Пошаговый чек-лист для обычного пользователя и должностного лица организации до обращения к судебному эксперту.

Введение: Цена ошибки — доказательства

• Представьте: вы замечаете, что смартфон разряжается за три часа, хотя раньше работал сутки. Или ноутбук в офисе «просыпается» в три часа ночи и что-то активно качает. Или входящий трафик на сервере вырос в десять раз без видимых причин.
• Первое желание — скачать антивирус, почистить реестр, а если не поможет — сбросить до заводских настроек. «Перезагрузка лечит всё», — думает пользователь. И совершает фатальную ошибку.

Судебная экспертиза имеет смысл только тогда, когда есть что исследовать. Если вы уничтожили следы шпионского ПО своими руками, эксперт разведёт руками: «Были ли там программы слежки — неизвестно. Сейчас их нет. Следы их установки стёрты».

Задача этой статьи — не научить вас находить шпионское ПО самостоятельно. Задача — сохранить улики живыми до прихода специалиста. Вы получите пошаговый алгоритм действий, который:

• не навредит будущей экспертизе,
• позволит собрать первичную информацию,
• поможет отличить реальную угрозу от мнительной паранойи.

Три железных правила, которые нельзя нарушать:

Ничего не удаляйте. Даже если вы нашли файл с названием «троян.exe» — не трогайте его. Удаление уничтожает артефакты: временные метки, пути распространения, записи в реестре.

Ничего не переустанавливайте. Ни ОС, ни драйверы, ни прошивку. Каждая переустановка затирает десятки тысяч записей, которые могли быть доказательствами.

Не верьте советам из интернета, начинающимся с «наберите код ##…». Некоторые USSD-команды действительно показывают переадресацию вызовов (например, *#21#). Но есть команды, которые отправляют SMS на платные номера или сбрасывают настройки безопасности. Если не знаете точно, что делает код — не вводите.

Что безвозвратно теряется при неправильных действиях:

• метаданные файлов (дата создания, изменения, последнего доступа),
• журналы событий системы (Event Logs в Windows, logcat в Android),
• временные файлы и кэш (где часто хранятся фрагменты переписок, снятые скриншоты шпионом),
• записи в реестре о том, какая программа когда запускалась,
• состояние оперативной памяти (содержит запущенные процессы).

Соблюдая эти три правила, вы сохраняете шанс на успешное расследование. Нарушая — гарантированно его уничтожаете.

Раздел 1. Объективные индикаторы: учимся отличать реальную угрозу от фантомной

Многие пользователи путают технические сбои со слежкой. «Телефон греется — значит, меня прослушивают». Нет. Телефон греется, потому что процессор выполняет вычисления. Причины могут быть безобидными: фоновое обновление приложений, плохой сигнал сотовой сети (телефон повышает мощность передатчика), зависший процесс.

Ниже — пять объективных индикаторов, которые действительно могут указывать на наличие шпионского ПО. Оценивать их нужно в комплексе, а не по одному признаку.

1.1. Аномальное энергопотребление

Как должно быть в норме: Смартфон в режиме ожидания (экран выключен, нет звонков, нет активного использования) теряет не более 1–2% заряда в час. За ночь (8 часов) — не более 10–15%.

Как бывает при слежке: Шпионское ПО постоянно передаёт данные — GPS-координаты, записи с микрофона, скриншоты экрана, логи нажатий клавиш. Это требует энергии. Расход может достигать 5–10% в час в режиме ожидания. Телефон, который вы не трогали, за ночь разряжается на 30–50%.

Как проверить правильно (и не навредить):

Android:

• Зайдите в «Настройки» → «Аккумулятор» → «Расход энергии».
• Посмотрите список приложений, отсортированный по проценту расхода.

Красные флаги:

• Системное приложение с незнакомым названием (например, com.android.servicem или com.qualcomm.qcrilmsgtunnel — второе легитимное, а первое подозрительное).
• Приложение без иконки, с стандартной иконкой Android, расходующее много энергии.
• Приложение, которое вы не запускали, но оно активно.

