🟩Поиск программ отслеживания
Конфликтологический подход к экспертной диагностике, правовой квалификации и процессуальной защите
Доброго дня, уважаемые коллеги — следователи, адвокаты, корпоративные юристы, руководители служб экономической безопасности и все, кто столкнулся с необходимостью юридически безупречного документирования фактов негласного наблюдения, незаконного сбора персональных данных и хищения денежных средств с банковских счетов с использованием вредоносного программного обеспечения! 👋⚖️💻
Мы находимся в состоянии конфликта — конфликта между вашим правом на частную жизнь, коммерческую тайну и информационную безопасность, с одной стороны, и агрессивными действиями злоумышленников, использующих цифровые технологии для скрытого вторжения. Этот конфликт имеет свои стадии, свои последствия и свои правила доказывания. Поиск программ отслеживания в таком контексте — это не просто техническая задача. Это процессуальное действие, имеющее правовую природу, доказательственное значение и конфликтологическую составляющую. 🧠🔬
Поиск программ отслеживания — это процессуально регламентированная форма применения специальных знаний в области цифровой криминалистики. Поиск программ отслеживания направлен на установление факта несанкционированного вмешательства в работу цифровых устройств с целью сбора данных, слежения или хищения средств. Поиск программ отслеживания требует не только технических навыков, но и знания процессуального права. Поиск программ отслеживания в корпоративной среде — это всегда конфликт между службой безопасности и потенциальным нарушителем. Поиск программ отслеживания на мобильных устройствах — это борьба за право на частную жизнь. Поиск программ отслеживания и его результаты становятся основой для уголовного преследования или гражданско-правовой защиты. 🎯⚖️
Сразу обозначим нашу позицию: мы — команда судебных IT-экспертов, базирующаяся в Москве. Однако для сложных дел, для анализа стационарных серверов, серверов синхронизации и корпоративной IT-инфраструктуры мы готовы вылетать в любой регион России — от Калининграда до Камчатки. Физический доступ к оборудованию — это краеугольный камень методически верного поиска программ отслеживания, особенно когда речь идет о серверных стойках, RAID-массивах и промышленных контроллерах. 🚁🖥️
Раздел 1. Конфликтная природа программ отслеживания: от технической угрозы к правовому спору
В современном цифровом ландшафте программы отслеживания (spyware) внедряются не только через фишинговые ссылки, но и через аппаратные закладки, модифицированные прошивки, инжекты в легитимное ПО и даже через цепочки поставок (supply chain attacks). В этих условиях простая проверка стандартными антивирусными сканерами даёт ложное чувство безопасности. 🛡️❌
Конфликтная природа такого ПО заключается в том, что оно всегда устанавливается без согласия пользователя, нарушая нормы статей 137 (Нарушение неприкосновенности частной жизни) и 272 (Неправомерный доступ к компьютерной информации) Уголовного кодекса РФ, а также ст. 10 Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Установка шпионского ПО — это не технический сбой, а сознательное действие, направленное на получение незаконного доступа к данным. Поэтому поиск программ отслеживания всегда происходит в условиях противодействия: злоумышленник использует методы маскировки, шифрования и самоуничтожения.
Классификация программ отслеживания для целей экспертной диагностики включает:
- Кейлоггеры (Keyloggers) — записывают нажатия клавиш. Подразделяются на аппаратные (внедряются на уровне контроллера клавиатуры, редки, требуют физического доступа) и программные (внедряются в виде драйверов, хуков в оконную подсистему или модифицируют библиотеки ввода). Тактика MITRE ATT&CK: T1056.001 — Input Capture: Keylogging.
- Трояны удаленного доступа (RAT) — обеспечивают полный контроль над системой. Тактика MITRE ATT&CK: T1219 — Remote Access Software. Часто используют легитимные протоколы (RDP, VNC) для маскировки.
