Доброго дня, уважаемые коллеги! 👋 Сегодня мы представляем вашему вниманию материал, написанный на стыке двух дисциплин: инженерной (низкоуровневый анализ кода, протоколов и железа) и юридической (процессуальные нормы, допустимость доказательств, регламенты). Речь пойдет о том, как должен проводиться профессиональный поиск шпионских программ с точки зрения и инженера-криминалиста, и юриста. ⚖️🛠️

Мы — команда судебных IT-экспертов. Наш головной офис и лаборатория находятся в Москве. Однако для сложных дел, для анализа стационарных серверов мы готовы вылетать любой регион России — потому что шпионское ПО часто живет именно в серверных стойках, куда удаленно не подключиться без потери доказательств. 🚁🧳

В этой статье мы детально разберем инженерные методы поиска шпионских программ, процессуальное оформление результатов, а также приведем реальные кейсы из практики. Материал будет полезен как следователям и адвокатам, так и системным администраторам и инженерам по безопасности. Поехали! 🚀

1. Инженерная классификация шпионского ПО 🏷️

Прежде чем приступить к поиску шпионских программ, необходимо понимать их архитектурные типы. С инженерной точки зрения выделяем:

1.1. Кейлоггеры (клавиатурные шпионы)

• Реализация: драйверный (через фильтр-драйвер sys), пользовательский (SetWindowsHookEx), аппаратный (USB-сниффер).
• Обнаружение: поиск вызовов GetAsyncKeyState, GetKeyState, анализ dllна предмет хуков.

1.2. RAT (Remote Administration Tools)

• Полный удаленный контроль: экран, файлы, камера, микрофон.
• Индикаторы: наличие бэкдора, скрытые сетевые сокеты, обфусцированные ресурсы.

1.3. Сталкерские приложения для мобильных платформ

• Android: используют AccessibilityService, маскируются под системные пакеты.
• iOS: работают через MDM-профили или enterprise-сертификаты.

1.4. Бэкдоры в прошивках (BIOS/UEFI, дискретные контроллеры)

• Наиболее сложный тип. Внедряются в SPI Flash, работают на уровне ниже ОС.
• Обнаружение: чтение прошивки программатором и статический анализ.

1.5. Сетевые шпионы (пассивные и активные)

• Устанавливаются на маршрутизаторах, коммутаторах, прокси-серверах.
• Перехватывают трафик всего сегмента (MITM). Индикаторы: подмена ARP-таблиц, нестандартные правила iptables.

Каждый тип требует своего набора инструментов для эффективного поиска шпионских программ. 🔧🎯

Кейс №1: кейлоггер в драйвере мыши (выезд в Казань)
На заводе по производству медтехники заметили утечку конструкторской документации. Стандартный поиск шпионских программ антивирусом ничего не дал. Мы провели анализ ядра Windows — нашли неподписанный драйвер mouclass_filter.sys, который перехватывал нажатия клавиш и отправлял через UDP-пакеты на IP в Китае. Драйвер был написан под конкретную модель мыши. Экспертиза помогла вычислить инженера-конструктора, который установил его через флешку с «драйвером обновления». 🖱️🔐

2. Инженерный протокол создания образа 🧬

Любой поиск шпионских программ начинается с создания физической копии носителя. Инженерные правила:

2.1. Блокираторы записи (write-blocker)

• Для SATA/IDE: Tableau T356789iu, WiebeTech Forensic UltraDock.
• Для NVMe: Tableau TD8 (через2/M.2 адаптеры).
• Для USB: аппаратные блокираторы без кэширования.
• Для телефонов: режим «только чтение» через MTP (недостаточно!) — только физический дамп через ISP/chip-off.

2.2. Создание дампа оперативной памяти

• Windows: winpmem(минимизация артефактов).
• Linux: avdumpили LiME (Linux Memory Extractor).
• MacOS: osxpmem.
• Критически важно: дамп до выключения, так как после выключения данные RAM теряются безвозвратно.

2.3. Контрольные суммы

• После создания образа вычисляем SHA-256. Эталонный хеш включаем в заключение.
• При передаче образа в суд — прилагаем верификацию по хешу.

