Введение: программно-компьютерная экспертиза как когнитивная система

Программно-компьютерная экспертиза (ПКЭ) представляет собой самостоятельный и высокоспециализированный род судебной компьютерно-технической экспертизы, направленный на исследование логической, а не физической сущности информационных систем. Её ядром является анализ программного обеспечения (ПО) — от операционных систем и прикладных программ до микрокода и алгоритмов — как целенаправленно созданного артефакта, обладающего функциональностью, структурой и поведением. В отличие от экспертизы данных (digital forensics), которая отвечает на вопросы «что?», «когда?» и «кто?», ПКЭ фокусируется на вопросах «как?» и «почему?», исследуя механизм функционирования и заложенные в него цели.

Центральным элементом теории и практики ПКЭ выступает система её задач. Эти задачи не являются произвольным набором вопросов, а образуют строгую классификацию, отражающую гносеологическую природу экспертного исследования программных объектов. Правильное определение и формулировка задач программно-компьютерной экспертизы определяют выбор методологии, компетенцию эксперта, структуру заключения и, в конечном итоге, доказательственную силу выводов в суде. Настоящая статья ставит целью проведение всестороннего системного анализа задач ПКЭ, их классификации, методологического обеспечения и процессуальной реализации в рамках судебного и досудебного производства.

Глава 1. Объекты и предмет программно-компьютерной экспертизы как основание для постановки задач

Объектами ПКЭ являются все виды программных сущностей и их артефакты:

1. Исполняемый код и программные модули:Файлы форматов .exe, .dll, .so, .apk, .jar, бинарные образы прошивок (firmware).
2. Исходный код программ:Тексты на языках программирования высокого и низкого уровня (C/C++, Java, Python, Assembler).
3. Скрипты и конфигурационные файлы:Batch-файлы, shell-скрипты, файлы конфигурации (.ini, .cfg, .xml, .json), файлы реестра Windows.
4. Динамические и виртуальные среды:Образы виртуальных машин (.vmdk, .vhd), контейнеры (Docker), дампы оперативной памяти, содержащие загруженные модули ПО.
5. Комплексные программно-аппаратные системы,где ПО является неотъемлемой частью функциональности (АСУ ТП, встроенные системы, IoT-устройства).

Предметом ПКЭ являются факты и обстоятельства, связанные с функциональными, алгоритмическими и структурными свойствами программного обеспечения, устанавливаемые на основе специальных познаний в программировании, теории алгоритмов, программной инженерии и архитектуре ПО. Эти свойства включают: заложенный функционал, логику работы, соответствие техническому заданию (ТЗ) или документации, наличие недекларированных возможностей, причинно-следственные связи в поведении программы, признаки авторства или заимствования кода.

Именно предмет экспертизы диктует структуру её задач, которые можно разделить на несколько фундаментальных классов.

Глава 2. Классификация задач программно-компьютерной экспертизы

2.1. Диагностические (исследовательские) задачи

Это наиболее обширный класс задач, направленный на установление фактического состояния, свойств и поведения ПО. Включает:

1. Задачи по установлению функциональных характеристик и работоспособности:

• Установление фактического функционала программы и её соответствия заявленному назначению.
• Диагностика работоспособности ПО, выявление ошибок (багов), сбоев и условий, при которых они возникают.
• Определение системных требований (необходимых версий ОС, библиотек, аппаратных ресурсов).

2. Задачи по анализу соответствия и качества:

• Ключевая задача в арбитражных спорах:Установление соответствия разработанного программного продукта требованиям технического задания (ТЗ), договора подряда, отраслевых стандартов или спецификаций. Эксперт анализирует, реализованы ли все требуемые функции, соблюдены ли ограничения, соответствует ли производительность заявленным критериям.
• Оценка качества кода с точки зрения стандартов программирования (например, MISRA C для встраиваемых систем), наличия уязвимостей, эффективности алгоритмов.