Важно: Нажмите на три точки в правом верхнем углу → «Показывать полное использование ресурсов». Так вы увидите и системные процессы.

iOS:

• «Настройки» → «Аккумулятор».
• Посмотрите график заряда и список приложений.

Особенность iOS: Шпионское ПО часто маскируется под системные службы. Ищите аномалии в строке «Нет сигнала сотовой сети» — если телефон долго ищет сеть, это тоже расходует батарею, но не связано со слежкой.

Контрольный эксперимент (безопасный):

• Полностью зарядите телефон до 100%.
• Включите авиарежим (отключите Wi-Fi, Bluetooth, сотовую связь).
• Оставьте на ночь.
• Утром проверьте остаток заряда.
• Если потерял >10% в авиарежиме — что-то фоновое жрёт энергию. Это может быть шпионское ПО, пытающееся передать данные, но не находящее сети.
• Если в авиарежиме расход нормальный, а при включённой сети высокий — возможно, шпионское ПО активно передаёт данные наружу.

Чего делать НЕ надо: Не устанавливайте приложения-«оптимизаторы батареи». Они собирают те же данные о процессах, но могут затереть временные метки в логах системы.

1.2. Подозрительный сетевой трафик

Шпионское ПО должно кому-то передавать украденные данные. Исключение — программы, которые пишут всё на локальную SD-карту для последующего физического изъятия (редкий, но возможный сценарий). В 99% случаев есть сетевой канал.

Норма: В день смартфон обычного пользователя генерирует 50–300 МБ трафика (соцсети, мессенджеры, обновления приложений). В ночное время (0: 00–6: 00) — не более нескольких мегабайт.

Аномалия: 500 МБ – 2 ГБ трафика ночью, когда вы спите. Или стабильный исходящий трафик в 10–50 КБ/с в любое время суток (признак передачи данных с микрофона — аудиопоток).

Как проверить без специального ПО:

Android:

«Настройки» → «Сеть и интернет» → «Использование данных» → «Мобильный трафик» или «Wi-Fi».

Посмотрите, какое приложение сколько потребило.

Ищите: Приложение с названием вроде «Системный сервис» или «Безопасность», которое потребило сотни мегабайт, но вы его не знаете.

Бесплатные приложения-мониторы (устанавливать аккуратно):

GlassWire — показывает, какие приложения к каким IP-адресам обращаются. Минус: требует постоянной работы в фоне, что может слегка затереть следы. Устанавливайте ТОЛЬКО если вы ещё не начали подозревать слежку, а делаете профилактическую проверку.

NetGuard — межсетевой экран без root-прав. Устанавливается, но НЕ ВКЛЮЧАЙТЕ блокировку трафика (она изменит поведение шпионского ПО). Просто смотрите логи.

Продвинутый метод (для владельцев роутеров):

• Зайдите в админку роутера (обычно 192.168.0.1 или 192.168.1.1).
• Найдите раздел «Журнал» или «Лог трафика».
• Посмотрите, какие внешние IP-адреса посещал ваш телефон ночью.
• Пробить IP через whois-сервисы: если адрес принадлежит облачному хостингу в другой стране (AWS в Ирландии, DigitalOcean в США) — это похоже на командный сервер шпионского ПО. Если адрес принадлежит Google, Apple, Microsoft — скорее всего, легитимные обновления.

Чего делать НЕ надо: Не запускайте Wireshark на своём компьютере, если не умеете им пользоваться. Одна ошибка в настройках может вызвать широковещательный шторм в сети и выдать ваше расследование злоумышленнику (если он тоже в этой сети).

1.3. Температурные аномалии

Современные смартфоны умеют отводить тепло пассивно — через корпус. Если процессор долго работает на высоких частотах, телефон нагревается.

Норма: В режиме ожидания телефон должен быть комнатной температуры. При активном использовании (игры, видео) — теплым, но не горячим (до 40–42°C).

Аномалия: Телефон тёплый, когда он просто лежит на столе экраном вниз, и никто им не пользуется. Особенно подозрительно, если батарея при этом разряжается быстрее обычного.

