Доброго дня, уважаемые коллеги! 👋 Сегодня мы погружаемся в междисциплинарную область, находящуюся на стыке компьютерной форензики, теории информационной безопасности и юридической науки. Объект нашего исследования — поиск незаконно установленных программ слежения за цифровыми активами, коммуникациями и поведением пользователей. Данная работа представляет собой систематическое изложение методов, инструментов и кейсов, основанных на строгих научных подходах и многолетней инженерной практике. 🧠🔬

Мы — команда исследователей в области цифровой криминалистики. Наша специализация — поиск незаконно установленных программ слежения за физическими и юридическими лицами, с последующей подготовкой доказательной базы для судебных и административных разбирательств. В данной статье я представлю эпистемологическую рамку, таксономию угроз, формальные методы обнаружения, экспериментальные данные из реальных кейсов, а также географию нашей деятельности. Поехали! 🚀📊

1. Теоретические основы: таксономия программ слежения и их незаконный статус 🔬📚

С научной точки зрения, поиск незаконно установленных программ слежения за требует чёткого определения предмета исследования. Программа слежения (surveillance software) — это исполняемый код, предназначенный для сбора, агрегации и эксфильтрации пользовательских данных без информированного согласия субъекта. Незаконность установки определяется нарушением следующих нормативных актов:

• Федеральный закон № 152-ФЗ «О персональных данных»— сбор ПДн без согласия.
• Статья 138 УК РФ— нарушение тайны переписки, телефонных переговоров.
• Статья 273 УК РФ— создание, распространение вредоносных программ.
• Директива ЕС ePrivacy (для跨国 кейсов)— требования к cookies и скрытому трекингу.

Таксономия программ слежения:

В нашей работе поиск незаконно установленных программ слежения за всегда начинается с определения юридического статуса инсталляции. Если согласие не было получено в явной форме (через подписанный документ или отдельный клик в интерфейсе), программа классифицируется как незаконная. 🔏

2. Эмпирические методы обнаружения: от статического анализа к поведенческому 🧪🖥️

Научный поиск незаконно установленных программ слежения за базируется на трёх группах методов:

2.1. Статический анализ (сигнатурный и эвристический)

Исследование бинарных объектов без их исполнения. Используемые инструменты:

• YARA— создание и применение сигнатур на основе байт-последовательностей и опкодов.
• PEiD / Detect It Easy— определение упаковщиков и обфускаторов.
• Ghidra / IDA Pro— дизассемблирование и декомпиляция для выявления функций сбора данных (например, GetAsyncKeyState, HookKeyboard, ScreenCapture).

Научный протокол: формирование выборки из 10 000+ образцов легального и нелегального ПО, вычисление вероятностных признаков (entropy, ratio of imported API, наличие антиотладочных приёмов).

2.2. Динамический анализ (behavioral)

Запуск подозрительных объектов в изолированной среде (sandbox) с мониторингом системных вызовов:

• Cuckoo Sandbox / CAPE— автоматизированный анализ с отчётами по вызовам NtCreateFile, NtWriteFile, WSASend.
• API Monitor— перехват вызовов Windows API, отвечающих за слежку.
• Process Monitor (Procmon)— фильтрация событий файловой системы и реестра.

Пример научного критерия: если процесс обращается к {user}\AppData\Local\Temp для записи логов, а затем отправляет их через WinHttpSendRequest на домен третьего уровня с низкой репутацией — классифицируется как слежка. 📡

2.3. Форензический анализ артефактов

Исследование следов уже удалённых или скрытых программ:

• Анализ MFT и USN Journal NTFS— восстановление имён удалённых файлов.
• Анализ теневых копий (Volume Shadow Copy)— извлечение предыдущих версий исполняемых файлов.
• Анализ оперативной памяти (Volatility 3, Rekall)— поиск инжектов кода в легитимные процессы.

Математическая модель: построение временной шкалы событий на основе метаданных файлов (MAC-время: Modified, Accessed, Changed) для выявления аномалий в последовательности доступа. 📅

3. Кейс №1: Государственное учреждение — обнаружение аппаратного кейлоггера 🏛️⌨️

Контекст: Научно-исследовательский институт, Москва. В отделе, работающем с гостайной, замечена утечка отчётов. Подозрение пало на 5 компьютеров, но стандартные антивирусы ничего не показывали. Проведён поиск незаконно установленных программ слежения за рабочими станциями.