- Информационные сборщики (Data Stealers) — специализируются на поиске и извлечении конкретных данных: файлов по расширению, кэшей браузеров, данных из клиентов мессенджеров. Тактика MITRE ATT&CK: T1005 — Data from Local System.
- Сетевые снифферы (Sniffers) — перехватывают сетевые пакеты на зараженном хосте. Тактика MITRE ATT&CK: T1040 — Network Sniffing.
- Скриншотеры (Screen Capture) — регулярно или по событию делают снимки экрана. Тактика MITRE ATT&CK: T1113 — Screen Capture.
- Буткиты (Bootkits) — заражают загрузочные секторы (MBR, UEFI) и активируются до загрузки ОС. Тактика MITRE ATT&CK: T1542.001 — Pre-OS Boot: System Firmware. Являются наиболее сложными для обнаружения стандартными средствами.
- Объекты, не связанные с файлами (Fileless Malware) — исполняются в памяти, используя легитимные процессы и скриптовые движки (PowerShell, WMI). Тактика MITRE ATT&CK: T1059.001 — Command and Scripting Interpreter: PowerShell.
Особую опасность представляют программы, нацеленные на хищение денежных средств. Как сообщила председатель Банка России Эльвира Набиуллина, мошенники стали использовать вредоносную программу типа SpyNote, с помощью которой они могут получить доступ к телефону человека и опустошить счета. По данным ЦБ, 40-50% хищений денег со счетов совершается при помощи этой программы. 💰⚠️
Именно поэтому поиск программ отслеживания — это не антивирусная проверка, а полноценный криминалистический процесс, протекающий в условиях конфликта с противодействующей стороной. Никакой один инструмент не даст 100% гарантии. 🎯
Раздел 2. Методология конфликтного анализа: многоуровневый подход
Методология поиска программ отслеживания базируется на принципе последовательного перехода от анализа внешних проявлений (аномалий) к исследованию низкоуровневых артефактов. В условиях конфликта злоумышленник активно противодействует обнаружению, поэтому каждый следующий уровень анализа требует более глубокого проникновения в систему. Поиск программ отслеживания должно быть многоуровневым: от статического анализа до поведенческого в песочнице и ручного реверс-инжиниринга.
Уровень 1: Поведенческий и сетевой анализ 🌐
Цель — выявление аномалий, указывающих на возможное присутствие шпионского ПО. Методы включают:
- Мониторинг сетевой активности: анализ исходящих соединений с помощью netstat, Wireshark. Поиск beacon-трафика — периодических обращений к C2-серверу. Использование репутационных баз IP-адресов и доменов (VirusTotal, AlienVault OTX).
- Анализ потребления ресурсов: мониторинг загрузки ЦП, оперативной памяти и дискового ввода-вывода через Performance Monitor (Windows) или top/iostat (Linux). Шпионские программы могут проявляться всплесками активности.
- Сигнатурное сканирование: использование антивирусных движков (ClamAV, YARA-правила). Эффективность ограничена для неизвестных или полиморфных угроз.
Уровень 2: Статический анализ артефактов 💾
Анализ данных на носителях без их выполнения:
- Анализ автозагрузки: исследование всех точек персистентности — ключей реестра (Run, RunOnce, службы), папок автозагрузки, планировщика задач (Scheduled Task), DLL-инжекции через AppInit_DLLs или DLL Search Order Hijacking.
- Анализ файловой системы: поиск скрытых файлов и каталогов, файлов с двойными расширениями. Проверка цифровых подписей исполняемых файлов на предмет подделки. Сравнение хэш-сумм системных файлов с эталонными (с использованием sfc /verifyonly в Windows).
- Анализ памяти (дамп оперативной памяти): получение дампа с помощью WinPmem, LiME (Linux). Последующий анализ в Volatility Framework позволяет выявить: скрытые процессы (pslist, psscan), внедренные в процессы DLL-библиотеки (dlllist), открытые сетевые сокеты (netscan), хуки в системные структуры ядра (apihooks, ssdt).
