Доброго дня, коллеги! 👋 Сегодня мы с вами разбираем тему, которая требует не просто поверхностного знания антивирусов, а настоящего инженерного подхода, граничащего с криминалистикой и реверс-инжинирингом. Речь пойдет о системном, глубоком и методически выверенном поиске шпионского ПО — от бытовых сталкерских приложений до промышленных имплантов уровня ядра ОС. 🧠🔬

Сразу обозначу нашу позицию: мы — команда судебных IT-экспертов, базирующаяся в Москве. Однако для сложных дел, для анализа стационарных серверов мы готовы вылетать любой регион России — от Калининграда до Камчатки. Физический доступ к оборудованию — это краеугольный камень методически верного поиска шпионского ПО, особенно когда речь идет о серверных стойках, RAID-массивах и промышленных контроллерах. 🚁🖥️

Статья написана в методическом ключе: каждый раздел — это готовый алгоритм действий для специалиста по информационной безопасности, следователя или корпоративного юриста. Все эмодзи расставлены для визуального акцентирования ключевых этапов. Поехали! 🚀

1. Методологическая основа: что мы ищем и почему это сложно 📐

Шпионское ПО (spyware, stalkerware, tracking software) — это класс программ, предназначенных для скрытого сбора, агрегации и передачи информации с зараженного устройства. Сложность поиска шпионского ПО заключается в его маскировке: современные образцы:

• 🔹 Обфусцируют свой код (используют упаковщики вроде UPX, VMProtect, Themida)
• 🔹 Маскируются под системные процессы (exe, System, kernel_task)
• 🔹 Используют легитимные каналы связи (HTTPS, DNS-over-HTTPS, Telegram Bot API)
• 🔹 Имеют механизмы самоуничтожения при обнаружении отладки или антивируса
• 🔹 Работают в режиме загрузчика, загружая основное тело только из C&C-сервера

Поэтому методика поиска шпионского ПО должна быть многоуровневой: от статического анализа до поведенческого в песочнице и ручного реверс-инжиниринга. Никакой один инструмент не даст 100% гарантии. 🎯

Кейс №1: зараженная бухгалтерия (выезд в Нижний Новгород)
К нам обратилась строительная компания: с сервера 1С регулярно утекали налоговые декларации до их официальной подачи. Мы вылетели на место, провели поиск шпионского ПО на сервере (Windows Server 2019) и 6 бухгалтерских рабочих станциях. Результат: на одном ПК обнаружен загрузчик в автозагрузке userinit.exe, который подтягивал PowerShell-скрипт с IP 185.xxx.xx.12 (Германия). Скрипт каждую ночь архивировал базы 1С и отправлял через WebDAV. Заключение легло в основу уголовного дела о коммерческом шпионаже (ст. 183 УК РФ). 🧾⚖️

2. Этап 1: подготовка к исследованию — обеспечение неизменности данных 🛡️

Любой поиск шпионского ПО начинается не с запуска сканера, а с процессуальной и технической фиксации состояния системы. Золотое правило: никогда не работать с оригинальным носителем.

Что делаем:

2.1. Обесточивание? — Нет!
Не выключаем компьютер или смартфон. Вместо этого:

• Отключаем сетевые интерфейсы (выдернуть патч-корд, включить режим «в самолете»)
• Делаем дамп оперативной памяти (RAM) с помощью winpmem(Windows) или avdump (Linux)
• Фотографируем экран с открытыми процессами, сетевыми подключениями

2.2. Создание образа диска
Используем аппаратные блокираторы записи (write-blocker) и создаем посекторную копию:

• dd if=/dev/sda of=/mnt/evidence/disk.img bs=512(Linux)
• FTK Imager (Windows) с контролем хешей MD5/SHA-256
• Для телефонов — UFED Cellebrite или Oxygen Forensic

2.3. Контрольные суммы
Каждый образ снабжаем хеш-суммой. Изменение хотя бы одного бита сделает образ недопустимым доказательством. 🧾

Методический совет: храните оригинальный образ на двух независимых носителях (например, SSD + LTO-лента). Для поиска шпионского ПО в корпоративной среде мы используем промышленные копировщики Tableau TD3. 🧰

3. Этап 2: статический анализ — поиск сигнатур и аномалий 🔎

Статический анализ выполняется на образе диска без его запуска. Это безопасно и позволяет выявить уже известные шпионские приложения.

