
Научно-методологические основы судебной и досудебной экспертизы для защиты финансовых и информационных активов
Введение: цифровой суверенитет и угроза скрытого наблюдения
В эпоху цифровой трансформации всех сфер жизнедеятельности человека и общества мобильные устройства, персональные компьютеры и корпоративные серверы стали не просто инструментами коммуникации, а хранилищами критически важной информации — от банковских реквизитов и коммерческой тайны до интимных деталей частной жизни. Параллельно с ростом цифровизации наблюдается экспоненциальный рост числа инцидентов, связанных с незаконным использованием специализированного шпионского программного обеспечения (spyware, stalkerware, tracking software), которое позволяет злоумышленникам осуществлять скрытый сбор данных, перехватывать финансовые операции и нарушать конституционное право на неприкосновенность частной жизни. В этих условиях поиск незаконно установленных программ слежения становится не просто технической задачей, а важнейшим элементом обеспечения цифровой безопасности и правовой защиты граждан и организаций. Настоящая статья представляет собой систематизированное, научно обоснованное и глубокомысленное исследование методологических, правовых и практических аспектов судебной и досудебной экспертизы в области обнаружения шпионского ПО. Работа базируется на многолетнем опыте нашей экспертной организации, анализе судебной практики и эмпирических данных, полученных в ходе проведения сотен экспертных исследований.
Раздел 1. Таксономия и классификация шпионского ПО как объектов судебной компьютерно-технической экспертизы
Для эффективного поиска незаконно установленных программ слежения необходимо четко понимать их архитектуру, функционал и методы маскировки. Шпионское ПО представляет собой класс вредоносного или потенциально нежелательного программного обеспечения, предназначенного для скрытого сбора, агрегации и передачи информации с зараженного устройства без ведома и согласия его владельца. Сложность выявления таких программ обусловлена их высокой степенью адаптивности: современные образцы используют обфускацию кода, мимикрию под системные процессы, легитимные каналы связи (HTTPS, DNS-over-HTTPS, Telegram Bot API) и механизмы самоуничтожения при обнаружении отладки или антивирусного сканирования.
С научной точки зрения, классификация шпионского ПО может быть построена по нескольким ортогональным основаниям, что является основой для выбора адекватной методики экспертного исследования.
1.1. Классификация по целевому назначению и функционалу
- Кейлоггеры (Keyloggers). Записывают все нажатия клавиш на устройстве, перехватывая пароли, номера банковских карт, пин-коды и личную переписку. Подразделяются на аппаратные (внедряемые на уровне контроллера клавиатуры или в порт USB) и программные (реализуемые через хуки в оконную подсистему, драйверы или модификацию библиотек ввода). В соответствии с таксономией MITRE ATT&CK, кейлоггеры относятся к технике T1056.001 (Input Capture: Keylogging).
- Трояны удаленного доступа (RAT — Remote Access Trojan). Обеспечивают полный контроль над устройством, включая активацию камеры и микрофона, кражу файлов, запись экрана и удаленное выполнение команд (T1219 — Remote Access Software). Представляют наибольшую опасность для корпоративных пользователей.
- Информационные сборщики (Data Stealers). Специализируются на поиске и извлечении конкретных данных: файлов по расширению, кэшей браузеров, данных из клиентов мессенджеров, локальных баз данных (T1005 — Data from Local System).
- Банковские трояны. Внедряются в процессы банковских приложений, подменяют интерфейсы ввода, перехватывают SMS-подтверждения и одноразовые пароли, что напрямую ведет к хищению денежных средств с банковских счетов. Для работы требуют расширенных разрешений — доступа к SMS, уведомлениям, службам специальных возможностей Android.
- Сетевые снифферы (Sniffers). Перехватывают сетевые пакеты на зараженном хосте, анализируя трафик и извлекая из него учетные данные (T1040 — Network Sniffing).
1.2. Классификация по стелс-технологиям и устойчивости к обнаружению
- User-Mode Rootkits. Маскируют процессы, файлы и ключи реестра на уровне приложений, не затрагивая ядро операционной системы.
- Kernel-Mode Rootkits. Внедряются в ядро ОС, перехватывая системные вызовы (T1014 — Rootkit). Обнаружение требует анализа целостности ядра и использования специализированных форензик-инструментов.