Инженерная ошибка: использование dd без блокиратора записи даже на секунду монтирует диск в режим чтения-записи, меняя временные метки. Мы используем только аппаратные блокираторы. ⚠️❌

Кейс №2: заражение через теневую копию (выезд в Нижний Новгород)
Ритейлер жаловался на утечку отчётов с сервера. Поиск шпионских программ на текущей ОС ничего не показал. Мы провели анализ теневых копий (Volume Shadow Copy) — обнаружили, что 3 месяца назад был создан заражённый том, который каждую ночь монтировался и отправлял данные. Шпионское ПО пряталось в теневой копии. Без анализа VSS мы бы его не нашли. 💿👻

3. Статический анализ: поиск сигнатур и аномалий 🔎

Статический анализ выполняется на образе (не на живом диске). Инженерный стек:

3.1. YARA-правила

• База более 15 000 сигнатур для spyware, RAT, кейлоггеров.
• Пример правила для mSpy:

rule mSpy_Android {    strings:        $a = «com.mspy.cellcontrol»        $b = «mspy.server.com»        $c = «/data/data/com.mspy.cellcontrol/»    condition:        any of them}

3.2. Анализ точек персистенции

• Windows: реестр (Run, RunOnce, Services, Winlogon), планировщик задач, WMI, AppInit_DLLs.
• Linux: crontab, systemd, rc.local,.bashrc.
• MacOS: launchd, login items.

3.3. Анализ файловой системы на скрытые объекты

• Альтернативные потоки NTFS (ADS) — команда dir /Rв PowerShell.
• Файлы с атрибутами hidden, systemв нестандартных местах (%temp%, %appdata%\Microsoft\Crypto).
• Скрытые папки с точкой в Linux.

3.4. Анализ сетевых артефактов

• Файл hosts(подмена DNS для обхода обновлений антивируса).
• Сохранённые pcap-файлы в кэше браузеров и приложений.
• Логи прокси (если шпион использовал локальный прокси-сервер).

Грамотный поиск шпионских программ на статике занимает от 2 до 8 часов для стандартного ПК и до 3 суток для сервера с RAID. ⏳

Кейс №3: шпион в расширении браузера (Москва, офис IT-компании)
Сотрудники массово жаловались на перенаправление рекламы. Поиск шпионских программ на дисках ничего не показал. Мы исследовали профили браузеров — в папке Chrome/Extensions нашли подозрительное расширение klmnop без иконки. Оно читало все посещённые URL и отправляло на сервер в Нидерландах. Расширение было массово установлено через групповую политику злоумышленником, получившим доступ к AD. 🧩📡

4. Динамический анализ и песочница 🏜️

Когда статический анализ не дал результата или нужно подтвердить поведение, переходим к динамическому анализу в изолированной среде.

4.1. Песочницы (Sandbox)

• Cuckoo Sandbox(классика, открытый код, много плагинов).
• CAPE(форк Cuckoo с поддержкой Android и macOS).
• RUN(облачная, с ручным управлением, хороша для быстрых проверок).
• Falcon Sandbox(от CrowdStrike, глубокая детализация).

4.2. Индикаторы активности шпиона

• Сетевые соединения на нестандартные порты (1443, 6666, 31337, 5555, 4444).
• Доступ к файлам: $MFT, SAM, DAT, LSASS(сбор паролей).
• Вызовы API: SetWindowsHookEx, GetAsyncKeyState, BitBlt(скриншоты).
• Взаимодействие с камерой/микрофоном: dll, MFStartup.

4.3. Анализ сетевого трафика

• Поднимаем сниффер на хосте песочницы (tcpdump, Wireshark).
• Ищем C&C-домены, даже через DNS-over-HTTPS (анализируем SNI в TLS).
• Фиксируем первое соединение — часто шпион проверяет доступность сервера перед активацией.

