о ПО: юридико-методическое руководство для судебных экспертов и правоприменителей

🟩 Поиск шпионскогДоброго дня, уважаемые коллеги! ⚖️ Сегодня мы представляем вашему вниманию комплексное юридико-методическое руководство, посвященное поиску шпионского по как ключевому направлению судебной компьютерной экспертизы. Данный материал адресован следователям, судьям, адвокатам, корпоративным юристам и экспертам, нуждающимся в процессуально корректных, научно обоснованных и проверенных методах выявления вредоносного программного обеспечения шпионской направленности.

Мы — экспертно-методический центр, базирующийся в Москве. 🏛️ Для сложных дел, в особенности для анализа стационарных серверов, функционирующих в круглосуточном режиме и расположенных в закрытых контурах, мы готовы вылетать в любой регион России с полным методическим, инструментальным и процессуальным обеспечением. Настоящая статья носит строго методический характер, опирается на нормы действующего законодательства Российской Федерации и не содержит ссылок на сторонние организации. 📚⚖️

1. Правовые основания и предмет экспертного поиска шпионского по 📋

Под поиском шпионского по в контексте судебной экспертизы понимается система процессуально регламентированных действий, направленных на обнаружение, фиксацию, извлечение, идентификацию и анализ программного обеспечения, предназначенного для негласного сбора, копирования, модификации, уничтожения или передачи компьютерной информации без согласия ее законного владельца.

Нормативно-правовая база: 📜

Федеральный закон от 31.05.2001 № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».
Уголовно-процессуальный кодекс РФ (ст. 57, 58, 195–207, 270, 271, 283, 284).
Гражданский процессуальный кодекс РФ (ст. 79–87).
Арбитражный процессуальный кодекс РФ (ст. 55–57).
Методические рекомендации по производству судебной компьютерной экспертизы (утверждены РФЦСЭ при Минюсте России, протокол № 5 от 15.03.2024).
Приказ Минюста России от 20.12.2002 № 346 (ред. от 27.01.2025) «Об утверждении Инструкции о порядке производства судебных экспертиз в государственных судебно-экспертных учреждениях».

Объекты экспертного исследования (при поиске шпионского по): 🖥️📱💾🖨️

Стационарные персональные компьютеры (системные блоки, моноблоки, рабочие станции).
Серверное оборудование (включая виртуальные среды, гипервизоры, облачные инфраструктуры).
Мобильные устройства (смартфоны, планшеты на iOS, Android, HarmonyOS).
Портативные компьютеры (ноутбуки, нетбуки, ультрабуки, хромбуки).
Внешние и съемные носители информации (USB-флеш-накопители, внешние HDD/SSD, карты памяти, оптические диски).
Сетевое оборудование (маршрутизаторы, коммутаторы, межсетевые экраны, прокси-серверы с функцией логирования).
Облачные хранилища и удаленные сервисы (при предоставлении легитимного доступа в рамках процессуальных действий).

⚖️ Правовая ремарка: Поиск шпионского по не может быть произведен экспертом по собственной инициативе. Процессуальным основанием служат: постановление следователя или дознавателя (в рамках уголовного дела), определение суда (в рамках гражданского или арбитражного процесса), договор возмездного оказания услуг (в рамках досудебного исследования по заданию заказчика). Эксперт предупреждается об ответственности по ст. 307 УК РФ за дачу заведомо ложного заключения и по ст. 310 УК РФ за разглашение данных предварительного расследования.

2. Методологические принципы поиска шпионского по 🧩

Методологическая основа поиска шпионского по базируется на принципах, закрепленных в ст. 8 № 73-ФЗ и развитых в ведомственных методических рекомендациях.

2.1. Принципы экспертного исследования 🔬

Принцип	Содержание	Нормативное закрепление
Научная обоснованность	Используемые методы должны быть апробированы в экспертном сообществе, воспроизводимы, документированы и опубликованы в рецензируемых источниках	ст. 8 № 73-ФЗ, п. 2.2 Приказа № 346
Полнота и всесторонность	Исследованию подлежат все доступные артефакты: оперативная память, файловая система, журналы событий, сетевые логи, метаданные, реестр, резервные копии	п. 3.1 Методрекомендаций СЭУ
Объективность	Эксперт не вправе уничтожать, изменять или интерпретировать артефакты в пользу какой-либо стороны; выводы делаются на основе совокупности выявленных объективных признаков	ст. 7 № 73-ФЗ
Процессуальная независимость	Эксперт не зависит от заказчика и участников процесса; при обнаружении признаков преступления (ст. 272-274, 138, 183 УК РФ) информирует назначивший экспертизу орган	ст. 16 № 73-ФЗ
Безопасность и сохранность объектов	Недопустимо уничтожение, изменение, подмена или повреждение объектов исследования на любом этапе; обязательна цепочка хранения (Chain of Custody)	ст. 16 № 73-ФЗ, п. 4.2 Приказа № 346
Воспроизводимость	Любое действие эксперта должно быть описано настолько детально, чтобы другой эксперт мог его повторить и получить аналогичный результат	п. 2.4 Методрекомендаций СЭУ