3.1. Сигнатурный поиск
Используем базы YARA-правил (более 5000 сигнатур spyware), ClamAV, а также собственные коллекции. Пример правила для сталкерского ПО:

rule mSpy_android {    strings:        $a = «com.mspy.cellcontrol»        $b = «mspy.server.com»    condition:        any of them}

3.2. Анализ автозагрузки
На Windows проверяем:

• Run, RunOnce (реестр)
• Планировщик задач (schtasks)
• Службы (msc)
• WMI-подписки на события
• Драйверы ядра (особенно неподписанные)

На Linux:

• /etc/crontab, d, systemd/system
• local, init.d

3.3. Поиск скрытых файлов
Шпионское ПО часто прячется в:

• Альтернативных потоках данных NTFS (ADS)
• Теневых копиях (Volume Shadow Copy)
• Области загрузчика EFI (можно вычитать через flashrom)
• Разделах OEM и Recovery

3.4. Анализ сетевых логов
Ищем файлы hosts, логи прокси, сохраненные pcap-дампы. Даже удаленные файлы можно восстановить через photorec. 🕵️‍♂️

Кейс №2: скрытая установка через EFI (Москва, медицинский центр)
В частной клинике пропали записи VIP-пациентов. Стандартный поиск шпионского ПО на дисках ничего не дал. Мы извлекли прошивку EFI через SPI-программатор — внутри была внедрена DLL, которая при загрузке ОС инжектировалась в процесс lsass.exe и перехватывала учетные записи врачей. Уникальный случай в российской практике. 💉📟

4. Этап 3: динамический анализ в изолированной среде 🏜️

Если статический анализ не дал результатов, переходим к запуску подозрительных файлов в песочнице (sandbox). Поиск шпионского ПО динамическим методом позволяет увидеть поведение, которое не видно в статике.

Что используем:

• Cuckoo Sandbox(классика, много плагинов для обнаружения spyware)
• CAPE(современный форк Cuckoo с поддержкой Android)
• RUN(облачная песочница с ручным управлением)
• Falcon Sandbox(от CrowdStrike)

Индикаторы заражения в динамике:

• 🔹 Попытки доступа к $MFT, SAM, DAT
• 🔹 Вызов SetWindowsHookEx(клавиатурный шпион)
• 🔹 Чтение буфера обмена (GetClipboardData)
• 🔹 Отправка данных на неизвестные IP (особенно в нестандартные порты: 5555, 6666, 31337)
• 🔹 Создание скрытых окон (с параметром WS_EX_TOOLWINDOW)

Важно: динамический анализ всегда проводим на виртуальных машинах, изолированных от корпоративной сети. Используем VLAN и отдельный физический хост. 🌐

Кейс №3: шпион внутри ERP-системы (выезд в Екатеринбург)
Крупный производитель автокомпонентов заподозрил утечку чертежей. Поиск шпионского ПО динамическим методом выявил: на сервере SAP каждую ночь запускался Java-апплет, который через JNI вызывал нативную библиотеку, сканирующую сетевые диски. Библиотека называлась jvm_monitor.dll, но ее SHA-256 совпадал с известным бэкдором PlugX. Мы вылетали для изъятия сервера — команда безопасности заказчика боялась, что он «заминирован» логическим бомбой. 🔨💣

5. Этап 4: ручной реверс-инжиниринг — для самых сложных случаев 🧬

Когда автоматические методы бессильны (например, кастомное ПО, написанное под конкретную жертву), применяем reverse engineering. Это требует высокой квалификации и времени, но иногда только так возможен поиск шпионского ПО нулевого дня (zero-day).