Уровень 3: Динамический анализ в изолированной среде 🏜️
Запуск подозрительных файлов в песочнице (sandbox), позволяющий увидеть поведение, которое не видно в статике. Инструменты: Cuckoo Sandbox, CAPE, ANY.RUN, Falcon Sandbox. Индикаторы заражения в динамике:
- Попытки доступа к системным базам данных (SAM, SYSTEM)
- Вызов SetWindowsHookEx (клавиатурный шпион)
- Чтение буфера обмена (GetClipboardData)
- Отправка данных на неизвестные IP (особенно в нестандартные порты: 5555, 6666, 31337)
- Создание скрытых окон (с параметром WS_EX_TOOLWINDOW)
Уровень 4: Ручной реверс-инжиниринг — для самых сложных случаев 🧬
Когда автоматические методы бессильны (например, кастомное ПО, написанное под конкретную жертву), применяем reverse engineering. Инструментарий: IDA Pro, Ghidra, x64dbg, radare2, Wireshark + tcpdump. Что ищем в коде:
- Строки с URL/IP (особенно в зашифрованном виде — через функцию XOR или AES)
- Вызовы InternetOpen, URLDownloadToFile, WinHttpOpen
- Функции для работы с веб-камерой, микрофоном
- Код для обхода UAC (например, через CMSTP, EventViewer)
- Механизмы персистенции
Раздел 3. Обеспечение неизменности данных: криминалистический протокол
Любой поиск программ отслеживания начинается не с запуска сканера, а с процессуальной и технической фиксации состояния системы. Золотое правило криминалистики: никогда не работать с оригинальным носителем. Создается посекторная копия с использованием аппаратных блокираторов записи (write-blocker). Каждый образ снабжается хеш-суммой (MD5/SHA-256). Изменение хотя бы одного бита сделает образ недопустимым доказательством.
Процессуальный протокол:
- Изоляция устройства. Отключить сетевые интерфейсы, включить режим «в самолете» для предотвращения дистанционной модификации или самоуничтожения шпионского ПО.
- Фиксация состояния системы. До начала любых действий произвести фото- и видеофиксацию экрана с открытыми процессами и сетевыми подключениями.
- Создание дампа оперативной памяти. Использовать winpmem (Windows) или LiME (Linux) для захвата содержимого оперативной памяти. Шпионское ПО, работающее в памяти (fileless malware), будет утеряно при выключении.
- Создание посекторной копии носителя. Использовать аппаратные блокираторы записи и создавать образ с помощью dd (Linux), FTK Imager (Windows), UFED Cellebrite или Oxygen Forensic для мобильных устройств.
- Вычисление контрольных сумм. Каждый образ снабжать хеш-суммой (MD5/SHA-256). Изменение хотя бы одного бита сделает образ недопустимым доказательством в суде.
Раздел 4. Кейс № 1: Финансовый троян и хищение денежных средств со счетов 💰📱
Конфликтный аспект. Потерпевшая сторона — клиент банка, у которого списаны средства. Ответчик — неустановленное лицо, использующее вредоносное ПО. Конфликт — материальный ущерб, причинённый мошенническими действиями. Необходимо установить факт, механизм и доказательственную базу для возбуждения уголовного дела.
Обстоятельства дела. В нашу лабораторию обратился гражданин, с чьего банковского счета было списано 950 000 рублей. Заявитель получил текстовое сообщение от имени крупного банка. В сообщении содержалась информация о блокировке банковской карты и ссылка для разблокировки. Заявитель перешел по ссылке. Открывшийся сайт визуально полностью копировал официальный портал банка. Заявитель ввел свой логин, пароль и код подтверждения из текстового сообщения.
Суть атаки. На хакерских форумах активно предлагаются в аренду вредоносные программы для Android, которые умеют подменять экраны банковских приложений и сайтов, показывая жертве фальшивые формы. Вредонос также перехватывает нажатия клавиш, включая ввод PIN-кодов, работает с SMS: читает сообщения, отправляет их, удаляет и собирает историю переписки и контактов.