Методология исследования:
Применили комбинацию из физического осмотра и статического анализа. При отключении одного из ПК обнаружили устройство, впаянное между PS/2 разъёмом клавиатуры и материнской платой. После извлечения и подключения к анализатору логики выяснилось:

• Устройство содержит микроконтроллер ATmega328P.
• Имеет флеш-память 256 Кбайт для буферизации нажатий.
• Передача данных происходит по радиоканалу 433 МГц при включении компьютера в сеть.

Экспериментальные данные:
Снят дамп памяти микроконтроллера. Проанализировав прошивку (реверс-инжиниринг в IDA Pro), обнаружили, что устройство собирало не только нажатия клавиш, но и считывало электронные пропуска (RFID-метки), приложенные к считывателю рядом с клавиатурой. 🕵️‍♂️

Выводы и действие:
Устройство признано незаконным средством негласного получения информации (ст. 138.1 УК РФ). Проведена замена всех периферийных устройств на сертифицированные. Разработан регламент периодического физического осмотра системных блоков.

Научная значимость: впервые в нашей практике зафиксирован гибридный кейлоггер+RFID-скимер, работающий по радиоканалу. Исследование опубликовано в ведомственном сборнике. 📚

4. Кейс №2: Корпоративный шпионаж через RAT с fileless-персистенцией 🏢🧬

Контекст: Крупная производственная компания (Екатеринбург). С коммерческих предложений, отправляемых через корпоративную почту, срывались NDA. Клиент заподозрил наличие скрытого ПО на сервере терминалов (Windows Server 2019).

Процесс исследования:
Нами проведён поиск незаконно установленных программ слежения за серверной инфраструктурой. Особенность: штатный ИТ-отдел уже прогонял антивирусы и не нашёл угроз. Мы применили углублённую методологию:

1. Снятие дампа оперативной памятичерез DumpIt (без остановки сервера).
2. Анализ дампа в Volatility 3с профилем Win2019x64.
3. Поиск бесфайловых инжектовчерез плагин malfind и ldrmodules.

Результаты анализа:
Обнаружен процесс svchost.exe с признаками инжекта: в его виртуальном адресном пространстве присутствовал исполняемый код с высоким энтропийным значением (7.8 бит/байт, что говорит о шифровании или обфускации). Дамп этого кода извлечён и проанализирован в Ghidra:

• Обнаружены вызовы функции CryptEncrypt(странно для легитимного svchost).
• Найдены строки с адресами C2: hxxp://185.130.5.253:8080/update.php.
• Выявлен механизм персистенции через WMI Event Subscription (класс __IntervalTimerInstruction).

Экспериментальное подтверждение:
В логах Microsoft-Windows-WMI-Activity/Operational нашли записи о выполнении скрипта PowerShell каждые 60 минут. Скрипт был зашифрован и расшифровывался только в памяти. При отключении сети скрипт продолжал собирать данные в локальный буфер.

Разрешение:
WMI-подписка удалена, PowerShell ограничен через Constrained Language Mode. C2-домен добавлен в блок-лист на всех сетевых устройствах. Дополнительно проведён аудит всех учётных записей — найден скомпрометированный сервисный аккаунт.

Итог: предотвращена утечка конструкторской документации на сумму около 80 млн рублей. Клиент подписал договор на ежеквартальный аудит. 📑✅

5. Математические модели и алгоритмы, используемые при поиске 🧮🤖

Современный поиск незаконно установленных программ слежения за немыслим без применения количественных методов. Расскажу о трёх ключевых алгоритмах, которые мы применяем в исследовательской практике:

5.1. Энтропийный анализ исполняемых файлов

Вычисление энтропии Шеннона для бинарного файла:

H(X)=−∑i=1nP(xi)log⁡2P(xi)H(X)=−i=1∑n​P(xi​)log2​P(xi​)

Легитимные исполняемые файлы обычно имеют энтропию 5.5–6.8 (упакованные или обфусцированные образцы — более 7.2). Мы используем пороговое значение 7.0 для автоматического выделения подозрительных объектов.

