В современной научно-технической и юридической практике мобильный телефон, особенно смартфон, эволюционировал из средства связи в универсальный коммуникационный, вычислительный и информационный центр личности. Эта метаморфоза обусловила его превращение в один из наиболее значимых и информационно насыщенных источников доказательств в уголовном, гражданском и административном судопроизводстве. Объем и разнообразие данных, хранимых на телефоне — от истории перемещений и социальных связей до финансовых транзакций и интимных переписок — делают его «цифровым двойником» своего владельца. Ключевым инструментом извлечения и анализа этой информации выступает компьютерная экспертиза телефона; типовые вопросы, разрешаемые в ее рамках, представляют собой структурированную систему, позволяющую максимально полно реализовать доказательственный потенциал мобильного устройства.

Настоящая статья, подготовленная в научном стиле, представляет собой всесторонний анализ теоретических основ, методологии проведения и практических аспектов компьютерной экспертизы телефона; типовые вопросы классифицируются по объектным областям и целевым задачам. В материале будут подробно рассмотрены принципы систематизации вопросов, этапы диагностики, применяемые методы, процессуальные особенности и пять показательных научно-практических кейсов, демонстрирующих значение данного вида исследований в судопроизводстве.

Теоретические основы компьютерной экспертизы телефона

Компьютерная экспертиза телефона представляет собой специализированное направление судебной компьютерно-технической экспертизы, объектом которого выступают мобильные устройства, включая смартфоны, планшеты и их компоненты (SIM-карты, карты памяти). Данный вид исследований базируется на фундаментальных положениях информатики, электроники, программирования и криминалистики.

В структуре компьютерно-технической экспертизы исследование телефонов выделилось в самостоятельное направление — «мобильную криминалистику» — ввиду уникальных вызовов, с которыми сталкиваются эксперты:

• Постоянная синхронизация с облачными сервисами (iCloud, Google Drive и др. ), что требует анализа данных не только на устройстве, но и в удаленных хранилищах.
• Шифрование данных на уровне файловой системы и приложений, характерное для современных версий iOS и Android.
• Использование защищенных мессенджеров с end-to-end шифрованием (Telegram, WhatsApp, Viber, Signal).
• Зависимость данных от состояния учетных записей (Apple ID, Google Account).
• Многообразие форматов данных и приложений, требующее постоянного обновления методик исследования.

Объектные области экспертизы телефона как основа для классификации вопросов

Перед формулировкой вопросов необходимо четко определить, какой аспект функционирования телефона подлежит исследованию. Можно выделить четыре основные объектные области, каждая из которых порождает свой класс типовых вопросов компьютерной экспертизы телефона; типовые вопросы группируются именно по этим основаниям:

• Аппаратное обеспечение (Hardware): Физическое устройство, его идентификаторы (IMEI, серийный номер), состояние, факт ремонта или модификации, подключенные периферийные устройства (карты памяти, SIM-карты).
• Программная среда и системные данные (Software & OS): Установленная операционная система (версия, сборка), список установленных и удаленных приложений, системные журналы и настройки, история обновлений, данные системных служб.
• Пользовательские данные и информация (User Data): Контент, созданный или полученный пользователем: контакты, SMS/MMS, история звонков, фото-, видео- и аудиофайлы, заметки, документы, календари, данные приложений (переписка в мессенджерах, история браузера, кэши).
• Сетевые активности и локационные данные (Network & Location): История подключений к сетям Wi-Fi и сотовым сетям, данные геолокации (GPS, ГЛОНАСС), журналы сетевых соединений приложений, метаданные о сессиях в интернете.

Таксономия типовых вопросов компьютерной экспертизы телефона

Вопросы могут быть классифицированы по нескольким взаимосвязанным основаниям, что позволяет структурировать запрос к эксперту.