Этапы поиска программ отслеживания (процессуальный аспект):
- Изоляция и фиксация. Устройство помещено в экранирующую камеру для блокировки всех каналов связи. Осуществлена фото- и видеофиксация состояния устройства до начала любых действий.
- Создание побитовой копии. Создана побитовая копия внутреннего накопителя смартфона с использованием аппаратного блокиратора записи. Каждый образ снабжён хеш-суммой (MD5/SHA-256) для обеспечения неизменности доказательств.
- Статический анализ. В системном разделе памяти обнаружено приложение без иконки, скрытое из общего списка установленных программ. Приложение запрашивало доступ к текстовым сообщениям, уведомлениям и возможность отображать окна поверх других приложений.
- Реверс-инжиниринг. Выполнен анализ исполняемого файла и выявлены функции перехвата одноразовых паролей, поступающих в текстовых сообщениях от банка.
- Динамический анализ. Подтверждено, что вредонос отправляет украденные данные на сервер, зарегистрированный через подставное лицо.
Результат. Вредоносный модуль был удален с сохранением всех пользовательских данных. Составлено заключение, которое было передано в правоохранительные органы для возбуждения уголовного дела. Заключение также использовано в банке для запуска процедуры страхового возмещения. Поиск программ отслеживания в подобных случаях позволяет восстановить цепочку заражения и подготовить доказательства для суда. Мы в Москве, но для анализа стационарных серверов готовы вылетать в любой регион России. 🛡️
Раздел 5. Кейс № 2: Корпоративный шпионаж через модифицированный драйвер 🏢💻
Конфликтный аспект. Сторона А — промышленное предприятие, правообладатель коммерческой тайны. Сторона Б — бывший IT-директор, использовавший доступ для несанкционированного копирования данных. Конфликт — утрата конкурентного преимущества, материальный ущерб, нарушение режима коммерческой тайны.
Обстоятельства дела. Крупный производитель автокомпонентов заподозрил утечку чертежей и коммерческих предложений. Сотрудники жаловались на «перебои с интернетом», но провайдер не фиксировал сбоев. Внутренний аудит не выявил вредоносного ПО на рабочих станциях. Владелец бизнеса заподозрил промышленный шпионаж со стороны бывшего IT-директора.
Суть атаки. Злоумышленник заранее модифицировал драйвер сетевого адаптера (NIC) на нескольких ключевых серверах. При загрузке драйвер инициировал теневой сетевой туннель, через который дублировались пакеты с определёнными типами (порты, протоколы, адреса получателей). Никаких процессов в системе не появлялось, антивирусы и EDR-решения не срабатывали, так как закладка работала на уровне ядра ОС (kernel-mode). Драйвер был подписан украденным сертификатом, поэтому системы не выдавали предупреждений.
Этапы поиска программ отслеживания (процессуальный аспект):
- Сетевой анализ. Использован анализатор сетевых пакетов в режиме мониторинга (промышленная PCAP-запись).
- Выявление аномалий. Выявлены пакеты, которые шли на нестандартный порт в направлении IP-адреса, не принадлежащего ни одному из бизнес-партнёров.
- Анализ хеш-сумм. Проведён анализ хеш-сумм сетевых драйверов — обнаружено несоответствие эталонным версиям.
- Дамп памяти ядра. С помощью дампа памяти ядра получен код закладки.
- Аппаратное тестирование. Проведено аппаратное тестирование сетевой карты: обнаружено, что закладка была прописана не только в драйвере, но и в EEPROM сетевой карты.
Результат. Обнаружены три сервера с закладкой, через которые утекала информация о закупках и новых разработках. Установлен бывший IT-директор. Заключение легло в основу уголовного дела о коммерческом шпионаже. Данный пример показывает, что поиск программ отслеживания не заканчивается на антивирусе. Поиск программ отслеживания на уровне ядра и EEPROM требует уникального оборудования и методик. Мы в Москве, но для анализа стационарных серверов готовы вылетать в любой регион России.