Инженерная тонкость: современные RAT используют задержку активации (например, 15 минут простоя) и проверку на среду (виртуализацию). Поэтому мы запускаем подозрительные файлы в песочнице с эмуляцией долгого времени и подменой системных DMI-данных, чтобы обмануть анти-среду. 🧪💡

Кейс №4: RAT с антипесочницей (выезд в Краснодар)
На сервере строительной компании нашли подозрительный файл svchost_edr.exe. Запуск в стандартной Cuckoo ничего не показал. Мы доработали конфиг песочницы: подменили vendor_id VMware на реальный DELL, увеличили время симуляции до 30 минут. Через 22 минуты файл активировался — начал отправлять скриншоты и логи keystrokes на динамический DNS. Такой поиск шпионских программ позволил идентифицировать RAT семейства AsyncRAT. 🕵️‍♂️⚙️

5. Реверс-инжиниринг (reverse engineering) для кастомных образцов 🧬

Если шпионское ПО уникально (писано под конкретную жертву), применяем ручной реверс.

5.1. Статический реверс (дизассемблирование)

• IDA Pro(промышленный стандарт, поддержка более 50 архитектур).
• Ghidra(бесплатная от АНБ, хороший декомпилятор).
• radare2(консольная, для скриптов и удалённой работы).

5.2. Динамический реверс (отладка)

• x64dbg + x32dbg(Windows, похожи на OllyDbg).
• gdb + pwndbg/peda(Linux).
• LLDB(macOS, iOS).

5.3. Что ищем в коде:

• Строки с C&C-адресами (иногда в зашифрованном виде: XOR, AES, Base64+ROT13).
• Функции для обхода UAC (CMSTP, EventViewer, Fodhelper).
• Реализацию инъекции в процессы (CreateRemoteThread, SetThreadContext).
• Код для автоудаления после разоблачения.

Реверс-инжиниринг — самый трудоёмкий этап поиска шпионских программ, но иногда только он даёт ответ. ⛏️📜

Кейс №5: шпион для АСУ ТП (выезд в Челябинск, завод)
На станках с ЧПУ пропадали управляющие программы. Поиск шпионских программ на операционной системе Windows CE показал неизвестный модуль wm_serv.dll. Реверс-инжиниринг (через IDA Pro с плагином для ARM) показал, что модуль копирует G-код на SD-карту при каждом обороте шпинделя. Адрес для отправки был зашит в ресурсах. После расшифровки нашли email программиста, который уволился год назад. 🏭🔨

6. Анализ стационарных серверов: высшая инженерная сложность 🖥️⚙️

Мы находимся в Москве, но для сложных дел, для анализа стационарных серверов мы готовы вылетать любой регион России. Почему серверы — это особый вызов?

6.1. Серверы на гарантии и в режиме 24/7

• Нельзя выключать — потеря бизнес-критичных процессов.
• Используем live-анализ через IPMI/iLO/iDRAC, снимаем RAM-дамп без остановки.

6.2. RAID-массивы (0,1,5,6,10,50,60)

• Требуется программная сборка томов (через ReclaiMe, UFS Explorer RAID Recovery).
• Анализируем каждый физический диск отдельно + логический том в сборе.

6.3. Виртуализация и контейнеризация

• ESXi, Hyper-V, Proxmox, KVM — анализируем и хостовую ОС, и гостевые.
• Docker, LXC — контейнеры могут быть заражены, а хост чист.

6.4. Промышленные серверы (АСУ ТП, энергетика)

• ОС: QNX, VxWorks, Debian без графики.
• Интерфейсы: Profibus, Modbus, CAN.
• Шпионское ПО может передавать технологические параметры (давление, температура, обороты).

Оснащение для выезда:

• Кейс с аппаратными write-blocker для SAS, SATA, NVMe.
• Логический анализатор для перехвата обмена с SPI Flash.
• Промышленный программатор CH341A + адаптеры для SOIC-8.
• Аккумуляторная электростанция (для работы вне офиса).
• Ноутбуки с предустановленным ПО (все лицензии).