Классификация по объектной направленности (на что направлен вопрос):

• Вопросы об аппаратном состоянии и идентификации:
• «Каковы идентификационные характеристики (IMEI, серийный номер, модель) представленного смартфона?»
• «Имеются ли на устройстве признаки несанкционированного вскрытия, ремонта или замены компонентов?»
• «Исправен ли представленный телефон? Если нет, в чем причина неисправности и могла ли она повлиять на сохранность данных?»
• «Имеются ли на телефоне внешние повреждения, следы падения, вмятины и иные следы нарушения правил эксплуатации? Если имеются, то укажите причину и механизм их образования?»
• Вопросы о программной среде и системной активности:
• «Какая версия операционной системы установлена на устройстве?»
• «Какие операционные системы и приложения установлены на телефоне?»
• «Какие приложения были установлены на телефоне в период с [дата] по [дата]?»
• «Имеются ли в системных журналах (логах) устройства записи о его активации, блокировке, сбросе настроек в указанный период?»
• «Имеются ли на устройстве признаки взлома или установки вредоносного ПО?»
• Вопросы о пользовательских данных (наиболее обширная группа):
• «Какие данные хранятся на мобильном устройстве?»
• «Имеется ли в памяти телефона (включая внутреннюю и внешнюю память) информация, относящаяся к [конкретному лицу, событию, организации]?»
• «Какие текстовые сообщения (SMS, MMS) и сообщения в мессенджерах (WhatsApp, Telegram, Viber и т. д. ) были отправлены и получены с устройства?»
• «Имеются ли на устройстве удаленные сообщения, которые можно восстановить?»
• «Каковы даты и времена отправки и получения этих сообщений?»
• «Какие входящие и исходящие звонки были совершены с устройства? Каковы номера телефонов, продолжительность звонков и временные метки?»
• «Какие фотографии и видео хранятся на устройстве? Могут ли быть восстановлены удаленные медиафайлы?»
• «Имеются ли метаданные, указывающие на время и место съемки?»
• «Какие электронные письма были отправлены и получены с устройства? Есть ли удаленные письма, которые можно восстановить?»
• «Какие данные хранятся в установленных приложениях (например, банковских приложениях, социальных сетях, фитнес-трекерах)?»
• «Имеются ли на жестком диске персонального компьютера файлы или их фрагменты, содержащие полностью или частично текст договора купли-продажи, копия которого представлена на экспертизу?»
• Вопросы о сетевой активности и локации:
• «К каким вышкам сотовой связи и сетям Wi-Fi подключалось устройство в период с [дата/время] по [дата/время]?»
• «Какие веб-сайты были посещены с устройства? Есть ли следы использования анонимайзеров или VPN-сервисов для сокрытия интернет-активности?»
• «Совершались ли с устройства телефонные звонки или отправлялись SMS на указанные номера телефонов?»
• «Каковы маршруты перемещения устройства (на основе данных геолокации) в указанный временной интервал? Соответствуют ли эти данные алиби лица?»
• «Какие геолокационные данные хранятся на устройстве? Какие места посещались пользователем устройства, и когда это происходило?»
• «Осуществлялся ли с представленного компьютера доступ в сеть Интернет? Если осуществлялся, то когда и каковы настройки соединения с провайдером, имена и пароли пользователей?»

Классификация по целевому назначению (гносеологическая классификация):

• Идентификационные вопросы: Направлены на установление тождества устройства или его принадлежности.
• Пример: «Находился ли представленный смартфон ранее в использовании у конкретного лица (например, привязан ли к его учетной записи Apple ID/Google Account)?»
• Пример: «Какие учетные записи пользователей зарегистрированы на устройстве? Есть ли следы использования устройства другими лицами?»
• Диагностические вопросы: Установление состояния, свойств, фактов.
• Пример: «Активен ли на устройстве режим шифрования данных?», «Заблокирован ли телефон графическим ключом, PIN-кодом или иным способом?»
• Пример: «Имеются ли на устройстве признаки взлома или установки вредоносного ПО?»
• Ситуационные (реконструктивные) вопросы: Восстановление событий, последовательности действий.
• Пример: «Каковы были действия пользователя с телефоном (совершение/прием звонков, отправка сообщений, использование приложений) в критический период времени [с… по…]?»
• Пример: «Какие действия в интернете были совершены с устройства в день совершения преступления?»
• Классификационные вопросы: Отнесение данных или ПО к определенной категории.
• Пример: «Можно ли отнести обнаруженное на устройстве приложение к категории вредоносного (шпионского) ПО?»

Методология проведения компьютерной экспертизы телефона

Процесс проведения компьютерной экспертизы телефона; типовые вопросы определяют направленность исследования, но сама процедура подчиняется строгой методологической последовательности.