3. Задачи по выявлению недекларированных (вредоносных) возможностей:

• Обнаружение в программе функционала, не описанного в документации и не соответствующего её основному назначению. Сюда относятся:
  • Логические бомбы и функции саботажа:Код, предназначенный для вывода системы из строя при определённых условиях.
  • Задние двери (backdoors) и средства несанкционированного доступа.
  • Шпионские модули (spyware):Функции слежения, кейлоггинга, сбора и передачи конфиденциальных данных.
  • Функции, нарушающие лицензионные соглашения(например, скрытый майнинг криптовалюты).

2.2. Идентификационные задачи

Направлены на установление тождества, групповой принадлежности или происхождения ПО.

1. Задачи установления авторства и происхождения кода:

• Установление факта заимствования (плагиата) исходного кода. Эксперт ищет совпадения уникальных фрагментов кода, алгоритмических решений, структуры проекта, стилистических особенностей (именования переменных, формата комментариев), ошибок, которые могли быть скопированы вместе с кодом.
• Идентификация использованных инструментов разработки: компиляторов, библиотек, фреймворков по оставленным в коде артефактам.

2. Задачи классификации ПО:

• Отнесение программы к определённому классу: системное, прикладное, вредоносное, средство разработки.
• В рамках борьбы с киберпреступностью — классификация вредоносного ПО по типам: троян, вирус, червь, бот, шифровальщик (ransomware), шпионское ПО.

3. Задачи установления целого по части и общности источника происхождения:

• Установление, что представленный исполняемый файл был создан компиляцией определённого исходного кода.
• Установление принадлежности нескольких модулей к одному программному комплексу.
• Определение, что различные экземпляры вредоносного ПО относятся к одному семейству или скомпилированы с одного исходного кода.

2.3. Ситуационные (реконструкционные) задачи

Направлены на восстановление процесса, механизма или условий функционирования ПО.

• Реконструкция алгоритма работы программы, в том числе при её взаимодействии с другими программами или сетевыми ресурсами.
• Установление последовательности событий, приведших к сбою или реализации вредоносной функции.
• Определение условий (входных данных, состояния системы), при которых программа ведёт себя определённым (в том числе деструктивным) образом.

2.4. Оценочные задачи (в рамках специальных познаний)

• Оценка стоимости разработки или доработки программного обеспечения (часто в связке с экспертизой стоимостной оценки).
• Оценка ущерба, причинённого в результате некорректной работы, сбоя или вредоносного действия программы.

Глава 3. Методологический аппарат для решения задач ПКЭ

Решение каждой из перечисленных задач требует применения специфических методов, адаптированных к программным объектам.

1. Статический анализ.Исследование программы без её исполнения.

• Дизассемблирование и декомпиляция:Преобразование бинарного исполняемого кода в код на языке ассемблера или языках высокого уровня (C, Java) для изучения логики.
• Анализ контрольных сумм и цифровых подписей:Проверка целостности и подлинности файлов.
• Анализ строк и импортируемых функций:Поиск текстовых строк, которые могут указывать на функционал (URL-адреса, имена файлов, сообщения об ошибках), и анализ списка используемых библиотечных функций (API-вызовов).
• Анализ графа потока управления (Control Flow Graph, CFG):Построение модели логики программы для выявления сложных алгоритмов и аномалий.

2. Динамический анализ.Исследование поведения программы в ходе её выполнения.

• Отладка (debugging):Пошаговое выполнение программы с контролем значений переменных и состояний регистров процессора.
• Трассировка (tracing):Логирование системных вызовов, вызовов API, сетевой активности программы.
• Анализ в песочнице (sandboxing):Запуск программы в изолированной, контролируемой среде для наблюдения за её поведением (создание файлов, изменение реестра, сетевая коммуникация) без риска для реальной системы.

3. Сравнительный анализ.

• Сравнение двух версий исходного или исполняемого кода для выявления внесённых изменений (например, добавления вредоносного модуля).
• Сравнение кода подозреваемой программы с эталонными образцами вредоносного ПО (использование сигнатур, хэш-сумм, поведенческих паттернов).

4. Реверс-инжиниринг (Reverse Engineering).Комплексный процесс восстановления технических решений, алгоритмов и функциональности программы по её исполняемому коду. Является основным методом для решения задач по анализу недекларированных возможностей и установлению авторства.