- Буткиты (Bootkits). Заражают загрузочные секторы (MBR, UEFI) и активируются до загрузки операционной системы (T1542.001 — Pre-OS Boot: System Firmware). Являются наиболее сложными для обнаружения стандартными средствами, поскольку действуют на уровне, недоступном для антивирусных сканеров.
- Бесфайловые (Fileless Malware). Исполняются исключительно в оперативной памяти, используя легитимные процессы и скриптовые движки (PowerShell, WMI, JavaScript) (T1059.001 — Command and Scripting Interpreter: PowerShell). Не оставляют следов на диске, что делает их крайне сложными для выявления при традиционном сигнатурном сканировании.
Понимание этой таксономии является фундаментом для выбора корректной методики оказания услуг, направленных на поиск незаконно установленных программ слежения, поскольку каждый тип угрозы требует специфического инструментария и подходов.
Раздел 2. Правовое регулирование противодействия шпионскому ПО: нормативно-правовая база
Любой профессиональный поиск незаконно установленных программ слежения должен опираться на четкую правовую основу, а результаты экспертизы должны иметь юридическую квалификацию. Российское законодательство предусматривает серьезную ответственность за создание, распространение и использование шпионского ПО, что придает экспертному исследованию не только техническое, но и глубокое правовое измерение.
2.1. Уголовный кодекс Российской Федерации
- Статья 138.1 УК РФ «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации». Является основной для квалификации деяний, связанных с использованием коммерческих программ-шпионов (stalkerware). Согласно разъяснениям Пленума Верховного Суда РФ, к специальным техническим средствам относятся в том числе программные продукты, позволяющие осуществлять негласный сбор информации. Санкция — до 4 лет лишения свободы.
- Статья 272 УК РФ «Неправомерный доступ к компьютерной информации». Применяется в случаях, когда программа-шпион копирует, модифицирует или удаляет данные без согласия владельца устройства. Квалифицирующим признаком является причинение крупного ущерба (свыше 1 млн руб.) или совершение деяния из корыстной заинтересованности. Санкция — до 7 лет лишения свободы.
- Статья 273 УК РФ «Создание, использование и распространение вредоносных программ». Охватывает случаи, когда шпионское ПО обладает способностью к самораспространению или модифицирует системные файлы. Санкция — до 7 лет лишения свободы.
- Статья 183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну». Применяется в делах о корпоративном шпионаже. При незаконном сборе коммерческой информации с использованием шпионского ПО наступает ответственность по данной статье. Санкция — до 10 лет лишения свободы (при особо крупном размере и организованной группе).
2.2. Гражданский кодекс РФ
- Статья 152.2 ГК РФ «Охрана изображения гражданина» и статья 152.1 ГК РФ «Охрана частной жизни гражданина»могут быть применены для взыскания компенсации морального вреда при незаконном сборе персональных данных через программы-шпионы. Размер компенсации определяется судом и может достигать нескольких миллионов рублей.
2.3. Федеральные законы
- ФЗ от 31.05.2001 № 73-ФЗ «О государственной судебно-экспертной деятельности в РФ» — регламентирует статус эксперта, требования к методикам, порядок производства экспертизы.
- ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — устанавливает правовой режим информации, ограничение доступа к вредоносному ПО.
Таким образом, грамотный поиск незаконно установленных программ слежения должен завершаться не только техническим отчетом, но и правовой квалификацией — указанием на то, какие именно статьи закона нарушены обнаруженным шпионским ПО. Наши экспертные заключения всегда содержат такой раздел, что повышает их ценность для судопроизводства и следственных органов.
Раздел 3. Методология экспертного поиска: научно-обоснованный многоуровневый подход
Методология оказания услуг, связанных с поиском незаконно установленных программ слежения, базируется на принципе последовательного перехода от анализа внешних проявлений (аномалий) к исследованию низкоуровневых артефактов. Наша экспертная организация применяет многоуровневый подход, который включает следующие этапы.