Подготовительный этап (постановка задачи). На данной стадии суд или следователь направляют поручение на проведение экспертизы с перечнем вопросов. Эксперт изучает предоставленные материалы дела, оценивает комплектность и пригодность материалов, формулирует исходные вопросы.

Критически важным является соблюдение принципа сохранения целостности оригинала. Любые действия с исходным носителем информации должны минимизировать риск его изменения. Предпочтительной является работа не с оригинальным устройством, а с его точным посекторным копиям (образом), созданным с помощью аппаратно-программных комплексов, обеспечивающих блокировку записи (write-blockers). Хэш-суммы (MD5, SHA-256) образов и оригиналов должны совпадать, что является гарантией аутентичности исследуемых данных.

Этап изъятия и фиксации данных. Экспертом извлекаются цифровые следы, информация с носителей. Производится наружный осмотр представленных объектов, фиксация их состояния, идентификационных признаков (IMEI, серийный номер), видимых повреждений или следов вскрытия. Выполняется подробная фото- и видеофиксация.

Создание криминалистических образов. Для всех носителей информации создаются посекторные образы с использованием специализированного программно-аппаратного обеспечения (например, UFED, XRY, Belkasoft). Работа ведется исключительно с созданными образами, что гарантирует сохранность оригиналов в неизменном состоянии. При исследовании мобильных устройств также создаются логические резервные копии.

Этап статического анализа. Исследуются данные на созданных образах без их запуска. Включает анализ файловой структуры, метаданных, содержимого файлов, журналов регистрации (логов), данных приложений. Особое внимание уделяется:

• Извлечению данных из приложений: многие современные мессенджеры хранят данные в зашифрованных базах данных (например, база данных WhatsApp на Android). Эксперты используют специализированные методы для декодирования этих данных.
• Анализу метаданных: EXIF-данные фотографий и видео могут содержать информацию о дате, времени, модели камеры, а также GPS-координатах места съемки.
• Восстановлению удаленных данных: с использованием специализированных программных средств (R-Studio, UFS Explorer, Belkasoft Evidence Center) производится поиск и восстановление удаленных файлов и их фрагментов.
• Анализу системных журналов: журналы событий (логи) содержат информацию об активности устройства, подключениях, установке и удалении приложений.

Этап динамического анализа (при необходимости). Выполняется в изолированной, контролируемой среде («песочнице») и предполагает изучение поведения программных компонентов при их запуске. Это особенно важно при исследовании вредоносного ПО.

Этап синтеза и формирования выводов. Систематизация полученных данных, их интерпретация в контексте поставленных вопросов и формулировка ответов. Проводится анализ полученной информации, формулируются научно обоснованные выводы.

Этап представления результатов. Оформляется письменное заключение, утверждаемое экспертом и предоставляемое суду или следствию. Итоговый отчет включает описание методов, используемых для анализа, выводы и рекомендации. Заключение должно соответствовать требованиям процессуального законодательства и содержать подробное описание проведенных исследований, использованных методов и средств, результаты анализа и выводы по каждому из поставленных вопросов.

Процессуальные особенности и ограничения

При назначении компьютерной экспертизы телефона; типовые вопросы должны формулироваться с учетом ряда процессуальных и технических ограничений:

• Экспертиза проводится только аккредитованными организациями, имеющими специальную лицензию. Организации, не уполномоченные законодательством на выполнение функций экспертов, не могут выдавать заключения, признаваемые судом в качестве допустимых доказательств.
• При назначении экспертизы необходимо предоставить эксперту пароли от телефонов, коды доступа к SIM-картам. Преодоление пароля защиты телефона и SIM-карт не входит в компетенцию эксперта.
• Эксперт не вправе совершать действия, которые могут привести к изменению основных свойств исследуемого объекта. Любые манипуляции должны минимизировать риск изменения оригинальных данных.
• При исследовании шифрованных устройств и данных возможности эксперта могут быть ограничены, если ключи шифрования недоступны.

Научно-практические кейсы из экспертной практики

Рассмотрим пять показательных примеров, иллюстрирующих применение различных типовых вопросов компьютерной экспертизы телефона; типовые вопросы в реальных делах.