Как проверить без софта: Просто положите телефон на 30 минут экраном вверх. Потрогайте. Если задняя крышка ощутимо теплее вашей руки — есть повод для беспокойства.

Как проверить с софтом (безопасно):

• Установите CPU Float (только для Android) — показывает частоту процессора в реальном времени.
• Норма для простоя: большинство ядер на минимальной частоте (300–600 МГц) или в спящем режиме.
• Аномалия: все ядра на максимальной частоте в течение длительного времени без видимой причины.

1.4. Самовольное включение камеры и микрофона (индикаторы)

Начиная с Android 12 и iOS 14, операционные системы показывают индикатор работы камеры (зелёная точка) и микрофона (оранжевая точка) в правом верхнем углу.

Проблема: Шпионское ПО может обходить эти индикаторы. Способы:

• Использовать API более старых версий ОС (если телефон не обновлялся).
• Работать через root-доступ и модифицировать системные файлы, отвечающие за индикацию.
• Запрашивать доступ не к камере, а к сенсорам (например, акселерометр может использоваться для записи вибраций голоса — экспериментальная техника).

Как проверить честность индикаторов:

Android:

• Скачайте с Google Play приложение Access Dots (оно дублирует индикаторы, но работает на уровне самого приложения, а не системы).
• Если Access Dots показывает активность, а системный индикатор нет — системный индикатор мог быть подавлен.

Важное ограничение: Access Dots не работает на некоторых китайских прошивках (Xiaomi, Huawei с их собственными оболочками).

iOS:
Системные индикаторы в iOS считаются более надёжными, но и они не дают 100% гарантии в случае джейлбрейка. Если ваш iPhone взломан (джейлбрейкнут), индикаторы могут быть отключены.

Экстремальная проверка (только для подготовленных):
Заклейте фронтальную камеру кусочком чёрной изоленты. Заклейте микрофон (сбоку или снизу) пластырем. Оставьте телефон на сутки. Если шпионское ПО пыталось активировать камеру или микрофон, оно получит чёрное поле/тишину. В логах системы могут остаться ошибки доступа к этим устройствам, которые эксперт потом найдёт.

1.5. Странные процессы в фоне

Операционные системы скрывают от пользователя многие системные процессы. Но если вы знаете, куда смотреть, можно многое увидеть.

Android (без root):

• Включите «Режим разработчика»: зайдите в «Настройки» → «О телефоне» и нажмите 7 раз на «Номер сборки».
• Зайдите в «Настройки» → «Для разработчиков» → «Работающие службы» (или «Активные службы»).
• Вы увидите список процессов, работающих прямо сейчас. Обратите внимание на:
• Названия с опечатками: com.android.systemui — норма; com.android.systemu — подозрительно.
• Названия с мусорными символами: jhg324.dsf.kkkw — почти наверняка вредонос.
• Приложения с правами администратора, которых вы не назначали: Их список отдельно — «Приложения-администраторы».

НЕ останавливайте процессы вручную! Кнопка «Остановить» может вызвать перезапуск процесса с новой попыткой скрыться. Просто сфотографируйте список на другой телефон.

Windows на компьютере:

• Запустите «Диспетчер задач» (Ctrl+Shift+Esc).
• Перейдите на вкладку «Подробности».

Ищите:

Процессы с названиями, похожими на системные, но с другой подписью (нет цифровой подписи Microsoft).

Процессы, которые маскируются под svchost.exe, но запущены из папки C: \Users\Имя_Пользователя\AppData\.

Процессы без описания издателя.

Сделайте скриншот (через Win+PrintScreen — сохранится в папку «Скриншоты»). Не используйте сторонние программы для скриншотов — они могут конфликтовать с процессами.

Раздел 2. Категорический «красный список»: что нельзя делать ни в коем случае

Вы прочитали раздел 1, нашли пару подозрительных признаков и готовы действовать. Стоп. Большинство действий, которые кажутся логичными, уничтожают судебные доказательства.