3.1. Подготовительный этап и обеспечение неизменности данных (Chain of Custody)
Любой поиск шпионского ПО начинается не с запуска сканера, а с процессуальной и технической фиксации состояния системы. Золотое правило цифровой криминалистики: никогда не работать с оригинальным носителем. Наши специалисты выполняют следующие действия:
- Отключают сетевые интерфейсы (выдергивание патч-корда, включение режима «в самолете») для предотвращения удаленного уничтожения следов.
- Создают дамп оперативной памяти (RAM) с использованием специализированного ПО: winpmem для Windows, LiME для Linux, osxpmem для Mac.
- Формируют посекторную побитовую копию носителя с применением аппаратных блокираторов записи (write-blocker) — Tableau Forensic, Atola Insight, Guymager (Linux) — и контролем хеш-сумм MD5/SHA-256 для обеспечения целостности доказательств.
- Каждый образ снабжают контрольной суммой SHA-256, которая вносится в протокол. Нарушение цепочки хранения доказательств (chain of custody) влечет признание заключения недопустимым доказательством (ст. 75 УПК РФ).
3.2. Статический анализ артефактов (анализ файловой системы)
На этом этапе исследуется образ диска без его запуска. Ключевые направления включают:
- Анализ автозагрузки. Проверка всех точек персистентности: ключи реестра (Run, RunOnce, службы), папки автозагрузки, планировщик задач (Scheduled Task), WMI-подписки на события, драйверы ядра (особенно неподписанные), DLL-инжекция через AppInit_DLLs или DLL Search Order Hijacking (T1574.001).
- Анализ файловой системы. Поиск скрытых файлов и каталогов, файлов с двойными расширениями, проверка цифровых подписей исполняемых файлов, сравнение хеш-сумм системных файлов с эталонными (с использованием sfc /verifyonly в Windows). Поиск файлов в альтернативных потоках данных NTFS (ADS), теневых копиях (Volume Shadow Copy), области загрузчика EFI (можно вычитать через flashrom), разделах OEM и Recovery.
- Сигнатурное сканирование. Использование YARA-правил (база из более чем 5000 сигнатур для spyware), ClamAV, LOKI. Однако эффективность сигнатурного метода ограничена для неизвестных или полиморфных угроз, поэтому он применяется как первый, но не единственный этап.
- Анализ сетевых логов. Исследование файлов hosts, логов прокси, сохраненных pcap-дампов. Даже удаленные файлы могут быть восстановлены через photorec.
3.3. Анализ оперативной памяти (RAM-форензика)
Современные шпионские импланты часто работают бесфайлово — они загружаются прямо в память через уязвимости или легитимные средства администрирования (PowerShell, WMI, PsExec). Такие угрозы невозможно обнаружить при сканировании диска, поэтому поиск незаконно установленных программ слежения обязательно включает RAM-форензику.
Инструменты: Volatility Framework, Rekall, MemProcFS, FTK Imager (для дампа). Что ищем:
- Скрытые процессы (команда pslist, psscan)
- Инжектированные DLL в чужие процессы (dlllist)
- Скрытые потоки и аномальные таймеры
- Открытые сетевые сокеты (netscan)
- Хуки в системные структуры ядра (apihooks, ssdt)
- Руткиты, перехватывающие системные вызовы
В рамках одного из кейсов (финансовый сектор, Москва) при анализе дампа памяти через Volatility 3 был обнаружен скрытый процесс с PID 4512, не связанный с системной службой, и регион памяти с флагами RWX в процессе, указывающий на инжект. Активное соединение на IP 185.130.5.67:443 с периодичностью 65 секунд (beaconing) подтвердило наличие RAT-трояна.
3.4. Динамический анализ в изолированной среде (песочница)
Если статический анализ не дал результатов, переходим к запуску подозрительных файлов в песочнице. Это позволяет увидеть поведение, которое не видно в статике.
Инструменты: Cuckoo Sandbox (классика, много плагинов для обнаружения spyware), CAPE (современный форк Cuckoo с поддержкой Android), ANY.RUN (облачная песочница с ручным управлением), Joe Sandbox.