Раздел 6. Кейс № 3: Сталкерское ПО на Android-смартфоне 📱👤
Конфликтный аспект. Сторона А — гражданка, право на неприкосновенность частной жизни (ст. 137 УК РФ). Сторона Б — супруг, осуществивший незаконный сбор информации о частной жизни. Конфликт — нарушение права на частную жизнь, моральный вред, психологическое давление.
Обстоятельства дела. В лабораторию обратилась гражданка с жалобами на аномальное поведение ее смартфона под управлением Android: быстрый разряд аккумулятора, наличие щелчков и эха во время телефонных разговоров, самопроизвольное включение экрана в ночное время, фиксация неизвестного сетевого трафика. Заявительница находилась в процессе расторжения брака и подозревала супруга в установке программы-шпиона.
Суть атаки. Устройство было заражено сталкерским ПО (stalkerware) — классом приложений, которые рекламируются как «инструменты родительского контроля», но отличаются от легитимного родительского контроля скрытностью. Сталкерские приложения регулярно передают на сервер геолокацию жертвы, способны отправлять переписки и другую конфиденциальную информацию, включать звукозапись с микрофона.
Этапы поиска программ отслеживания (процессуальный аспект):
- Изоляция устройства. Устройство помещено в экранирующую камеру для блокировки всех каналов связи
- .
- Создание побитовой копии. Создана побитовая копия внутренней памяти.
- · Анализ установленных приложений. Анализ установленных приложений выявил пакет с названием, визуально неотличимым от системной службы обновлений. Отличие заключалось в одной букве в имени пакета. Цифровая подпись приложения не соответствовала сертификату разработчика.
- Анализ разрешений. Приложение запрашивало доступ к микрофону, камере, геолокации, контактам, текстовым сообщениям и возможности записи экрана.
- Сетевой анализ. В системных логах были обнаружены регулярные соединения с удаленным сервером, расположенным на территории иностранного государства.
Результат. Вредоносный пакет был удален с сохранением всех пользовательских данных. Составлено заключение, которое использовано в судебном процессе. Супруг признал факт установки ПО. Заключение эксперта по итогам поиска программ отслеживания стало основанием для возбуждения уголовного дела по ст. 137, 138, 272, 273 УК РФ. Мы в Москве, но для сложных дел готовы вылетать в любой регион России.
Раздел 7. Инструментарий для поиска программ отслеживания 🛠️
Для достижения достоверных результатов мы используем только лицензионное, сертифицированное и верифицированное программное обеспечение, а также калиброванное оборудование:
Программные средства:
- Для извлечения данных: Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective — создание резервных копий, физических дампов iOS/Android.
- Для анализа образов дисков: X-Ways Forensics, EnCase, FTK Imager — поиск скрытых файлов, артефактов реестра.
- Для анализа памяти: Volatility Framework, Rekall — обнаружение бесфайловых шпионов, инжектированных процессов.
- Для статического анализа APK/IPA: jadx, Ghidra, IDA Pro — декомпиляция, анализ кода на предмет шпионских функций.
- Для динамического анализа: Cuckoo Sandbox, ANY.RUN — запуск подозрительных программ в изолированной среде.
- Для сетевого анализа: Wireshark, Zeek, Suricata — анализ дампов трафика на предмет C2-соединений.
- Для сигнатурного поиска: YARA-правила (более 5000 сигнатур spyware), ClamAV, собственные коллекции.
Аппаратные средства:
- Аппаратные блокираторы записи Tableau Forensic Bridge, Logicube Falcon — обеспечивают криминалистическую чистоту копирования.
- Программаторы Medusa Pro, EasyJTAG, Z3X — для снятия физических дампов EMMC/UFS с мобильных устройств.
- SPI-программаторы — для извлечения прошивок EFI при подозрении на буткит.