2.1. Сброс до заводских настроек (хардресет)

Это самое разрушительное действие. Хардресет удаляет:

• Все установленные приложения (включая шпионские, но и следы их установки тоже).
• Все пользовательские файлы.
• Логи системы.
• Ключи реестра.
• Временные метки.

Что остаётся после хардресета: Чистая операционная система, как в день покупки. Эксперт скажет: «Нет ни шпионского ПО, ни доказательств его отсутствия. Факт наличия слежки не установить и не опровергнуть».

Когда хардресет допустим: Только после того, как эксперт сделал образ диска (bit-by-bit копию) или изъял устройство. Или если вы точно знаете, что не будете обращаться в полицию/суд.

Запомните: Хардресет — это уничтожение улик. По закону уничтожение улик может быть квалифицировано как воспрепятствование расследованию (хотя к обычному пользователю это редко применяется, но знать об этом стоит).

2.2. Установка «чистильщиков» и «оптимизаторов»

CCleaner, SD Maid, Clean Master и аналоги:

• Удаляют временные файлы (кэш), в которых могут храниться фрагменты перехваченных данных.
• Чистят реестр (Windows), удаляя записи о запуске шпионского ПО.
• Проводят дедупликацию файлов (могут удалить копии вредоносных файлов, что важно для понимания путей распространения).

Особенно опасны: программы, обещающие «ускорить телефон». Они останавливают фоновые процессы — в том числе и те, что вы хотели бы зафиксировать как подозрительные.

Исключение: Если вы уже передали устройство эксперту и он дал письменное разрешение на чистку — тогда можно. Но не раньше.

2.3. Установка антивирусов «для проверки»

Парадокс: большинство людей скачивают антивирус именно тогда, когда подозревают заражение. И это большая ошибка.

Почему антивирус вредит расследованию:

• Антивирус сканирует все файлы и изменяет их метаданные (атрибут «последний раз открыт» становится временем сканирования). Эксперт уже не может определить, когда вредоносный файл был запущен в последний раз.
• Антивирус может поместить подозрительный файл в карантин, удалив его из исходной папки. Потеряны пути распространения.
• Антивирус пишет в реестр и системные логи свои собственные записи, затирая старые.
• Сам процесс установки антивируса создаёт десятки новых файлов, меняет системные настройки, добавляет службы — всё это «шум», который затрудняет анализ.

Если вы всё же хотите проверить гипотезу:

Используйте портативные антивирусные сканеры, которые не требуют установки (например, Dr.Web CureIt! — скачиваете.exe файл, запускаете, он не пишет в реестр). Но даже они меняют метаданные файлов, которые проверяют.

Лучший вариант: ничего не устанавливать на подозрительное устройство. Вместо этого скопируйте подозрительные файлы на чистую флешку и проверьте на другом, заведомо чистом компьютере.

2.4. Попытка найти шпионское ПО визуально: «Я пролистал список приложений и ничего не нашёл»

Это почти всегда бесполезно и создаёт ложное чувство безопасности.

Методы маскировки шпионского ПО:

• Подмена имени пакета: В Android имя пакета уникально. Шпионское ПО может называться com.google.android.gms (как у сервисов Google). Но цифровая подпись будет другой. В обычном списке приложений вы не увидите имя пакета — увидите иконку и название на экране. Иконка может быть скопирована у «Настроек» или «Play Маркета».
• Маскировка под системное приложение: После получения root-доступа шпионское ПО может переместить себя в /system/app/ — тогда оно не будет отображаться в списке приложений для удаления, потому что система считает его частью ОС.
• Без иконки вовсе: Приложение может не иметь запускаемой активности (нет иконки в лаунчере). Оно устанавливается, но не отображается. Запускается автоматически при включении телефона.

Что делать вместо визуального поиска: Использовать ADB (Android Debug Bridge) для вывода списка всех пакетов, включая скрытые. Как это сделать безопасно — в разделе 3.

2.5. Правило «нулевых касаний»: что делать, чтобы не навредить

Если вы подозреваете, что за вами следят прямо сейчас, и вы хотите сохранить максимум доказательств, действуйте по этому протоколу:

Шаг 1. Авиарежим (но не выключение)

Включите авиарежим. Это отключит все радиомодули: сотовую связь, Wi-Fi, Bluetooth, NFC.