Инструментарий:

• Ghidra(от АНБ — бесплатный дизассемблер с декомпиляцией)
• IDA Pro(промышленный стандарт, особенно для x86/x64)
• x64dbg(отладчик для Windows)
• radare2(консольный анализ, хорош для скриптинга)
• Wireshark + tcpdump(анализ сетевых протоколов вредоноса)

Что ищем в коде:

• 🔸 Строки с URL/IP (особенно в зашифрованном виде — через функцию XORили AES)
• 🔸 Вызовы InternetOpen, URLDownloadToFile, WinHttpOpen
• 🔸 Функции для работы с веб-камерой (dll, MFStartup)
• 🔸 Код для обхода UAC (например, через CMSTP, EventViewer)
• 🔸 Механизмы персистенции (прописка в реестр или создание задач)

Пример из практики: мы нашли RAT, который хранил C&C-адрес в виде последовательности байт, декодируемых через ROR с ключом 0x7F. Без реверса это невозможно обнаружить. 🧩

6. Этап 5: анализ мобильных устройств (Android, iOS) 📱

Мобильный поиск шпионского ПО имеет свою специфику. Краткий чек-лист:

6.1. Android (рутированный или нет)

• Проверка устройств-администраторов (DevicePolicyManager)
• Анализ сервисов специальных возможностей (AccessibilityService) — главный признак сталкерского ПО
• Поиск скрытых приложений через pm list packages -fи визуальный анализ иконок
• Дамп памяти через adb+ анализ в Autopsy

6.2. iOS (без джейлбрейка)

• Анализ резервной копии iTunes (можно извлечь даже без пароля, если нет бэкапа в iCloud)
• Проверка установленных профилей MDM (Настройки → Основные → VPN и управление устройством)
• Поиск корпоративных приложений (предварительно распространенные через Apple Configurator)

6.3. Общие индикаторы

• Высокий расход трафика, особенно в ночное время 🌙
• Батарея греется без видимой причины 🔥
• Странные разрешения у обычных приложений (калькулятор запрашивает доступ к микрофону? Тревога! 🚨)

Кейс №4: слежка за журналистом (выезд в Ростов-на-Дону)
Журналист федерального СМИ обнаружил, что его переписка в Signal известна третьим лицам. На месте мы провели поиск шпионского ПО на его Android-смартфоне: обнаружили приложение с именем com.android.providers.media.module, которое не было системным. В дампе памяти нашли команды на отправку скриншотов на сервер 5.xx.xx.188. Экспертиза помогла вычислить бывшего сожителя — бывшего IT-специалиста. 👨‍💻🔪

7. Юридическое оформление результатов экспертизы 📜

Любой поиск шпионского ПО должен заканчиваться документом, имеющим юридическую силу. Структура нашего заключения:

7.1. Вводная часть

• Основание для проведения (договор, постановление суда)
• Данные об эксперте (образование, стаж, аттестация)
• Перечень предоставленных объектов (носители, их хеши)

7.2. Исследовательская часть

• Описание методик (ссылки на ГОСТ Р 57145-2016, Методические рекомендации Минюста)
• Пошаговый отчет о каждом этапе: создание образа, статический анализ, динамический, реверс (если применимо)
• Скриншоты, логи, распечатки кода

7.3. Выводы
Категорические ответы на вопросы (примеры):

• «Обнаружено ли на представленном устройстве программное обеспечение, обладающее функциями скрытого сбора информации?»→ Да / Нет
• «Если да, то какие данные могли быть скомпрометированы?»→ Переписка, геолокация, файлы…
• «Имеются ли следы удаленного управления?»→ С указанием IP, доменов, временных меток

Важно: заключение подписывается, заверяется печатью (при наличии). Оно принимается всеми судебными инстанциями РФ. 🧑‍⚖️

8. Чего делать нельзя: фатальные ошибки 🚫

В своей практике мы много раз видели, как заказчики уничтожали улики. Запомните:

1. Не запускайте CCleaner или аналоги— они чистят логи и временные файлы, где могут быть следы шпиона.
2. Не делайте дефрагментацию диска— она перезаписывает удаленные, но еще восстанавливаемые улики.
3. Не обновляйте ОС и приложения— патч может перетереть зараженные файлы.
4. Не устанавливайте новое ПО— оно меняет реестр и файловую систему.
5. Не пытайтесь «удалить вирус» вручную— вы нарушите временные метки и цепочку доказательств.