2.2. Стадии экспертного процесса 📝

Стадия 1. Прием и процессуальный анализ материалов 🔍

Проверка наличия процессуального основания (постановление, определение, договор).
Оценка полноты и достаточности представленных объектов и документов.
Анализ вопросов, поставленных перед экспертом (правомерность, конкретность, отсутствие правовых вопросов).
Формулирование ходатайств о предоставлении дополнительных материалов при их недостаточности.

Стадия 2. Предварительное (визуальное) исследование объектов 🧐

Фото- и видеофиксация состояния упаковки, пломб, маркировки.
Осмотр внешних повреждений, следов вскрытия, несанкционированного доступа.
Определение очередности и приоритетности исследования (при множестве объектов).
Выбор методов и инструментов в зависимости от типа носителя, ОС, архитектуры.

Стадия 3. Создание криминалистических копий (образов) 💿

Применение аппаратных write-blocker’ов (Tableau Forensic T8, Atola, Logicube Falcon-NEO).
Использование программных средств с верификацией целостности (FTK Imager, Guymager, DC3DD).
Форматы копий: E01 (сжатие, CRC, метаданные), RAW (посекторная копия), AFF (для сложных случаев).
Обязательное хэширование SHA-256 исходного носителя и каждой созданной копии.

Стадия 4. Сбор энергозависимых данных (при включенном состоянии) 🧠

Дамп оперативной памяти (WinPMEM, DumpIt, LiME, osxpmem).
Извлечение сетевых соединений, открытых портов, запущенных процессов.
Фиксация времени работы системы (uptime) и подключенных пользователей.

Стадия 5. Детальное лабораторное исследование 🔬

Анализ оперативной памяти (скрытые процессы, инжекты, сетевые соединения, ключи шифрования).
Статический анализ файловой системы (поиск по хэшам, YARA-правилам, анализ метаданных, восстановление удаленных файлов).
Анализ журналов событий (Security, System, Application, syslog, audit.log).
Анализ реестра Windows или его аналогов в Linux/macOS.
Анализ сетевого трафика (PCAP-логи) при наличии.

Стадия 6. Оценка результатов и формулирование выводов 📊

Систематизация выявленных признаков шпионского ПО (не менее 3-х признаков из перечня).
Сравнение с эталонными образцами из публичных и ведомственных баз данных.
Формулирование категоричных или вероятностных выводов (вероятностные — только при объективной невозможности категоричных, с указанием причин).

Стадия 7. Оформление заключения и его передача 📑

Составление текста в строгом соответствии с требованиями Приказа Минюста № 346.
Включение всех обязательных реквизитов (вводная, исследовательская, выводы, приложения).
Подписание экспертом (экспертами) и заверение печатью экспертного учреждения.

🏛️ Методический кейс №1 (Москва, Хамовнический районный суд, уголовное дело № 1-456/2025):
В производстве следователя находилось дело по факту неправомерного доступа к компьютерной информации (ст. 272 УК РФ). Назначена судебная компьютерная экспертиза, в рамках которой проведен поиск шпионского по на рабочей станции подозреваемого. Применена полная методика: создание образа через write-blocker (хэши совпали), дамп памяти через WinPMEM, анализ Volatility 3 (обнаружен инжект в explorer.exe с кейлоггер-функцией). Эксперт дал категоричное заключение о наличии шпионского ПО с функцией записи нажатий клавиш. Заключение принято судом, подозреваемому назначено наказание в виде 2 лет условно.

3. Пошаговый процессуальный алгоритм поиска шпионского по ⚙️

Представляем детализированный алгоритм, используемый при поиске шпионского по в рамках судебной экспертизы. Нарушение любого из этапов влечет риск признания заключения недопустимым доказательством.

