя женщина получила в мессенджере сообщение от коллеги с файлом, который оказался шпионской программой. После открытия файла мошенники получили доступ к ее личным данным и похитили почти 30 тысяч рублей с банковского счета. Аналогичный случай произошел с 60-летней жительницей Моркинского района, у которой было похищено более 8 тысяч рублей после открытия файла в мессенджере. В обоих случаях открытый файл с расширением APK являлся шпионской программой, предоставляющей удаленный доступ к гаджету. Наличие такого приложения позволяет злоумышленникам видеть все поступающие SMS-коды для проведения банковских операций. По данным фактам возбуждены уголовные дела по статье 158 УК РФ (кража с банковского счета). Эти случаи демонстрируют, что услуги поиска и выявления программ-слежения должны оказываться в максимально сжатые сроки, чтобы минимизировать финансовые потери и сохранить цифровые доказательства для следствия.
Раздел 5. Судебная и досудебная экспертиза: процессуальные аспекты
Важнейшим аспектом нашей деятельности является оформление результатов услуг поиска и выявления программ-слежения в виде юридически значимого заключения, которое может быть использовано в судопроизводстве. Судебная компьютерно-техническая экспертиза назначается судом или следственными органами и используется как официальное доказательство в уголовных, гражданских, административных и арбитражных делах. Внесудебная (досудебная) экспертиза проводится по инициативе физических или юридических лиц для выявления цифровых проблем, расследования инцидентов или подготовки к судебному процессу.
Наши заключения всегда содержат:
- Описание объекта исследования и примененных методов.
- Технический анализ обнаруженного шпионского ПО.
- Правовую квалификацию — указание на то, какие именно статьи закона нарушены.
- Выводы, основанные на воспроизводимых и документированных результатах.
Строгое соблюдение chain of custody (цепочки хранения доказательств) является обязательным условием для признания заключения допустимым доказательством в суде (ст. 75 УПК РФ).
Раздел 6. Технологический стек и инструментарий экспертной лаборатории
Для оказания высококачественных услуг поиска и выявления программ-слежения наша лаборатория использует сертифицированное оборудование и лицензионное программное обеспечение:
| Назначение | Инструменты (примеры) | Ключевая функция |
| Создание образов дисков | Tableau Forensic, Atola Insight, Guymager (Linux), FTK Imager | Побайтовое копирование с write-blocking |
| RAM-форензика | Volatility 3, Rekall, MemProcFS, Magnet RAM Capture | Анализ дампов памяти |
| Дизассемблирование | IDA Pro, Ghidra, Binary Ninja, x64dbg | Реверс-инжиниринг вредоносных модулей |
| Поведенческий анализ | Cuckoo Sandbox, CAPE, Joe Sandbox, ANY.RUN | Динамическое детектирование |
| Сетевой анализ | Wireshark, Zeek (Bro), Suricata, tcpdump | Глубокий анализ трафика |
| Судебная платформа | FTK, EnCase, X-Ways Forensics, Autopsy | Оформление цепочки доказательств |
| Сканирование сигнатур | YARA, ClamAV, LOKI | Обнаружение известных образцов |
| Мобильная форензика | Cellebrite UFED, Oxygen Forensic Detective | Анализ Android и iOS |
Все работы проводятся в сертифицированной лаборатории с соблюдением требований к вещественным доказательствам.
Раздел 7. Типовые сценарии обращения за услугами поиска и выявления программ-слежения
Анализ обращений в наше подразделение позволяет выделить четыре основные группы ситуаций, при которых возникает необходимость в профессиональных услугах поиска и выявления программ-слежения:
- Сценарий супружеского слежения. Один из супругов без добровольного согласия устанавливает шпионскую программу на смартфон или планшет другого. Наши услуги поиска и выявления программ-слежения в таких случаях включают анализ скрытых приложений, фоновых служб и MDM-профилей.
- Сценарий фишинговой атаки. Пользователь переходит по вредоносной ссылке и загружает файл, содержащий шпионскую программу. Экстренные услуги поиска и выявления программ-слежения применяются при финансовых потерях для оперативной локализации угрозы и сохранения доказательств.
- Сценарий корпоративного саботажа. Сотрудники или партнеры устанавливают шпионское ПО для недобросовестной конкуренции. Методология услуг поиска и выявления программ-слежения включает проверку системных журналов, сетевых соединений и анализ журналов событий.
- Сценарий промышленного шпионажа. Предприниматель или владелец бизнеса становится целью конкурентов, которые через внедренных агентов или технические средства устанавливают шпионское ПО. Данный тип наиболее сложен методологически и требует применения всего арсенала криминалистических средств, включая выездную экспертизу на объект заказчика.
Раздел 8. Выездная экспертиза: работа в любом регионе России
Наша основная лаборатория расположена в Москве, однако для сложных дел, анализа стационарных серверов, АСУ ТП, медицинских систем и изолированных сетей мы готовы вылетать в любой регион России: от Калининграда до Владивостока, от Мурманска до Махачкалы.
Основания для выезда:
- Оборудование нельзя отключать (серверы 24/7, производственные линии, медицинское оборудование).
- Юридические ограничения на вывоз носителей (государственная тайна, коммерческая тайна, персональные данные).
- Требование следственных органов о проведении экспертизы на месте.
- Необходимость оперативной реакции при активной утечке данных.
Выездная группа оснащается портативной криминалистической станцией, оборудованием для создания образов дисков и проведения первичного анализа на месте.
Заключение: почему профессиональная экспертиза является единственным надежным способом обнаружения шпионского ПО
В условиях, когда стандартные антивирусные средства дают ложное чувство безопасности, а злоумышленники используют все более совершенные методы маскировки, профессиональные услуги поиска и выявления программ-слежения становятся единственным надежным способом обнаружения угрозы. Наша экспертная организация, обладая многолетним опытом, сертифицированным оборудованием и уникальными методиками, гарантирует полное, юридически значимое и научно-обоснованное исследование цифровых устройств любого типа.
Мы приглашаем вас воспользоваться нашими услугами поиска и выявления программ-слежения, которые включают полный цикл работ — от первичной диагностики до составления экспертного заключения, имеющего силу в суде. Высококвалифицированные эксперты с профильным образованием и многолетней практикой проведут исследование любой сложности, будь то мобильный телефон, корпоративный ноутбук или критически важный сервер. Каждое исследование выполняется с применением передовых криминалистических технологий и строгим соблюдением процессуальных норм.
Помните, что шпионское ПО может быть обнаружено только с использованием профессиональных методов и инструментов. Самостоятельные попытки проверки часто приводят к уничтожению доказательств и предупреждению злоумышленников. Доверьте безопасность ваших данных экспертам, и вы получите не только технический результат, но и юридически защищенный документ, который станет надежной основой для судебной защиты ваших прав и интересов.
Более подробно с методологией и примерами наших работ вы можете ознакомиться на официальном сайте: https://фсэ.рф






Задавайте любые вопросы