Правильное действие: выключить сеть, зафиксировать состояние и вызвать нас. Мы приедем. 🚐

9. География и логистика: как мы работаем с удаленными объектами 🗺️

Мы находимся в Москве, и это наша основная база. Но для сложных дел, для анализа стационарных серверов мы готовы вылетать любой регион России. Что это значит на практике?

Критерии выезда:

• Объекты, которые физически нельзя перевезти (стоечные серверы, мейнфреймы, промышленные АСУ ТП)
• Необходимость сохранить непрерывность работы (анализируем без остановки производства)
• Юрисдикционные ограничения (режимные объекты, ЗАТО)
• Масштаб — более 50 устройств или RAID-массивы большой емкости

Что берем с собой:

• Мобильная лаборатория (форд-транзит, переоборудованный) с генератором и кондиционированием ❄️
• Комплекты write-blocker для SATA, NVMe, SAS, SCSI
• Логические анализаторы и программаторы (для извлечения прошивок)
• Стеллажи для временного хранения улик
• Ноутбуки со специализированным ПО (все лицензии)

Пример дальнего выезда: Сахалин, серверная нефтяной компании. Летели с двумя контейнерами оборудования. Поиск шпионского ПО занял 4 дня, обнаружили бэкдор в контроллере домена, который работал 8 месяцев. 🛢️💻

10. Сравнение методов: таблица для выбора стратегии 📊

Для гарантированного поиска шпионского ПО в судебных целях мы комбинируем минимум два метода: статику + динамику, а при необходимости — реверс. 🎛️

11. Часто задаваемые вопросы по методике ❓

Вопрос 1: Можно ли найти шпионское ПО, если оно было удалено?
Да, если оно не было перезаписано. Файловые системы (NTFS, ext4) оставляют следы: записи в $MFT, логи доступа, теневые копии. Иногда удаленный файл восстанавливается на 100%.

Вопрос 2: Как долго хранятся следы?
От нескольких дней (в оперативной памяти после выключения) до нескольких лет (на HDD без перезаписи). SSD сложнее — там работает TRIM.

Вопрос 3: Обязательно ли отключать интернет перед поиском?
Да. Шпионское ПО может получить команду на самоуничтожение или шифрование при обнаружении активности эксперта.

Вопрос 4: Можно ли провести поиск дистанционно, по сети?
Только для предварительной оценки. Для суда — нет. Нельзя гарантировать, что удаленный доступ не был скомпрометирован самим шпионом.

Вопрос 5: Что делать, если шпионское ПО в прошивке BIOS/UEFI?
Нужно выпаивать микросхему SPI Flash и читать на программаторе. Это дорого, но иногда необходимо. У нас есть такая возможность. 💾

12. Заключительные рекомендации и контактная точка 🎯

🟩 Уважаемые коллеги, надеюсь, это методическое руководство дало вам полное понимание того, как должен проводиться профессиональный поиск шпионского ПО. Это не гадание на кофейной гуще и не запуск «Касперского» — это многоуровневая, затратная, но единственно верная процедура, дающая юридически значимый результат.

Мы базируемся в Москве, но для сложных дел, для анализа стационарных серверов мы готовы вылетать любой регион России. Потому что шпион не дремлет, а цифровые доказательства стареют быстрее, чем мы думаем. ⏳

🔗 Заказать экспертизу, ознакомиться с прайсом или задать уточняющие вопросы можно на нашем официальном сайте (без регистрации и звонков):
https://sud-expertiza.ru/uslugi-po-poisku-shpionskih-programm-na-kompyutere/

Действуйте на опережение. Не позволяйте следить за собой. Мы поможем восстановить справедливость с помощью технологий и закона. 🛡️⚡