3.1. Процессуальная подготовка 🧾

Изучение постановления/определения, выделение вопросов, подлежащих разрешению экспертом.
Типовые вопросы при назначении экспертизы:
- «Имеется ли на представленном носителе (представленных носителях) информации программное обеспечение, обладающее признаками шпионского (программы-шпиона)?»
- «Если да, то какие функции оно реализует (кейлоггинг, захват экрана, запись звука с микрофона, передача файлов, удаленное управление)?»
- «Каковы дата, время и способ установки (инсталляции, инжекции) выявленного программного обеспечения?»
- «Каким образом осуществляется сокрытие (маскировка) факта работы программы от пользователя и средств защиты?»
- *«Осуществлялась ли передача данных с устройства на внешние ресурсы (C2-серверы, облачные хранилища, электронную почту)? Если да, то на какие адреса (IP, домены)?»*
При недостаточности объектов или данных — направление ходатайства о предоставлении дополнительных материалов.

3.2. Осмотр объектов по месту нахождения (выездной аспект) 🏢

При невозможности транспортировки объектов в лабораторию (например, серверное оборудование, режимные объекты) проводится выездная экспертиза. Процедура выезда регламентируется внутренним регламентом нашей организации, утвержденным приказом № 12/2025.

Процессуальные действия при выезде: ✈️

Организационная подготовка (за 5-10 дней до выезда):
- Согласование даты, времени и продолжительности доступа.
- Получение письменных разрешений на доступ к оборудованию (при необходимости).
- Составление плана работ с учетом режима работы сервера (окно минимальной нагрузки).
Прибытие на объект:
- Предъявление удостоверения эксперта и постановления/определения.
- Фиксация времени прибытия и начала работ в протоколе осмотра.
Осмотр места нахождения объектов:
- Фото- и видеофиксация помещения, серверных стоек, коммутаций.
- Фиксация состояния объектов (включено/выключено, наличие индикаторов работы).
Проведение экспертных действий:
- Подключение через write-blocker (к дискам, RAID-массивам).
- Создание образов и дампов памяти (без остановки работы сервера, если возможно).
Фиксация результатов на месте:
- Составление акта о проведении выездного исследования (подписывается экспертом и представителем заказчика/следователя).
- Опечатывание созданных копий в присутствии участников.
Завершение выезда:
- Фиксация времени окончания работ.
- Упаковка оборудования и материалов.

3.3. Криминалистическое копирование (лабораторный или выездной этап) 💿

Требования к копированию (обязательные):

Использование аппаратного write-blocker’а (для HDD/SSD с интерфейсами SATA, SAS, USB, PCIe).
Для NVMe-накопителей — специализированные изоляторы (NVMe Write Blocker).
Создание образа в формате E01 (Expert Witness Format) с включенным сжатием и CRC-контролем.
Вычисление хэш-сумм SHA-256 исходного носителя и образа после копирования (должны совпадать).
Запись образа на два независимых носителя (основной и резервный).

Дамп оперативной памяти (при включенном состоянии и разрешении):

Windows: WinPMEM v.3.0, Magnet RAM Capture, DumpIt.
Linux: LiME (Linux Memory Extractor) с компиляцией под конкретное ядро.
macOS: osxpmem (требуется SIP отключен или разрешение).
Android: LiME (требуется root-доступ) или JTAG (аппаратно).
Контрольная сумма дампа также фиксируется.

🧪 Методический кейс №2 (выезд в Екатеринбург, ЦОД банка, уголовное дело № 1-789/2025):
Крупный банк сообщил о возможной утечке персональных данных клиентов через стационарный сервер процессинга. Сервер находился в режиме 24/7, остановка невозможна. Наша группа вылетела из Москвы в Екатеринбург. Проведен поиск шпионского по по методике горячего копирования: дамп памяти через IPMI (без остановки), образ диска через аппаратный изолятор с подключением к резервному порту RAID-контроллера. Обнаружен руткит-модуль, внедренный в драйвер файловой системы. Заключение эксперта стало ключевым доказательством в суде.

4. Классификация шпионского по для целей судебной экспертизы 🗂️

При поиске шпионского по эксперт обязан квалифицировать обнаруженное ПО по функциональным признакам. Классификация приведена в соответствии с Методическим пособием «Исследование вредоносного программного обеспечения» (РФЦСЭ, 2025).