Почему не выключение: При выключении телефона многие временные данные (логи, буферы) сбрасываются. Некоторые шпионские программы настроены на самоуничтожение при выключении — при следующем включении они удаляют себя. Авиарежим разрывает канал управления, но не даёт команду на завершение процессов.

Исключение: Если телефон находится под физическим контролем злоумышленника (например, вы боитесь, что его выхватят из рук), выключайте немедленно. Сохранность данных важнее сохранности текущих процессов.

Шаг 2. Физическая изоляция

• Поместите телефон в антистатический пакет (продаётся в магазинах электроники). Обычный полиэтиленовый пакет может накопить статический заряд и повредить память.
• Если антистатического пакета нет, оберните телефон в алюминиевую фольгу (эффект клетки Фарадея). Но делайте это ОЧЕНЬ АККУРАТНО, не повредив экран и кнопки.

Не кладите телефон на магнитные поверхности (холодильник, колонка) — магниты могут повредить память в старых устройствах.

Шаг 3. Сохранение уровня заряда

• Запишите текущий процент заряда и время.
• Не подключайте телефон к зарядке без необходимости — изменение электропитания может вызвать перезапись логов.

Шаг 4. Фиксация внешнего вида

• Сделайте фотографии телефона со всех сторон на другой телефон/камеру. Заснимите экран, если на нём есть какие-то уведомления или открытые приложения.
• Важно показать, что телефон не был вскрыт или модифицирован.

Шаг 5. Вызов эксперта

• Не везите телефон в сервисный центр. Там его могут подключить к диагностическому ПО, которое изменит системные разделы.
• Вызывайте судебного эксперта на дом или в офис для выездной экспертизы, либо привозите в лабораторию лично, без курьерских служб.

Раздел 3. Первичный сбор данных: что можно сделать самому, не навредив

Существует ряд действий, которые не уничтожают доказательства, но дают эксперту ценную информацию. Это «разведка боем» — вы собираете данные, которые потом помогут эксперту выбрать правильную методику.

3.1. Скриншоты: пошаговая инструкция для юридической значимости

Простой скриншот в суде может быть оспорен как «легко подделываемый». Чтобы скриншот имел вес, нужно соблюсти процедуру.

Что должно быть на каждом скриншоте (или в сопроводительной записи):

• Точное время и дата (часы на экране телефона должны быть видны, либо вы фотографируете телефон рядом с включённым телевизором, где идёт выпуск новостей — для привязки к абсолютному времени).
• Версия операционной системы (обычно видна в «Настройки» → «О телефоне» — сделайте скриншот и этого экрана).
• Заводской номер (IMEI для телефона, серийный номер для ноутбука — тоже сфотографируйте).

Правила создания скриншотов:

• Используйте штатные средства телефона (кнопка «громкость вниз» + «питание»). Не устанавливайте сторонние приложения для скриншотов.
• После создания скриншота не редактируйте его (не обрезайте, не подписывайте).
• Скопируйте скриншоты на другой носитель (компьютер, флешку) через кабель. Не отправляйте по электронной почте и через облачные сервисы — это изменит метаданные файла.
• Распечатайте скриншоты на бумаге. На обороте каждого листа укажите: «Скриншот сделан мной (ФИО) в (дата/время) с устройства (модель, IMEI)». Подпишите. Если есть возможность — заверить у нотариуса (но это дорого и долго; достаточно будет подписей двух понятых).

Какие именно скриншоты делать (по порядку):

• Экран «Настройки» → «О телефоне» (или «О системе»).
• Экран «Настройки» → «Аккумулятор» с графиком расхода.
• Экран «Настройки» → «Использование данных» с разбивкой по приложениям.
• Экран «Настройки» → «Приложения» → список всех приложений (прокрутить и сфотографировать по частям).
• Экран «Для разработчиков» → «Работающие службы».
• Экран с уведомлениями (опустить шторку).
• Это минимум. Чем больше скриншотов — тем лучше, но не увлекайтесь до такой степени, чтобы телефон разрядился в процессе.