Глава 4. Процессуальная реализация: от постановки задач к формулировке выводов

Корректная постановка задач перед экспертом в постановлении суда или в договоре на досудебную экспертизу является критически важной. Вопросы должны быть:

• Конкретными и определёнными.Вместо «Исследовать программу» — «Содержит ли программа «Расчёт версия 2.1» модуль, осуществляющий несанкционированную отправку данных на внешний IP-адрес?»
• Научно разрешимымив рамках существующей методологии.
• В пределах компетенции ПКЭ.Нельзя задавать вопросы правового характера («Являются ли действия нарушением авторских прав?»), но можно — «Содержит ли программа А фрагменты исходного кода, идентичные фрагментам программы Б?».

Типовые формулировки вопросов по основным классам задач:

• На соответствие ТЗ:«Соответствует ли функционал модуля «Формирование отчёта» программного комплекса «Анализ-Про» требованиям, изложенным в пунктах 3.1. — 3.5. Технического задания №ХХ?»
• На наличие вредоносного функционала:«Предоставляет ли исследуемое программное обеспечение возможность скрытого (незадекларированного) удалённого управления компьютером?»
• На установление заимствования кода:«Имеются ли в исходном коде программы «БыстрыйРасчёт» фрагменты, семантически и синтаксически идентичные фрагментам исходного кода программы «ТочныйРасчёт»?»
• На диагностику сбоя:«Какова программная (алгоритмическая) причина ошибки «Деление на ноль», возникающей в программе «Кадры-Плюс» при выполнении операции «Начисление премии»?»

Выводы эксперта должны быть научно обоснованными, конкретными и непосредственно отвечать на поставленные вопросы. Они формулируются на языке, понятном неспециалисту, но с обязательной отсылкой к применённым методам и полученным результатам.

Глава 5. Актуальные вызовы и тенденции в решении задач ПКЭ

1. Усложнение программных экосистем.Анализ монолитных приложений сменяется исследованием распределённых микросервисных архитектур, облачных сервисов (SaaS) и сложных зависимостей. Это требует от эксперта навыков анализа взаимодействия множества компонентов.
2. Использование обфускации и антиотладочных техник.Разработчики вредоносного ПО активно используют методы затруднения статического и динамического анализа (шифрование кода, упаковка, виртуализация инструкций, детектирование отладчика). Эксперту необходимо владеть техниками деобфускации.
3. Проблемы с исходным кодом.В судебных спорах часто отсутствует полный исходный код, что вынуждает эксперта работать только с бинарными файлами, существенно усложняя анализ, особенно для задач на соответствие ТЗ.
4. Экспертиза алгоритмов искусственного интеллекта (ИИ) и машинного обучения.Появляется новый класс задач, связанный с проверкой корректности, смещённости (bias) и объяснимости (explainability) алгоритмов ИИ, принимающих юридически значимые решения (кредитный скоринг, подбор персонала).

Заключение

Задачи программно-компьютерной экспертизы образуют стройную систему, отражающую многоаспектность программного обеспечения как объекта судебного исследования. Их чёткая классификация (диагностические, идентификационные, ситуационные) служит основой для выбора адекватного методологического инструментария — от статического анализа и реверс-инжиниринга до динамического тестирования в песочнице.

Решение этих задач выходит далеко за рамки технической диагностики, непосредственно влияя на исход судебных споров об интеллектуальной собственности, качестве выполненных работ, киберпреступлениях и возмещении ущерба. Понимание сущности и границ задач программно-компьютерной экспертизы позволяет правоприменителям корректно их формулировать, а экспертам — строить научно обоснованные и процессуально безупречные заключения. В условиях цифровой трансформации значение ПКЭ будет только возрастать, требуя постоянного развития её методологической базы для решения новых, всё более сложных задач, связанных с анализом алгоритмических систем и искусственного интеллекта.

Для получения профессиональной консультации или заказа судебной программно-компьютерной экспертизы вы можете обратиться в Центр инженерных экспертиз: https://kompexp.ru/.