Категория	Технические признаки	Типовые функции	Статьи УК РФ
Кейлоггеры	API-хуки на GetAsyncKeyState, SetWindowsHookEx; драйверный перехват клавиатуры; журнал нажатий в зашифрованном виде	Запись и передача вводимых данных (логины, пароли, сообщения)	ст. 138, 183, 272
Трояны удаленного доступа (RAT)	Открытый порт для входящих соединений; модуль удаленного шелла; функции управления файлами	Полный контроль над устройством: загрузка/выгрузка, выполнение команд, удаленный рабочий стол	ст. 272, 273
Мониторы экрана	Периодический захват экрана через GDI/DirectX; сохранение скриншотов в скрытую папку; передача изображений	Фиксация визуальной информации (документы, переписка, видеозвонки)	ст. 138, 183
Стелс-шпионы / руткиты	Инжект в ядро (SSDT hook, DKOM); сокрытие файлов, процессов, ключей реестра; обход антивирусов	Скрытное существование, противодействие обнаружению, маскировка легитимных процессов	ст. 273
Мобильные шпионы	Использование Accessibility Service (Android); MDM-профили (iOS); запрос расширенных разрешений	Доступ к геолокации, SMS, звонкам, камере, микрофону, мессенджерам	ст. 138, 138.1, 183
Сетевые снифферы	Перехват трафика (WinPcap, Npcap); восстановление паролей из HTTP, FTP, SMTP; анализ протоколов	Негласное получение сетевой информации, перехват сессий	ст. 272
Шпионы для мессенджеров	Инжект в процессы Telegram, WhatsApp, Discord; чтение локальных баз данных SQLite	Перехват переписки в реальном времени, архив сообщений	ст. 138, 272

⚖️ Правовая квалификация: Наличие шпионского ПО само по себе не является преступлением. Состав преступления образует установка и (или) использование такого ПО без согласия владельца информации, при наличии цели получения коммерческой, банковской, налоговой тайны или персональных данных. Эксперт не дает правовой оценки — он фиксирует наличие ПО и его функции.

5. Методика поиска шпионского по на разных операционных системах 🖥️

Методика поиска шпионского по существенно варьируется в зависимости от операционной системы. Ниже приведены ключевые особенности.

5.1. Windows (10, 11, Server 2016/2019/2022/2025) 🪟

Ключевые артефакты:

Реестр: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, RunOnce, BootExecute.
Планировщик задач (Tasks): аномальные задачи с коротким интервалом повторения.
Службы (Services): подозрительные службы без описания или с именами, имитирующими системные.
Альтернативные потоки NTFS (ADS): dir /R выявляет скрытые данные.
MFT,MFT,USNJournal, $LogFile (журнал изменений).

Инструменты (рекомендованный перечень):

Volatility 3 (анализ памяти).
X-Ways Forensics (файловая система).
RegRipper (анализ реестра).
Autoruns, Process Monitor, TCPView (предварительный анализ).
YARA (сигнатурный поиск).

Типовые признаки шпионского ПО на Windows:

Инжект кода в exe, explorer.exe, winlogon.exe.
Наличие несанкционированных сетевых соединений с аномальной периодичностью (60-120 секунд).
Изменение системных библиотек (ntdll.dll, kernel32.dll) в памяти.
Скрытые процессы через DKOM (Direct Kernel Object Manipulation).

5.2. Linux (Ubuntu, CentOS, Debian, Astra Linux Special Edition) 🐧

Ключевые артефакты:

systemd units (особенно в /etc/systemd/system, ~/.config/systemd/user).
Crontab (системный и пользовательский).
Скрипты автозагрузки: /etc/rc*.d, /etc/init.d, /etc/profile, ~/.bashrc, ~/.profile.
Модули ядра (kernel modules) — подозрительные.ko.
Логи: /var/log/auth.log, /var/log/syslog, auditd.

Инструменты:

LiME (дамл памяти) + Volatility 3 (Linux профили).
The Sleuth Kit (файловая система).
rkhunter, chkrootkit (базовое сканирование).
Lynis (аудит безопасности).

Типовые признаки шпионского ПО на Linux:

Скрытые процессы через LKM (Loadable Kernel Module).
Подмена стандартных утилит (ps, netstat, lsof) троянизированными версиями.
Регулярные исходящие соединения на нестандартных портах.
Наличие обратных шеллов (reverse shells) в crontab.

5.3. macOS 🍏

Ключевые артефакты:

LaunchDaemons (/Library/LaunchDaemons/), LaunchAgents (/Library/LaunchAgents/, ~/Library/LaunchAgents/).
Kernel Extensions (.kext) — подозрительные неподписанные расширения.
Login Items (системные настройки).
Persistent UI-приложения.

Инструменты:

osxpmem (дамл памяти).
Volatility 3 (macOS профили).
APFS Explorer (анализ файловой системы).
KnockKnock (скрипт поиска персистенции).

Типовые признаки:

Нет signed и notarized приложений с доступом к Accessibility.
Подозрительные профили конфигурации (Configuration Profiles).
Необычные сетевые соединения через launchd.

5.4. Android 📱

Ключевые артефакты:

Установленные пакеты APK (особенно с именами, имитирующими системные).
Разрешения: SYSTEM_ALERT_WINDOW, BIND_ACCESSIBILITY_SERVICE, RECORD_AUDIO, CAMERA, READ_SMS.
Accessibility Service (активированная служба специальных возможностей — частый путь шпиона).
Logcat (логи системы).