3.2. ADB (Android Debug Bridge) для Android: безопасные команды

ADB — это инструмент разработчика, который позволяет подключаться к Android-устройству с компьютера и выполнять команды. Правильно используя ADB, вы можете извлечь массу данных, ничего не меняя в телефоне.

Подготовка (делается один раз на чистом компьютере):

• Скачайте Platform Tools (официальный ADB) с сайта developer.android.com/studio/releases/platform-tools. Никаких сторонних сборок!
• Распакуйте в папку C: \adb (или любую другую, без пробелов в пути).
• На телефоне включите «Режим разработчика» (нажать 7 раз на номер сборки в «О телефоне»).
• Включите «Отладку по USB» (в режиме разработчика).
• Подключите телефон к компьютеру кабелем (используйте качественный кабель, не повреждающий контакты).
• На телефоне появится запрос «Разрешить отладку по USB с этого компьютера?» — нажмите «Разрешить» и поставьте галочку «Всегда».

Безопасные команды (ничего не меняют, только читают):

Команда	Что делает	Что может показать
adb devices	Проверяет, видит ли компьютер телефон	Список подключённых устройств
adb shell dumpsys battery	Выдаёт историю батареи	Уровень заряда, температура, состояние, есть ли подключение к зарядке
adb shell dumpsys package packages	Список всех установленных пакетов (включая скрытые)	Имена пакетов шпионского ПО, даты установки
adb shell dumpsys activity activities	Информация о текущих активностях	Какое приложение сейчас на экране, какие процессы в фоне
adb logcat -d > logs.txt	Выгружает системный журнал (кольцевой буфер) в файл	Ошибки доступа к камере/микрофону, запуск подозрительных служб
adb shell dumpsys netstats	Статистика сети по приложениям	Сколько трафика потребило каждое приложение
adb shell dumpsys package com.google.android.gms > gms.txt	Детальный вывод по конкретному пакету	Можно посмотреть, имеет ли пакет легитимную подпись

Опасные команды (НЕ ИСПОЛЬЗОВАТЬ БЕЗ ЭКСПЕРТА):

• adb uninstall <имя_пакета> — удаляет приложение. Не делайте этого!
• adb shell pm disable <имя_пакета> — отключает приложение. Следы остаются, но активность прекращается. Тоже не делайте без команды эксперта — эксперт захочет посмотреть на работающее шпионское ПО в действии.
• adb backup — создаёт резервную копию, но процесс резервирования может изменить некоторые временные метки.

Как передать данные эксперту: После выполнения безопасных команд у вас будет папка с текстовыми файлами. Скопируйте её на флешку и передайте эксперту вместе с телефоном. Ни в коем случае не отправляйте логи по электронной почте — они содержат конфиденциальную информацию.

3.3. Сбор образа памяти (memory dump) для опытных пользователей

Образ оперативной памяти — это «моментальный снимок» того, что происходит прямо сейчас. Шпионское ПО, работающее в памяти, может быть не записано на диск (если оно загружается только при старте и не создаёт файлов). Сбор образа памяти — единственный способ его поймать.

Сложности: Образ памяти занимает столько же места, сколько объём RAM (4–32 ГБ). Его создание требует специального ПО и может заморозить систему.

Для Windows (самое доступное):

• Скачайте FTK Imager (бесплатная версия от AccessData).
• Запустите от имени администратора.
• Нажмите File → Capture Memory.
• Укажите путь для сохранения файла (нужно много места).
• Выберите опцию «Include pagefile.sys» (да, это добавит ещё несколько гигабайт, но так полнее).
• Нажмите Capture.
• Дождитесь окончания (может занять 10–30 минут). Компьютер может зависнуть — это нормально, не выключайте его насильно.

После завершения у вас будет файл с расширением.mem и файл-отчёт. Никто, кроме эксперта, с этим файлом ничего не сделает — его нужно анализировать специальными инструментами (Volatility, Rekall).