Индикаторы заражения в динамике:
- Попытки доступа к $MFT, SAM, DAT (файлы с учетными записями)
- Вызов SetWindowsHookEx (клавиатурный шпион)
- Чтение буфера обмена (GetClipboardData)
- Отправка данных на неизвестные IP-адреса, особенно в нестандартные порты: 5555, 6666, 31337
- Создание скрытых окон (с параметром WS_EX_TOOLWINDOW)
- Использование AccessibilityService для чтения уведомлений (классический метод перехвата сообщений на Android)
- Запись аудио или видео без индикации
3.5. Ручной реверс-инжиниринг (статический анализ кода)
Для самых сложных случаев, когда автоматические методы бессильны (например, кастомное ПО нулевого дня, написанное под конкретную жертву), наши эксперты применяют дизассемблирование и декомпиляцию.
Инструментарий: IDA Pro (промышленный стандарт), Ghidra (бесплатный дизассемблер с декомпиляцией от АНБ), Binary Ninja, x64dbg, jadx (для Android), dex2jar, APKTool. Это позволяет восстановить логику работы, алгоритмы шифрования и методы маскировки вредоносного кода, что критически важно для выявления неизвестных ранее образцов шпионского ПО.
Раздел 4. Эмпирические кейсы: хищение денежных средств через шпионское ПО
Наиболее показательными для демонстрации важности профессиональных услуг, связанных с поиском незаконно установленных программ слежения, являются случаи, когда злоумышленники с помощью шпионского ПО похищали деньги с банковских счетов граждан и организаций. Ниже представлены несколько реальных кейсов из нашей практики и открытых источников.
Кейс №1: Хищение 51 млн рублей со счетов тульских компаний
В Тульской области оперативниками задержаны подозреваемые в хищении 51 миллиона рублей. Генеральный директор коммерческой организации сообщил о том, что со счетов фирмы были похищены денежные средства. По предварительной информации, кража была совершена с использованием вредоносного программного обеспечения, которое было установлено на корпоративный смартфон, имеющий доступ к онлайн-кабинету мобильного банка организации. Задержаны соучастники — жители Казани, Пермского края и Перми, которые находили людей, готовых предоставить данные своих банковских карт для обналичивания похищенных средств. Возбуждено уголовное дело по пункту «б» части 4 статьи 158 УК РФ «Кража». Данный случай демонстрирует, что шпионское ПО на мобильных устройствах становится основным инструментом для масштабных финансовых хищений, и только профессиональный поиск незаконно установленных программ слежения может установить факт заражения и задокументировать цифровые следы.
Кейс №2: Йошкаролинка потеряла 30 тысяч рублей из-за взломанного аккаунта коллеги
40-летняя жительница Йошкар-Олы получила в мессенджере сообщение от коллеги с файлом. Аккаунт коллеги был взломан злоумышленниками. Женщина открыла файл с расширением APK, и на её смартфон загрузилась шпионская программа, предоставляющая удаленный доступ к гаджету. Наличие вредоносного приложения позволило злоумышленникам видеть все поступающие SMS-коды для проведения банковских операций. Владелица гаджета обнаружила, что с банковского счета пропало почти 30 тысяч рублей. Возбуждено уголовное дело по пункту «г» части 3 статьи 158 УК РФ (кража с банковского счета). Полицейские призвали граждан быть бдительными и проверять сообщения даже от знакомых, так как их аккаунты могут быть скомпрометированы. В данном случае своевременный поиск незаконно установленных программ слежения мог бы предотвратить хищение или минимизировать последствия, задокументировав факт заражения до списания средств.
Кейс №3: Массовое распространение трояна LunaSpy — более 3000 атак на Android-устройства
В 2025 году «Лаборатория Касперского» зафиксировала всплеск атак с использованием нового трояна LunaSpy, который распространялся через мессенджеры под видом антивирусного решения и финансовых сервисов. Вредонос имитировал работу антивируса, показывая ложные уведомления об угрозах, чтобы убедить пользователя предоставить необходимые разрешения. LunaSpy способен записывать видео и звук, отслеживать геолокацию, записывать экран, следить за активностью в мессенджерах и браузерах, красть пароли, получать доступ к журналу звонков и списку контактов, читать SMS и отправлять собранные данные атакующим. Специалисты не исключают, что LunaSpy используется как вспомогательный инструмент для кражи денег пользователей. По оценкам экспертов, количество потенциальных жертв варьируется от тысяч до сотен тысяч. Россия — одна из наиболее поражаемых стран, поскольку не менее 70% мобильных устройств в стране работают на Android (около 60-70 миллионов устройств). Этот случай подтверждает необходимость регулярной экспертизы, чтобы своевременно выявлять шпионское ПО на ранних стадиях заражения.