Инструменты:

UFED Physical Analyzer (аппаратный дамп).
Magnet AXIOM.
MobSF (статический анализ APK).
ADB + LiME (при root-доступе).

Типовые признаки:

Приложение без иконки в лаунчере, но с сервисами в фоне.
Регулярная отправка геолокации, SMS, списка звонков на удаленный сервер.
Запрос на отключение Google Play Protect.

5.5. iOS 📱

Ключевые артефакты:

Резервные копии (iTunes, iCloud) — извлечение баз данных.
Логи VPN и сетевых профилей.
Crash-логи и журналы диагностики (при наличии).

Инструменты:

Cellebrite UFED (передовые технологии извлечения).
Elcomsoft iOS Forensic Toolkit.
Magnet AXIOM.

Типовые признаки (обнаруживаются сложно без джейлбрейка):

Наличие сторонних профилей конфигурации (MDM с функциями мониторинга).
Аномальный расход трафика и заряда батареи.
Необычные записи в резервной копии (например, скрытые приложения).

📌 Методическая рекомендация: при отсутствии у эксперта подтвержденной компетенции в конкретной ОС он обязан заявить самоотвод. Поиск шпионского по на неподдерживаемой платформе недопустим.

6. Организация выездного поиска шпионского по на стационарных серверах 🖥️✈️

Стационарные серверы представляют собой наиболее сложную категорию объектов для поиска шпионского по в силу объективных ограничений.

6.1. Специфика стационарных серверов 🎯

Режим 24/7: остановка сервера недопустима или экономически нецелесообразна.
Ограниченный доступ: физический доступ ограничен регламентами, часто требуется допуск ФСТЭК.
Сложность конфигурации: RAID-массивы (0,1,5,6,10,50,60), SAN, NAS.
Запрет на инсталляцию ПО: нельзя устанавливать на исследуемый сервер дополнительные агенты.
Большой объем данных: от сотен гигабайт до десятков терабайт.

6.2. Наша позиция по выездной работе ✈️

Мы находимся в Москве. Основная лаборатория оснащена стационарными стендами для глубокого анализа. Однако для сложных дел, в особенности для анализа стационарных серверов, функционирующих в режиме 24/7, мы готовы вылетать в любой регион России — от Калининграда до Владивостока, от Мурманска до Махачкалы.

6.3. Технологический регламент выезда (извлечение из СОП № 07/2025) 📦

6.3.1. Подготовительный этап (за 5-7 рабочих дней):

Сбор информации об объекте: модель сервера, тип дисков (SATA/SAS/NVMe), RAID-контроллер, ОС.
Согласование временного окна (обычно 2-6 часов ночью или в наименее нагруженное время).
Подготовка переносного лабораторного комплекса (см. ниже).

6.3.2. Переносной лабораторный комплекс (выездной кейс): 🧰

Компонент	Модель / Характеристики	Назначение
Защищенный ноутбук	Panasonic Toughbook CF-33 (i7, 32 ГБ RAM, 2 ТБ SSD)	Управление процессом копирования
Write-blocker универсальный	Tableau Forensic T8 (SATA/SAS/USB/PCIe)	Блокировка записи при чтении
Write-blocker для NVMe	Tableau TB-NVME2	Для M.2 NVMe накопителей
Клонировщик дисков	Logicube Falcon-NEO	Параллельное копирование RAID
Носители для образов	Samsung PM9A3 8 ТБ NVMe x 4 (основные), x2 (резервные)	Хранение криминалистических копий
Дампер памяти	IPMI / iLO / iDRAC доступ (удаленный)	Сбор оперативной памяти без остановки
Источник питания	Eaton 5P 1500VA (с чистой синусоидой)	Бесперебойное питание оборудования
Фото/видеофиксация	Sony ZV-1 + штатив, диктофон	Фиксация процесса

6.3.3. Проведение работ на месте: 🔧

Предварительная фиксация (15-30 минут): фото/видео серверной стойки, коммутаций, индикации.
Подключение write-blocker к целевым дискам (горячее подключение, если поддерживается; иначе — кратковременная остановка).
Создание образов (параллельно, с верификацией хэшей после каждого диска).
Дамп памяти через IPMI/iLO/iDRAC (без остановки ОС, удаленно).
Сбор журналов (EventLog, syslog, audit) через штатные средства удаленного управления.
Повторная верификация хэшей после завершения всех процессов.
Упаковка и опечатывание носителей с образами и дампами.
Составление акта о проведении выездного исследования (подписывается экспертом и представителем заказчика).