Для Linux:

• Используйте LiME (Linux Memory Extractor) — модуль ядра, который нужно собрать под вашу версию ядра. Это нетривиальная задача, если вы не разработчик. Лучше доверьте эксперту.
• Для Android без root: Образ памяти собрать невозможно — Android блокирует прямой доступ к памяти. Только через ADB logcat, который даёт ограниченную информацию.
• Для macOS: Используйте osxpmem — но тоже лучше экспертом.

3.4. Запись сетевого трафика (Wireshark) на роутере

Если вы подозреваете, что заражённое устройство находится в вашей домашней или офисной сети, можно записать весь трафик из этой сети, не трогая само устройство.

Что нужно:

• Роутер с функцией зеркалирования порта (port mirroring) или компьютер, включенный между роутером и устройством (в режиме моста).
• Бесплатный анализатор трафика Wireshark.

Простейший способ для обычного пользователя (без зеркалирования порта):

• Убедитесь, что в сети нет других активных устройств, которые вы не хотите прослушивать (отключите все остальные телефоны, телевизоры, умные колонки).
• На компьютере с Windows запустите Wireshark.
• Выберите сетевой интерфейс (Wi-Fi или Ethernet).
• Нажмите на значок акулы (начать захват).
• Оставьте на несколько часов или на ночь.
• Остановите захват, сохраните файл в формате.pcap.

Что можно увидеть в pcap-файле:

• IP-адреса, с которыми общалось устройство.
• Доменные имена (через DNS-запросы).
• Объёмы переданных данных.
• Если трафик не зашифрован (редкость), то даже содержимое.

Ограничения:

• Большинство современных приложений используют HTTPS/TLS — вы увидите только факт передачи данных на определённый IP, но не их содержимое.
• Если шпионское ПО использует протоколы, маскирующиеся под обычный трафик (например, передача данных внутри WebSocket к обычному сайту), вы это не отличите без глубокого анализа.

Как не навредить: Процесс захвата трафика пассивен. Он не меняет состояние устройств. Поэтому это безопасно.

Раздел 4. Юридически значимые действия до экспертизы

Технические доказательства бесполезны, если они не могут быть использованы в суде. Судья — не технический специалист. Ему нужно показать, что улики собраны законно, без нарушений, и их подлинность подтверждена.

4.1. Фиксация обстоятельств: объяснительная записка

Напишите документ в свободной форме, но включите следующие пункты:

Шапка: «Федеральному судье [название суда] / В [название ОВД] от [Ваши ФИО, паспортные данные, адрес]».

Текст:

• Когда и при каких обстоятельствах я впервые заподозрил слежку. (Пример: «15 марта 2025 года в 22: 30, находясь дома по адресу… я заметил, что мой телефон Samsung Galaxy S21 нагрелся сильнее обычного, хотя я не пользовался им в течение часа»).
• Что именно я сделал для проверки. (Перечислите действия из раздела 1: «Я открыл настройки аккумулятора и увидел, что приложение com.android.servicem, которое я не устанавливал, потребило 40% заряда»).
• Какие действия я НЕ совершал. (Я не сбрасывал настройки, не удалял приложения, не перезагружал телефон, не устанавливал антивирус).
• Какие данные я сохранил. (Я сделал скриншоты, прилагаю их на бумажном носителе. Я выгрузил логи через ADB, прилагаю на флешке).
• Что я прошу. (Назначить судебную компьютерно-техническую экспертизу для выявления программ слежки).

Заверение: Подпись, дата. Если есть понятые — их подписи с расшифровкой.

Этот документ не имеет самостоятельной юридической силы, но он создаёт «человеческое» описание событий, которое эксперт и судья будут использовать для понимания контекста.

4.2. Свидетели-понятые: почему это важно

В уголовном процессе понятые нужны для процессуальных действий (обыск, выемка). В гражданском процессе — необязательны. Но в вашем случае (вы ещё не в процессе, только собираете доказательства) понятые помогут подтвердить, что вы не подделали скриншоты.

Кого приглашать: Двух взрослых дееспособных людей, не заинтересованных в исходе дела (не родственников, не начальников, не подчинённых).