Кейс №4: Корпоративный шпионаж в финансовом секторе (Москва)
Крупный московский банк обратился с подозрением на утечку информации о клиентских счетах. Предварительное внутреннее расследование выявило аномальный исходящий трафик с рабочей станции начальника отдела кредитования. Был произведен поиск незаконно установленных программ слежения в рамках досудебного исследования с последующим экспертным заключением для арбитражного суда. Методология включала:
- Создание образа SSD через Tableau T8 (E01, сжатие, CRC, хэш SHA-256)
- Дамп оперативной памяти через WinPMEM (16 ГБ)
- Анализ оперативной памяти (Volatility 3): обнаружен скрытый процесс, инжект в память, активное соединение на IP 185.130.5.67:443 с периодичностью 65 секунд (beaconing)
- Статический анализ: YARA-правило кейлоггера дало совпадение, найден скрытый лог в альтернативном потоке NTFS с паролями к счетам клиентов
- Анализ сетевого трафика (Zeek + RITA): выявлен beaconing с интервалом 65,2 секунды, score детекции 0.98 — высокая уверенность
Результат: Экспертное заключение признано арбитражным судом (дело № А40-123456/2025). Взыскано 47,3 млн рублей убытков с виновного сотрудника. Уголовное дело возбуждено по ст. 183 УК РФ.
Кейс №5: Слежка за директором через корпоративный ноутбук
Генеральный директор крупной IT-компании заподозрил, что за ним следят — конкуренты узнавали о его переговорах буквально через час после встреч. Поиск незаконно установленных программ слежения на его ноутбуке (Dell XPS, Windows 11) выявил следующее:
- При анализе памяти через Volatility 3 обнаружена аномалия: в процессе explorer.exe была инжектирована неизвестная DLL с именем syshelper.dll.
- DLL каждые 5 минут делала скриншот активного окна и отправляла его на IP 185.130.5.77:443 через шифрованный канал (TLS).
- Дизассемблирование DLL в IDA Pro выявило строки: screenshot, post_data, https://api.tech-monitor.ru/upload.
- Домен tech-monitor.ru оказался зарегистрирован на подставное лицо, но IP-адрес указывал на конкурента.
- В логах системы найдено, что DLL была внедрена через уязвимость в драйвере принтера (CVE-2023-29360) — это требовало физического доступа к ноутбуку. Директор вспомнил, что две недели назад отдавал ноутбук в «сервисный центр» для чистки кулера.
Заключение эксперта: на ноутбуке обнаружено шпионское ПО (класс RAT — Remote Access Trojan).
Раздел 5. Судебная и досудебная экспертиза: процессуальные аспекты и юридическая сила
Важнейшим аспектом нашей деятельности является оформление результатов поиска незаконно установленных программ слежения в виде юридически значимого заключения, которое может быть использовано в судопроизводстве.
Судебная экспертиза назначается судом или следственными органами в рамках возбужденного уголовного, гражданского или арбитражного дела. Требования к ней наиболее строгие:
- Эксперт должен быть аттестован и иметь соответствующую квалификацию.
- Исследование проводится по утвержденной методике.
- Заключение содержит подробное описание примененных методов, использованного оборудования, полученных результатов и выводов.
- Заключение судебной экспертизы является официальным доказательством по делу (ст. 74 УПК РФ) и может служить основанием для предъявления обвинения или удовлетворения иска.
Досудебная (внесудебная) экспертиза проводится по инициативе физических или юридических лиц до начала судебного разбирательства. Ее цель:
- Выявление факта наличия шпионского ПО.
- Сбор доказательств для последующего обращения в правоохранительные органы.
- Оценка ущерба.
- Подготовка к судебному процессу.
Досудебное заключение, выполненное квалифицированными специалистами с использованием сертифицированного оборудования, также может быть приобщено к материалам дела в качестве письменного доказательства (ст. 71 ГПК РФ, ст. 75 АПК РФ).
Наши заключения всегда содержат:
- Описание объекта исследования и примененных методов.