Выездная экспертиза по поиску шпионских программ может длиться от 2 до 10 дней на объекте. 🧰🔌

Кейс №6: серверная нефтяной компании (выезд в Ханты-Мансийск)
Подозрение на утечку геологоразведочных данных. Сервер на удалённом месторождении, интернет через VSAT. Мы вылетели, провели анализ стоечного сервера Supermicro (RAID 10 из 8 дисков). Поиск шпионских программ выявил скрипт на Python, который запаковывал сейсмические данные в tar.gz и отправлял через SMTP на почту gmail.com. Злоумышленником оказался геофизик, который копировал данные и продавал конкурирующей фирме. 🛢️📧

7. Юридическое оформление заключения: инженерные данные в процессуальной форме 📑

Результаты инженерного поиска шпионских программ должны быть переведены на язык, понятный суду. Структура заключения (ст. 204 УПК РФ, ст. 25 ГПК РФ):

7.1. Вводная часть

• Данные эксперта, образование, стаж, сертификаты.
• Основание (постановление, договор).
• Объекты исследования (тип, модель, серийный номер, хеш образа).
• Вопросы, поставленные на разрешение.

7.2. Исследовательская часть (инженерная)

• Описание использованного оборудования (write-blocker, программатор, ПО).
• Поэтапное изложение: создание образа, статический анализ, динамический, реверс.
• Иллюстрации: скриншоты дизассемблера, дампы памяти, сетевые логи.
• Таблицы найденных индикаторов (имена файлов, MD5/SHA, IP, домены, порты, временные метки).

7.3. Выводы (юридические)

• «Обнаружено программное обеспечение, обладающее функциями скрытого сбора информации»(да/нет).
• «Функциональность выявленного ПО позволяет …»(например, перехватывать нажатия клавиш, делать скриншоты, отправлять данные).
• «Предполагаемый период активности …»(на основе временных меток).
• «Следы удалённого управления …»(IP, домены, протоколы).

Заключение подписывается, заверяется печатью (при наличии). Эксперт предупреждён об уголовной ответственности по ст. 307 УК РФ. 🧾⚖️

8. Ошибки заказчика, уничтожающие улики 🚫

На основе десятков дел мы составили список фатальных ошибок при самостоятельной попытке поиска шпионских программ:

1. Запуск антивируса или CCleaner— удаляет активные трояны и их логи.
2. Выключение компьютера— теряется дамп RAM, активные сетевые соединения.
3. Переустановка ОС— безвозвратная потеря всех следов.
4. Подключение к интернету— шпион может получить команду на самоуничтожение.
5. Копирование файлов через проводник— меняются атрибуты last access time.
6. Дефрагментация диска— перезаписываются удалённые, но восстанавливаемые файлы.
7. Обновление драйверов— могут затереть вредоносные драйверы-шпионы.

Правильное действие: выдернуть сетевой кабель, включить режим «в самолете» (на телефоне), сделать фото экрана и вызвать эксперта. 📸🚨

Кейс №7: уничтоженные улики (Москва, частное лицо)
Заказчик заподозрил жену в установке шпионского ПО на ноутбук. Решил сам проверить — запустил «Касперского», который «вылечил» 4 угрозы. Когда дошли до нас, на диске уже не было теневых копий, а образ памяти не был сделан. В итоге заключение было вероятностным («существовала высокая вероятность»), суд его не принял. Стоимость ошибки — проигранный процесс о разделе имущества. 💔⚖️

9. Смета и сроки (инженерно-экономическое обоснование) 💰

Итоговая стоимость поиска шпионских программ по полному циклу (статика + динамика + реверс + заключение) — от 150 000 до 400 000 рублей для сложных объектов. 💳

10. Призыв к профессиональному взаимодействию 🤝

🟩 Уважаемые коллеги, поиск шпионских программ — это не гадание и не запуск сканера. Это системная инженерно-юридическая дисциплина. Мы предлагаем вам не просто «проверить компьютер», а получить полноценное судебное доказательство, которое выдержит проверку в любой инстанции.

Мы базируемся в Москве, но для сложных дел, для анализа стационарных серверов мы готовы вылетать любой регион России — от Калининграда до Владивостока, от Мурманска до Махачкалы. Потому что шпионское ПО не имеет границ, а наши эксперты и оборудование — имеют. 🌍🔐

🔗 Узнать подробности, скачать бланк договора и заказать выезд можно на нашем сайте:
https://sud-expertiza.ru/uslugi-po-poisku-shpionskih-programm-na-kompyutere/

Никаких телефонов, адресов и контактов в тексте — только деловая информация и ссылка. Обращайтесь через форму на сайте. Берегите свои данные. 🛡️🚀