6.3.4. Пост-выездной этап (Москва):

Глубокий анализ образов на стационарных лабораторных стендах (7-14 дней в зависимости от объема).
При необходимости — повторный выезд для уточнения данных (по отдельному согласованию).

🏛️ Методический кейс №3 (выезд в Краснодар, уголовное дело по ст. 183 УК РФ):
Производственное предприятие заподозрило утечку конструкторской документации через сервер системы электронного документооборота (СЭД). Сервер под управлением Windows Server 2019 находился в изолированном контуре, удаленный доступ отсутствовал. Наша группа вылетела из Москвы в Краснодар. Проведен поиск шпионского по на работающем сервере: созданы образы RAID-10 (4 диска по 2 ТБ) через аппаратный изолятор за 3 часа, дамп памяти через iDRAC. Обнаружен бэкдор с функциями копирования и отправки файлов PDF/DWG на внешний сервер (IP 185.130.5.78, зарегистрирован в Нидерландах). Заключение эксперта стало основой для возбуждения уголовного дела и последующего обвинительного приговора.

7. Типовые ошибки при поиске шпионского по (судебно-экспертная практика) 🚫

Анализ экспертной практики за 2023-2025 гг. (более 250 исследований) позволяет выделить наиболее частые ошибки, допускаемые при поиске шпионского по:

№	Ошибка	Процессуальное последствие	Нормативное обоснование	Частота (по нашим данным)
1	Работа с оригинальным носителем без write-blocker	Изменение временных меток → невозможность установить подлинность	ст. 75 УПК РФ, п. 4.2 Приказа № 346	18%
2	Отсутствие хэш-контроля на этапе копирования	Невозможно доказать неизменность объекта	п. 3.4 Методрекомендаций СЭУ	22%
3	Использование ПО без подтвержденной валидности	Заключение признается необоснованным	ст. 8 № 73-ФЗ	15%
4	Вероятностные выводы при полной информации	Заключение неполное, отклоняется	ст. 8 № 73-ФЗ, ст. 86 ГПК РФ	12%
5	Правовая оценка действий (выход за компетенцию)	Отвод эксперта, исключение заключения	ст. 16 № 73-ФЗ	8%
6	Уничтожение / изменение объекта без согласования	Уголовная ответственность эксперта	ст. 310 УПК РФ	2%
7	Отсутствие фото/видеофиксации осмотра на месте	Недоказанность цепочки хранения	ст. 170, 177 УПК РФ	10%
8	Использование одного инструмента (например, только антивируса)	Неполнота исследования	п. 3.1 Методрекомендаций СЭУ	35%

⚖️ Судебный прецедент: Апелляционное постановление Московского областного суда от 04.03.2026 по делу № 22-654/2026. Эксперт производил поиск шпионского по без создания криминалистической копии, непосредственно на оригинальном жестком диске под управлением Windows. Суд исключил заключение из доказательств, указав, что временные метки файлов были изменены в процессе исследования. Назначена повторная экспертиза в другой организации.

8. Документальное оформление результатов поиска шпионского по 📑

Результаты поиска шпионского по оформляются в виде письменного заключения эксперта, соответствующего требованиям Приказа Минюста России от 20.12.2002 № 346.

8.1. Структура заключения 🏗️

Вводная часть:

Наименование экспертного учреждения, Ф.И.О. эксперта, образование, стаж, ученая степень (при наличии).
Основание производства экспертизы (постановление, определение, договор), дата его вынесения.
Дата поступления материалов в экспертное учреждение и дата подписания заключения.
Перечень представленных объектов (с указанием серийных номеров, маркировки, состояния упаковки).
Перечень материалов дела (тома, листы), предоставленных в распоряжение эксперта.
Вопросы, поставленные перед экспертом (в точной формулировке, без изменений).
Предупреждение эксперта об ответственности по ст. 307 УК РФ (с указанием даты и подписи).

Исследовательская часть:

Описание состояния объектов (упаковка, пломбы, маркировка, повреждения).
Подробное описание хода исследования с указанием:
- применявшихся методов (теоретическое обоснование);
- использованного ПО (наименование, версия, хэш дистрибутива);
- оборудования (наименование, заводской номер, дата калибровки).
Поэтапное описание всех действий эксперта (в хронологическом порядке).
Скриншоты (с временными штампами, подписями эксперта), дампы, листинги кода, таблицы.
Хэш-суммы (SHA-256) исходных объектов, копий, дампов на каждом этапе.
Выявленные артефакты (файлы, процессы, ключи реестра, сетевые соединения) с их характеристиками.
Логическое обоснование отнесения обнаруженного ПО к категории шпионского (перечень признаков).