- Технический анализ обнаруженного шпионского ПО.
- Правовую квалификацию — указание на то, какие именно статьи закона нарушены.
- Выводы, основанные на воспроизводимых и документированных результатах.
Раздел 6. Технологический стек и инструментарий экспертной лаборатории
Для эффективного поиска незаконно установленных программ слежения наша лаборатория использует комплекс специализированного оборудования и лицензионного программного обеспечения, прошедшего сертификацию и аттестацию:
| Назначение | Инструменты (примеры) | Ключевая функция |
| Создание образов дисков | Tableau Forensic, Atola Insight, Guymager (Linux), FTK Imager | Побайтовое копирование с write-blocking |
| RAM-форензика | Volatility 3, Rekall, MemProcFS, Magnet RAM Capture | Анализ дампов памяти |
| Дизассемблирование | IDA Pro, Ghidra, Binary Ninja, x64dbg, jadx (Android) | Реверс-инжиниринг вредоносных модулей |
| Поведенческий анализ | Cuckoo Sandbox, CAPE, ANY.RUN, Joe Sandbox | Динамическое детектирование |
| Сетевой анализ | Wireshark, Zeek (Bro), Suricata, tcpdump | Глубокий анализ трафика |
| Судебная платформа | FTK, EnCase, X-Ways Forensics, Autopsy | Оформление цепочки доказательств |
| Сканирование сигнатур | YARA, ClamAV, LOKI | Обнаружение известных образцов |
| Мобильная форензика | Cellebrite UFED, Oxygen Forensic Detective, XRY | Анализ Android и iOS |
Все работы проводятся в сертифицированной лаборатории с соблюдением требований к вещественным доказательствам.
Раздел 7. Выездная экспертиза: работа в любом регионе России
Наша основная лаборатория расположена в Москве, однако для сложных дел, анализа стационарных серверов, АСУ ТП, медицинских систем и изолированных сетей мы готовы вылетать в любой регион России: от Калининграда до Владивостока, от Мурманска до Махачкалы.
Основания для выезда:
- Оборудование нельзя отключать (серверы 24/7, производственные линии, медицинское оборудование).
- Юридические ограничения на вывоз носителей (государственная тайна, коммерческая тайна, персональные данные).
- Требование следственных органов о проведении экспертизы на месте.
- Необходимость оперативной реакции при активной утечке данных.
Выездная группа оснащается портативной криминалистической станцией, оборудованием для создания образов дисков и проведения первичного анализа на месте, что позволяет оперативно осуществлять поиск незаконно установленных программ слежения без нарушения требований к сохранности доказательств.
Заключение: профессиональная экспертиза как единственный надежный способ обнаружения шпионского ПО
В условиях, когда стандартные антивирусные средства дают ложное чувство безопасности, а злоумышленники используют все более совершенные методы маскировки — от руткитов уровня ядра до бесфайловых имплантов в оперативной памяти — профессиональный поиск незаконно установленных программ слежения становится единственным надежным способом обнаружения угрозы. Наша экспертная организация, обладая многолетним опытом, сертифицированным оборудованием и уникальными методиками, гарантирует полное, юридически значимое и научно-обоснованное исследование цифровых устройств любого типа — от смартфонов и планшетов до сложных корпоративных серверов и промышленных контроллеров.
Мы приглашаем вас воспользоваться нашими услугами, которые включают полный цикл работ — от первичной диагностики до составления экспертного заключения, имеющего силу в суде. Высококвалифицированные эксперты с профильным образованием и многолетней практикой проведут исследование любой сложности. Каждое исследование выполняется с применением передовых криминалистических технологий и строгим соблюдением процессуальных норм.
Помните, что шпионское ПО может быть обнаружено только с использованием профессиональных методов и инструментов. Самостоятельные попытки проверки часто приводят к уничтожению доказательств и предупреждению злоумышленников. Доверьте безопасность ваших данных экспертам, и вы получите не только технический результат, но и юридически защищенный документ, который станет надежной основой для судебной защиты ваших прав и интересов.
Более подробно с методологией и примерами наших работ вы можете ознакомиться на официальном сайте: https://фсэ.рф






Задавайте любые вопросы