• Кейс № 1: Исследование переписки в WhatsApp (Калининский районный суд г. Новосибирска, дело №2-2020/2017). Судебная компьютерно-техническая экспертиза мобильного устройства (смартфона) HTC One М9 на платформе Android была проведена для изучения переписки в мессенджере WhatsApp. Использовались методы извлечения и анализа данных из логической резервной копии устройства, а также декодирование зашифрованной базы данных приложения. Целью исследования было установление наличия приложения, получение дословного содержания переписки за определенные периоды, сравнение с имеющимся нотариальным протоколом, подтверждение фактов отправки, получения и прочтения сообщений, а также выявление возможных признаков изменений в данных или в самом программном обеспечении. Эксперты также изучали технические аспекты работы мессенджера, такие как хранение данных, взаимосвязь с SIM-картой и контактами, а также возможность копирования ключей шифрования.
• Кейс № 2: Установление технического состояния смартфона Xiaomi Redmi Note 9 (Нижневартовский районный суд ХМАО-Югры, дело №1-23/2023). Была проведена судебная компьютерно-техническая экспертиза мобильного устройства для установления его общего рабочего состояния, определения наличия и характера защиты доступа к хранящейся на нем цифровой информации, а также оценки технической возможности осуществления разблокировки устройства и извлечения из его памяти фото, видео и аудио файлов. В рамках исследования экспертами был проведен внешний осмотр смартфона, тестирование ключевых аппаратных и программных функций, а также анализ применяемых методов защиты данных. Использовались методы диагностики операционной системы, попытки подключения к экспертному оборудованию с учетом специфики мобильных устройств и механизмов безопасности.
• Кейс № 3: Экспертиза на предмет взлома смартфона. В рамках рассмотрения гражданского дела требовалось установить факт наличия/отсутствия взлома смартфона Xiaomi Redmi Note 12 и определить приложения, с помощью которых произошел внешний несанкционированный доступ. Экспертами проводилась проверка на факт взлома, анализ журналов событий и системных логов, выявление изменений в системных настройках. Идентифицировались приложения или программы, использованные для взлома, проводился анализ установленных приложений и их активности, проверка на наличие вредоносного ПО. Оценивались дата и время предполагаемого доступа путем поиска записей о действиях в системных логах, журнале приложений и других источниках. Также проводился анализ возможной утечки данных.
• Кейс № 4: Экспертиза смартфона по делу о мошенничестве с банковскими счетами. Женщина подозревала, что кто-то удаленно, при помощи ее мобильного телефона, списывает деньги с карточки. Эксперты исследовали ее гаджет на предмет наличия вредоносных программ или приложений удаленного доступа. Подозрительных программ обнаружено не было, что позволило сузить круг поисков и подозрений до версии о том, что кто-то из домашних тайком пользуется карточкой. Данный кейс демонстрирует важность негативного результата экспертизы для правильного направления расследования.
• Кейс № 5: Экспертиза мобильных телефонов по делу о распространении наркотиков. В рамках расследования уголовного дела о распространении наркотиков на экспертизу поступило несколько мобильных телефонов. Имелась информация об интернет-магазине и закладках в лесном массиве. В мобильных телефонах были восстановлены фотографии мест закладок. Эксперты восстановили не только сами изображения, но и геолокационные данные, привязав их к конкретной местности. Благодаря полученным данным по горячим следам удалось найти не только закладчиков, но и заказчиков.

Требования к экспертным организациям и экспертам

К организациям и лицам, осуществляющим компьютерную экспертизу телефона; типовые вопросы решаются с соблюдением высоких профессиональных стандартов:

• Наличие в штате экспертов, имеющих высшее образование в области информационных технологий, вычислительной техники, автоматизации, электроники или радиотехники.
• Владение специальными знаниями в области мобильных операционных систем (Android, iOS), схемотехники, сетевых технологий, криптографии и защиты информации.
• Наличие необходимой приборной базы и лицензионного программного обеспечения для создания криминалистических образов, анализа данных и восстановления информации (криминалистические комплексы UFED, XRY, Belkasoft, Oxygen Forensic Detective и др. ).
• Наличие системы менеджмента качества и опыта проведения подобных экспертиз, включая участие в судебных процессах.
• Отсутствие заинтересованности в исходе дела, независимость от заинтересованных сторон.
• Наличие сертификатов компетентности в соответствующих областях, подтвержденных документально.
• Знание нормативно-правовой базы, регламентирующей производство судебных экспертиз и оборот цифровой информации.

Выбор субъекта, осуществляющего компьютерную экспертизу, должен учитывать не только наличие разрешительной документации, но и профессиональную репутацию, квалификационный состав экспертов и техническую оснащенность исследовательского подразделения.