Выводы (заключительная часть):

Нумерованные, краткие, однозначные ответы на каждый вопрос постановления/определения.
Каждый вывод должен быть логическим следствием исследовательской части.
При невозможности ответа (например, из-за уничтожения данных) — указать причины.
Категоричность выводов (не «вероятно», не «может быть», а «да» / «нет» / «установить не представилось возможным по причине…»).

Приложения:

Компакт-диск или USB-носитель (опечатанный) с:
- криминалистическими образами (E01, RAW);
- дампами памяти;
- скриншотами в высоком разрешении;
- выгрузками логов и реестра.
Протоколы осмотра (при выездном исследовании).
Справки об использованном ПО и оборудовании (сертификаты, свидетельства о поверке).

8.2. Требования к подписанию и направлению ✍️

Заключение подписывается экспертом (экспертами) собственноручно на каждой странице (или на последней с указанием количества листов).
Заверяется печатью экспертного учреждения.
Составляется в трех экземплярах: для суда/следователя, для заказчика (при договорной экспертизе), для архива экспертного учреждения.
Срок хранения заключения в архиве — не менее 5 лет.

9. Правовые последствия обнаружения шпионского по ⚖️

Результаты экспертизы, проведенной в рамках поиска шпионского по, могут повлечь следующие юридические последствия:

9.1. Уголовно-правовые 🚔

Статья УК РФ	Состав преступления	Санкция
Ст. 138	Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений	До 4 лет лишения свободы
Ст. 138.1	Незаконный оборот специальных технических средств, предназначенных для негласного получения информации	До 4 лет лишения свободы
Ст. 183	Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну	До 7 лет лишения свободы
Ст. 272	Неправомерный доступ к компьютерной информации	До 7 лет лишения свободы
Ст. 273	Создание, распространение или использование вредоносных программ	До 7 лет лишения свободы
Ст. 274	Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации	До 2 лет лишения свободы

9.2. Гражданско-правовые 💼

Статья ГК РФ	Основание ответственности	Размер (ориентировочный)
Ст. 151	Компенсация морального вреда	От 10 тыс. до 1 млн руб.
Ст. 152	Защита чести, достоинства и деловой репутации	Опубликование опровержения, компенсация
Ст. 1064	Общее основание возмещения вреда	Полный размер убытков
Ст. 15	Возмещение убытков (реальный ущерб + упущенная выгода)	Доказывается истцом
Ст. 1101	Определение размера компенсации морального вреда	По усмотрению суда

9.3. Административно-правовые 📋

Статья КоАП РФ	Состав	Штраф (должностные лица / юридические лица)
Ст. 13.11	Нарушение законодательства о персональных данных	До 100 тыс. руб. / до 500 тыс. руб.
Ст. 13.12	Нарушение условий лицензирования на ТЗКИ	До 50 тыс. руб. / до 300 тыс. руб.
Ст. 13.14	Разглашение информации с ограниченным доступом	До 50 тыс. руб. / до 200 тыс. руб.

📌 Важное разъяснение: Эксперт не дает правовой оценки обнаруженному шпионскому ПО. Он лишь констатирует факт наличия такого ПО, его функциональные возможности, признаки сокрытия и (при возможности) способ установки. Правовая квалификация действий лица, установившего шпионское ПО, относится к исключительной компетенции следователя, прокурора и суда.

10. Ответы на часто задаваемые вопросы (в формате «вопрос-ответ») ❓

Вопрос 1: «Каков минимальный объем доказательств для признания программы шпионской в суде?»
Ответ: Требуется выявить не менее трех признаков из закрытого перечня, утвержденного протоколом НМС РФЦСЭ от 15.03.2024 № 5: (1) отсутствие явного пользовательского интерфейса и уведомлений; (2) наличие функций скрытого сбора информации (кейлоггинг, захват экрана, запись звука); (3) скрытая передача данных на внешние ресурсы; (4) использование техник противодействия обнаружению (анти-отладка, обфускация); (5) маскировка под системные процессы. Поиск шпионского по считается результативным при наличии совокупности минимум трех признаков.

Вопрос 2: «Может ли эксперт использовать искусственный интеллект в ходе исследования?»
Ответ: Да, но только как вспомогательный инструмент (например, для кластеризации похожих фрагментов кода, автоматического извлечения строк). Все выводы должны быть основаны на верифицируемых, воспроизводимых методах. Использование «черных ящиков» (недокументированных AI-решений) недопустимо, поскольку нарушает принцип воспроизводимости (ст. 8 № 73-ФЗ).

Вопрос 3: «Каковы сроки производства экспертизы?»
Ответ: — ПК / ноутбук (без выезда) — от 5 до 10 рабочих дней.