Все работы проводятся в сертифицированной лаборатории с соблюдением требований к вещественным доказательствам. 🔐
Раздел 8. Самостоятельная первичная проверка (Android и iOS) 📱🔍
Если ситуация не критична, можно начать с этих шагов:
Для Android:
- Проверьте разрешения в Настройки → Приложения → Специальный доступ. Отключите подозрительные права у всех приложений, особенно «Специальные возможности» и «Поверх других окон».
- Установите специализированный сканер (Kaspersky, Protectstar Anti Spy) и проведите полную проверку.
- Переведите телефон в безопасный режим и проверьте список приложений — в этом режиме сторонний софт не запускается.
- Проверьте папку «Загрузки» на наличие подозрительных файлов, которых вы точно не загружали.
Для iPhone:
- Проверьте библиотеку приложений: листайте до упора вправо до последнего домашнего экрана — здесь вы увидите все приложения, включая скрытые.
- Проверьте Настройки → Основные → VPN и управление устройством — удалите любые профили, которые вы не узнаете.
- Проверьте Настройки → Основные → Хранилище iPhone на наличие приложений, которых нет на домашних экранах.
Важно: Если ни один из этих шагов не помог, остается крайняя мера — восстановление заводских настроек. Однако это может быть недостаточно для удаления государственных шпионских программ типа Pegasus или Graphite.
Раздел 9. Правовая квалификация и типовые вопросы суда ⚖️
Уголовный кодекс Российской Федерации — статьи, которые могут быть применены при установлении факта использования программ отслеживания:
- Статья 137 «Нарушение неприкосновенности частной жизни» – незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия. Квалифицированный состав — совершение тех же деяний лицом с использованием своего служебного положения. Санкция: до 2 лет лишения свободы.
- Статья 138 «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений» – санкция: до 2 лет лишения свободы. Квалифицированный состав — с использованием служебного положения — до 4 лет лишения свободы.
- Статья 138.1 «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации» – производство, приобретение и (или) сбыт специальных технических средств. Санкция: до 3 лет лишения свободы.
- Статья 272 «Неправомерный доступ к компьютерной информации» – неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации. Санкция: до 2 лет лишения свободы. Квалифицированный состав — до 5 лет.
- Статья 273 «Создание, использование и распространение вредоносных программ» – создание, распространение или использование компьютерных программ, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты. Санкция: до 4 лет лишения свободы.
Типовые вопросы суда:
- Обнаружены ли на представленных носителях программы, предназначенные для негласного получения информации?
- Каков механизм их работы?
- Когда и с какого IP-адреса производилась установка?
- Какой объём информации был скомпрометирован?
- Имеются ли следы удаления или маскировки шпионского ПО?
Раздел 10. Приглашение на сайт 🔗
Уважаемые коллеги! Мы показали методологию, инструментарий и реальные кейсы из практики. Если вы подозреваете наличие программ отслеживания на своих устройствах или в корпоративной сети — мы готовы провести полную диагностику. Находимся в Москве, но для сложных дел и анализа стационарных серверов готовы вылетать в любой регион России. 🏢🛡️
Подробнее о наших услугах: https://krimexpert.ru
Раздел 11. Финальный аккорд 🎯
Дорогие друзья! Поиск программ отслеживания — это не про «вирусы», это про реальных людей, которые охотятся за вашими данными. Поиск программ отслеживания требует не просто сканирования, а реверс-инжиниринга, анализа дампов памяти и трафика. Поиск программ отслеживания — это единственный способ разорвать цепочку утечки, когда антивирусы бессильны. Поиск программ отслеживания — это необходимая мера, если вы цените свою информацию. Поиск программ отслеживания — это наша специализация. И мы готовы прийти на помощь в любой точке России. ✈️🔐
С уважением и готовностью защищать,
Союз «Федерации судебных экспертов» 🛡️💻🔍

Задать вопрос экспертам