Практические рекомендации при назначении экспертизы

Для эффективного решения компьютерной экспертизы телефона; типовые вопросы должны быть сформулированы с соблюдением следующих рекомендаций:

• Не используйте смартфон до передачи его эксперту, чтобы не перезаписать важные данные.
• Подготовьте информацию о предполагаемой дате события и любых подозрительных действиях (например, странных уведомлениях, неожиданных приложениях).
• Сохраните все возможные доказательства, например, снимки экрана или переписку, подтверждающую факты.
• Предоставьте эксперту всю известную информацию об устройстве: модель, версию операционной системы, пароли и PIN-коды.
• Вопросы должны быть четкими, конкретными и касаться обстоятельств, требующих специальных знаний для их разрешения. Избегайте общих вопросов типа «Виновен ли пользователь?», формулируйте вопросы технически корректно: «Были ли выполнены изменения в файлах в период с. . . по. . . ?».
• При необходимости исследования конкретных приложений (мессенджеров, банковских приложений) указывайте их названия и интересующие периоды.

Типовые ошибки при постановке вопросов

Анализ экспертной практики позволяет выделить типичные ошибки при формулировке компьютерной экспертизы телефона; типовые вопросы не должны:

• Быть излишне общими или неконкретными, что приводит к получению нерелевантной информации.
• Содержать правовую квалификацию действий (например, «Совершено ли преступление?»).
• Превышать компетенцию эксперта (например, вопросы о стоимости устройства относятся к оценочной экспертизе).
• Игнорировать технические ограничения (например, требовать безусловного восстановления данных с физически поврежденного устройства).
• Не учитывать возможности шифрования и защиты данных.

При необходимости выполнения заказа на компьютерная экспертиза телефона с постановкой типовых вопросов обращайтесь к специалистам, имеющим подтвержденную квалификацию и опыт проведения подобных исследований.

Значение компьютерной экспертизы телефона для разрешения споров

Компьютерная экспертиза телефона играет ключевую роль в различных категориях дел:

Уголовные дела:

• Мошенничество, кража персональных данных, хищение денежных средств с использованием мобильных приложений.
• Киберпреступления, включая взлом аккаунтов и распространение вредоносного ПО.
• Преступления против личности: кибербуллинг, угрозы, шантаж, совершенные с использованием мобильной связи.
• Распространение запрещенного контента, экстремистских материалов.
• Расследование преступлений, связанных с незаконным оборотом наркотиков (восстановление координат закладок).

Гражданские дела:

• Семейные споры (установление фактов супружеской неверности, контроль за детьми с использованием шпионского ПО).
• Споры о защите чести и достоинства, клевета в мессенджерах и социальных сетях.
• Наследственные споры (восстановление данных и установление круга наследников).
• Споры о качестве товара (выявление производственных дефектов смартфонов).

Корпоративные расследования:

• Выявление фактов утечки коммерческой тайны и конфиденциальной информации.
• Анализ действий сотрудников в рабочее время.
• Расследование инцидентов информационной безопасности.

Заключение

Таким образом, компьютерная экспертиза телефона; типовые вопросы представляют собой сложную, иерархически организованную систему, включающую вопросы об аппаратном состоянии, программной среде, пользовательских данных и сетевой активности устройства. Каждая группа вопросов имеет свою специфику, требует применения специализированных методов исследования и решает конкретные задачи доказывания.

Качественно проведенная экспертиза позволяет не только установить факты, имеющие значение для уголовного, гражданского или арбитражного дела, но и восстановить утраченную информацию, определить авторство сообщений, выявить следы несанкционированного доступа и манипуляций с данными. Полученное экспертное заключение служит надежной доказательственной базой в судебных разбирательствах, помогает в принятии обоснованных решений и способствует защите прав граждан и организаций в цифровой среде.

При назначении экспертизы необходимо учитывать специфику мобильных устройств, правильно формулировать вопросы, выбирать компетентное экспертное учреждение, имеющее соответствующих специалистов и аппаратно-программную базу, а также обеспечивать сохранность цифровых доказательств. Только комплексный научный подход гарантирует получение достоверных и юридически значимых результатов, способных разрешить сложные технические и правовые конфликты, связанные с использованием мобильных технологий.