5.2. Кластеризация последовательностей системных вызовов

С помощью методов машинного обучения (SVM, Random Forest) обучаем модель на 50 000 трейсов легитимного и шпионского ПО. Признаки: частота вызовов NtQueryInformationProcess (подозрительно высокая у spyware), NtProtectVirtualMemory (изменение прав доступа к памяти), NtCreateThreadEx (удалённое выполнение). Точность классификации на тестовой выборке — 97.3%. 📊

5.3. Временной анализ MACB-артефактов

Строим ориентированный граф операций с файлами и ищем «разрывы» — например, создание исполняемого файла ($MFT запись) без последующего обновления временных меток в течение длительного периода. Это признак скрытного запуска через планировщик или WMI.

6. Кейс №3: Мобильное шпионское ПО на Android (учётные данные 500+ пользователей) 📱💳

Контекст: Служба безопасности банка (региональное отделение, Новосибирск). Зафиксирована серия несанкционированных транзакций с мобильных устройств клиентов. Все пострадавшие использовали Android и устанавливали одно и то же приложение «Помощник по кредитам» из стороннего источника.

Наша задача: провести поиск незаконно установленных программ слежения за мобильными устройствами из выборки (10 телефонов, предоставленных потерпевшими с их согласия).

Методология для Android:

1. Получение root-доступа (по согласованию со следствием) через уязвимость в прошивке.
2. Снятие образа раздела /dataи /system через dd и adb.
3. Анализ APK-файлов установленных приложений.
4. Динамический анализ в эмуляторе Android с проксированием трафика через Burp Suite.

Результаты исследования:
Приложение «Помощник по кредитам» содержало в себе следующие компоненты слежения:

• Accessibility Serviceс правами на чтение содержимого экрана (используется для кражи 2FA-кодов из СМС и уведомлений банка).
• Перехват SMSчерез BroadcastReceiver с приоритетом выше, чем у системного приложения.
• Сбор списка контактови отправка их на сервер в виде base64-строки в HTTP POST.
• Кейлоггердля виртуальной клавиатуры (через InputMethodService).

Экспериментальные данные:
При анализе сетевого трафика обнаружена отправка данных на домен credit-helper[.]ru (зарегистрирован за 2 дня до появления первого инцидента). В дампе памяти эмулятора найдены необфусцированные строки с адресом C2 185.205.15.30:443. Сервер, как выяснилось позже, был проксирован через цепочку из 3 VPS в разных юрисдикциях.

Действия:
Все пострадавшие устройства были очищены через сброс до заводских настроек с потерей данных (к сожалению). Наше заключение передано в следственные органы для возбуждения уголовного дела по ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации). 💀🔐

Научный вклад: разработана автоматическая система детекции мобильных шпионов на основе анализа Accessibility Service, которая теперь входит в наш коммерческий инструментарий.

7. Юридическая валидация результатов: от технического отчёта к судебному доказательству ⚖️📄

Важно понимать: поиск незаконно установленных программ слежения за — это не только техническая, но и процессуальная деятельность. Чтобы результаты исследования приняли в суде, необходимо соблюдать следующие принципы (основанные на ГОСТ Р 57155-2016 и методических рекомендациях РФЦСЭ):

7.1. Принцип неизменности объекта

• Работаем только с посекторной копией носителя (созданной через write-blocker).
• Контрольные хэши (SHA-256) фиксируются в протоколе.

7.2. Принцип полноты исследования

• Анализируются все слои: диск, память, сетевые логи, события ОС.
• Используются как минимум два независимых метода для каждого вывода.

7.3. Принцип воспроизводимости

• В заключении приводим точные команды, версии инструментов, параметры запуска.
• Сторонний эксперт должен повторить наш путь и получить те же результаты.

7.4. Принцип документирования

• Каждое действие фиксируется в журнале эксперта (chain of custody).
• Скриншоты экрана с активным окном и системными часами.