Стационарный сервер (без выезда) — от 10 до 20 рабочих дней.
Выездная экспертиза (любой регион) — от 2 до 5 дней на выезд + от 10 до 20 дней лабораторного этапа.
Точные сроки указываются в договоре или постановлении.

Вопрос 4: «Имеет ли юридическую силу заключение негосударственного эксперта?»
Ответ: Да, если соблюдены процессуальные требования: эксперт предупрежден об ответственности по ст. 307 УК РФ, заключение составлено в соответствии с требованиями ст. 57 УПК РФ (или соответствующих статей ГПК/АПК), эксперт имеет документы о квалификации. Наше экспертное учреждение аккредитовано в системе добровольной сертификации экспертов (аттестат № 78-03/2025, действителен до 2028 г.).

Вопрос 5: «Что делать, если шпионское ПО было удалено до начала экспертизы?»
Ответ: Исследовать остаточные артефакты: теневые копии VSS (Windows), журнал USNJournal,USNJournal,LogFile, резервные копии (если создавались), логи антивирусного ПО (с указанием удаленного файла), журналы событий системы безопасности. В 55-60% случаев удается установить факт существования шпионского ПО, его имя, расположение и дату создания.

Вопрос 6: «Какова стоимость экспертизы?»
Ответ: Стоимость определяется договором и зависит от объема носителей (ГБ/ТБ), сложности конфигурации (RAID, шифрование), необходимости выезда и срочности. Примерные ориентиры:

Физическое лицо (1 ПК / ноутбук) — от 80 000 руб.
Юридическое лицо (1-2 ПК / ноутбука) — от 120 000 руб.
Сервер (без выезда) — от 250 000 руб.
Выезд в регион — + транспортные расходы по факту.
Точную стоимость вы можете получить через форму на нашем сайте (ссылка в разделе 12).

Вопрос 7: «Вы работаете с зашифрованными дисками (BitLocker, VeraCrypt, LUKS)?»
Ответ: Да, при условии, что заказчик предоставляет ключ (или пароль) в опечатанном конверте. Расшифровка производится в изолированной лабораторной среде без подключения к сети. В случае отсутствия ключа — возможность расшифровки не гарантируется, что отражается в выводах.

11. Этические и профессиональные обязательства эксперта 🛡️

При осуществлении поиска шпионского по эксперт обязан соблюдать Кодекс судебного эксперта (принят на VI Всероссийском съезде судебных экспертов 12.12.2024):

Независимость: отказываться от производства экспертизы при наличии прямой или косвенной заинтересованности.
Компетентность: проводить исследования только в пределах своих квалификации и аттестации.
Конфиденциальность: не разглашать сведения, ставшие известными в ходе экспертизы, без разрешения назначившего экспертизу органа.
Полнота: не отказываться от использования дополнительных методов, если они могут повлиять на выводы.
Честность: при обнаружении ошибки в своем заключении — незамедлительно уведомить орган, назначивший экспертизу.

⚖️ Меры ответственности: нарушение профессиональной этики может повлечь отзыв аттестации, исключение из СРО, а также гражданско-правовую или уголовную ответственность в зависимости от тяжести последствий.

12. Заключение и порядок обращения 🎯

Уважаемые коллеги! Поиск шпионского по — это сложная, междисциплинарная область судебной экспертизы, требующая глубоких знаний в области компьютерной техники, программирования, криминалистики и процессуального права. Представленная методика является результатом многолетнего опыта нашей организации, включая более 500 успешно проведенных экспертиз с 2022 по 2026 год.

🔹 Наше расположение: Мы находимся в Москве. Основная лаборатория укомплектована современным оборудованием (write-blocker’ы, криминалистические копировщики, стенды для анализа памяти, изолированная сеть).
🔹 Выезд в регионы: Для сложных дел, в особенности для анализа стационарных серверов в режиме 24/7, работающих в закрытых контурах и требующих физического доступа, мы готовы вылетать в любой регион России — от Калининграда до Камчатки, от Мурманска до Дербента.
🔹 Юридическая гарантия: Заключения принимаются судами общей юрисдикции, арбитражными судами, правоохранительными органами. При процессуальных нарушениях (допущенных не по нашей вине) — безвозмездная корректировка или повторное исследование.

📌 Единственный официальный канал для заказа экспертизы, ознакомления с образцами заключений и получения консультации:
👉 https://sud-expertiza.ru/uslugi-po-poisku-shpionskih-programm-na-kompyutere/ 👈

о ПО: юридико-методическое руководство для судебных экспертов и правоприменителей

1. Правовые основания и предмет экспертного поиска шпионского по 📋