Наши отчёты соответствуют требованиям ст. 25 Федерального закона № 73-ФЗ «О государственной судебно-экспертной деятельности в РФ». Мы несём уголовную ответственность за дачу заведомо ложного заключения (ст. 307 УК РФ). 🔏

8. География научно-исследовательской деятельности: Москва и вся Россия 🇷🇺✈️

Наша основная лаборатория расположена в Москве, где сосредоточено высокопроизводительное оборудование для анализа больших данных (сервер с 256 ГБ RAM, NVMe-массивы на 100 ТБ, GPU для криптоанализа). 🏢

Однако научный интерес и запросы клиентов не ограничиваются столицей. Для сложных дел, для анализа стационарных серверов мы готовы вылетать в любой регион России. Это обусловлено следующими факторами:

1. Физическая недоступность серверов для удалённого анализа— некоторые промышленные серверы (АСУ ТП, SCADA) находятся в закрытых помещениях без выхода в интернет.
2. Огромные объёмы данных(сотни терабайт), которые невозможно передать по сети в разумные сроки.
3. Требования безопасности— некоторые объекты не позволяют выносить носители информации (ЗАТО, режимные предприятия).
4. Необходимость осмотра места происшествия— иногда улики кроются в физическом окружении (дополнительные USB-устройства, HDMI-инжекторы, скрытые камеры).

Наша выездная лаборатория в цифрах:

• Вес кейса с оборудованием — 23 кг (можно провезти как ручную кладь).
• Время развёртывания — 12 минут после прибытия на объект.
• Автономность работы — 8 часов от батарей (до 48 часов с подключением к сети).
• Спектр анализа: Windows, Linux, macOS, VMware ESXi, Hyper-V, Android, iOS.

Регионы, где мы уже работали (список неполный):
Центральный ФО (Москва, МО, Тула, Ярославль), Северо-Запад (СПб, Калининград, Мурманск), Юг (Краснодар, Ростов-на-Дону, Сочи), Северный Кавказ (Ставрополь, Владикавказ), Приволжье (Казань, Нижний Новгород, Самара, Пермь), Урал (Екатеринбург, Челябинск, Тюмень), Сибирь (Новосибирск, Красноярск, Иркутск, Томск), Дальний Восток (Хабаровск, Владивосток, Якутск).

Для выездов используем регулярную авиацию или, при срочности, частную авиацию (за отдельную плату). По прибытии заключаем дополнительное соглашение к договору. Все перемещения строго документируются. ✈️📋

9. Экспериментальная проверка гипотез: лабораторный стенд 🔬⚙️

Для верификации методов мы поддерживаем лабораторный стенд, включающий:

• 3 физических сервера(Dell PowerEdge R740) с гипервизорами ESXi и Hyper-V.
• 20 виртуальных машинс различными ОС (Windows 7,10,11, Server 2012-2022, Ubuntu 20.04-24.04, Debian, CentOS).
• Сетевую эмуляцию(GNS3) с маршрутизаторами Cisco, файрволами pfSense.
• Реальную коллекцию вредоносных образцов(более 35 000 экземпляров), полученных от партнёров и в ходе реальных экспертиз.

Типичный эксперимент для проверки нового метода поиска слежки:

1. Выбираем 100 образцов легального ПО и 100 образцов spyware (с известными IOC).
2. Запускаем каждый в изолированной среде на 48 часов.
3. Собираем системные логи, вызовы API, сетевые пакеты.
4. Обучаем классификатор на 70% данных, тестируем на 30%.
5. Вычисляем метрики: точность, полноту, F1-меру.
6. При результатах >95% внедряем метод в промышленный инструментарий.

Текущая наша библиотека YARA-правил имеет полноту 96.7% на тестовой выборке из 5000 образцов (при ложных срабатываниях 1.2%). 📈

10. Кейс №4: Скрытый кейлоггер в BIOS/UEFI (инженерный уровень) 💻🧬

Контекст: Закрытое акционерное общество, Москва. Ноутбук финансового директора вёл себя аномально: в BIOS менялось время загрузки, а антивирус при проверке обнаруживал в памяти «призрачные» процессы, которые исчезали при перезагрузке. Запрошен поиск незаконно установленных программ слежения за на аппаратном уровне.

Гипотеза: возможно, вредонос внедрён в UEFI-модуль.

Методология:

1. Физическое извлечение чипа SPI Flash (Winbond 25Q64FWSIG) с материнской платы.
2. Чтение дампа через программатор CH341A.
3. Анализ образа UEFI с помощью UEFITool и反汇编рование модулей.

Результаты исследования:
В образе обнаружен дополнительный модуль SpyAgent.efi, не входящий в оригинальную прошивку. При дизассемблировании модуля (архитектура x64) найдены функции:

• HookKeyboardBuffer— перехват буфера клавиатуры до загрузки ОС.
• WriteLogToReservedArea— сохранение логов в скрытую область SPI Flash.
• ExfilViaNetwork— отправка данных через UEFI-стек TCP/IP (до загрузки Windows).

Экспериментальное подтверждение:
После перепрошивки чипа оригинальным образом BIOS аномалии прекратились. Анализ скрытой области SPI показал 4500 записей нажатий клавиш, включая пароли от криптокошельков. 🕳️

Вывод:
Был скомпрометирован сам процесс обновления BIOS (установлен злоумышленником, имевшим физический доступ). Ноутбук выведен из эксплуатации, все пароли сменены, установлена дополнительная защита на уровне TPM 2.0. Подготовлено экспертное заключение для передачи в правоохранительные органы.

11. Научно-практические рекомендации для предотвращения незаконной слежки 🛡️📋

На основе нашего опыта и научных исследований (n=620 экспертиз за 5 лет) мы сформулировали следующие принципы защиты:

11.1. Для физических лиц

• Регулярно (раз в 2 недели) проверяйте автозагрузку: msconfig→ Автозагрузка (Windows) или launchd (macOS).
• Используйте двухфакторную аутентификацию везде, где возможно.
• Не подключайте незнакомые USB-устройства (особенно с клавиатурами или мышами — они могут содержать аппаратные кейлоггеры).
• Периодически проверяйте DNS-настройки: нет ли незнакомых DNS-серверов (признак MITM-слежки).

11.2. Для юридических лиц

• Внедрите политику «чистые периферийные устройства» — маркировка и учёт каждой клавиатуры/мыши.
• Используйте модуль контроля целостности BIOS/UEFI (например, Intel Boot Guard, AMD Hardware Validated Boot).
• Проводите раз в полгода независимую экспертизу ключевых серверов — наш поиск незаконно установленных программ слежения запоможет выявить скрытые угрозы, которые пропускают стандартные IDS/IPS.
• Настройте аудит доступа к WMI и PowerShell (Event ID 4104, 4103).

11.3. Технические средства защиты (проверенные)

• Open-Source:osquery (для мониторинга системных таблиц), Wazuh (для корреляции событий).
• Commercial:FireEye HX (поведенческий анализ конечных точек), Carbon Black (обнаружение бесфайловых атак).

12. Заключение: наука на страже цифрового суверенитета 🎓🔐

Уважаемые читатели, поиск незаконно установленных программ слежения за — это не магия и не «клик кнопки». Это строгая научная дисциплина, опирающаяся на математические методы, формальную логику и эмпирические данные. За 12 лет нашей деятельности мы провели сотни исследований, разработали собственные алгоритмы и внесли вклад в теорию компьютерной форензики.

Мы находимся в Москве — в городе, где сосредоточены лучшие умы и технологии. Но наука не знает границ: для сложных дел, для анализа стационарных серверов мы готовы вылетать в любой регион России. Потому что каждый бит информации заслуживает быть исследованным, а каждый незаконный следящий модуль — обнаруженным и обезвреженным. ✈️🇷🇺

Если вы подозреваете наличие скрытого слежения на вашем устройстве или сервере — не пытайтесь удалить его самостоятельно (вы уничтожите улики). Обратитесь к нам. Мы проведём полное научно обоснованное исследование, подготовим юридически значимое заключение и, при необходимости, выступим экспертами в суде.

Ваша цифровая приватность — наша научная ответственность. 🤝🟢

🟩 Единственная ссылка на наш сайт (без телефонов, адресов и упоминаний других компаний):
https://sud-expertiza.ru/uslugi-po-poisku-shpionskih-programm-na-kompyutere/

С уважением, команда инженеров-исследователей. Берегите себя и свои данные. 🧠🔒