Что они делают:

• Присутствуют при создании скриншотов.
• Присутствуют при выгрузке логов через ADB.
• Своими подписями на распечатках удостоверяют, что видели процесс.

Как оформить: В конце объяснительной записки добавьте раздел «Подписи понятых»: «Я, [ФИО], проживающий по адресу…, удостоверяю, что присутствовал при создании прилагаемых скриншотов и лично видел, что они были сделаны на устройстве [модель, IMEI] без редактирования. Подпись».

4.3. Заявление в полицию: делать до или после экспертизы?

Это вопрос стратегии. Два подхода:

Подход А (сначала эксперт, потом полиция):

• Вы нанимаете частного судебного эксперта.
• Он даёт заключение: «На устройстве обнаружено шпионское ПО с признаками незаконной установки».
• С этим заключением вы идёте в полицию.

Плюс: У вас есть весомый документ, полиция не может отмахнуться.

Минус: Частная экспертиза платная (от 30 000 до 150 000 рублей).

Подход Б (сначала полиция, потом эксперт):

Вы пишете заявление о преступлении по факту нарушения тайны переписки (ст. 138 УК РФ) или неправомерного доступа (ст. 272 УК РФ).

В заявлении просите изъять устройство и назначить судебную экспертизу (государственную).

Плюс: Бесплатно.

Минусы: Могут отказать в возбуждении дела («отсутствие состава преступления»), если вы не предоставите предварительных доказательств. Сроки — недели и месяцы.

Рекомендация: Сделайте мини-исследование у частного эксперта (не полную экспертизу, а «предварительное исследование» — это дешевле и быстрее). Если эксперт подтвердит наличие шпионского ПО — идите в полицию с его справкой. Если нет — сэкономите время государства.

Образец заявления в полицию (краткий вариант):

Начальнику ОМВД России по [району]
от [ФИО], проживающего по адресу: …
контактный телефон: …

ЗАЯВЛЕНИЕ
о преступлении, предусмотренном ч. 1 ст. 138 УК РФ

«Я, [ФИО], являюсь собственником смартфона [модель, IMEI]. В период с [дата] по [дата] я обнаружил технические признаки, указывающие на наличие на моём устройстве программного обеспечения, предназначенного для негласного получения информации без моего согласия (повышенный расход трафика ночью, неизвестные фоновые процессы, аномальное энергопотребление).

На основании изложенного, в соответствии со ст. 141 УПК РФ, ПРОШУ:

• Принять данное заявление и возбудить уголовное дело по признакам преступления, предусмотренного ч. 1 ст. 138 УК РФ.
• Изъять мой смартфон [модель, IMEI] для проведения судебной компьютерно-технической экспертизы.
• Предупредить эксперта об уголовной ответственности по ст. 307 УК РФ за дачу заведомо ложного заключения.

Дата, подпись».

4.4. Договор с частным экспертом: на что обратить внимание

Если вы выбираете путь частной экспертизы (до полиции или вместо полиции), договор должен включать:

Предмет договора: «Проведение судебной компьютерно-технической экспертизы для выявления несанкционированно установленного программного обеспечения (шпионского ПО) на устройстве [модель, серийный номер]».

Права эксперта: Эксперт имеет право на доступ к устройству, на его разборку (если требуется), на создание образов дисков и памяти.

Обязанности эксперта: Сохранять конфиденциальность, не разглашать личную информацию, не устанавливать на устройство дополнительное ПО без согласия заказчика.

Результат: Заключение эксперта, выполненное в соответствии с требованиями ст. 25 Федерального закона «О государственной судебно-экспертной деятельности в РФ» (или аналогичного ведомственного регламента).

Гарантии: Эксперт должен иметь действующий сертификат / лицензию / свидетельство о допуске к данному виду экспертиз. Попросите показать.

Ответственность: Эксперт несёт ответственность за утрату или повреждение устройства (страховка).

Цены (ориентировочные для РФ, 2025 год):

• Предварительное исследование (1–2 дня, без полного оформления): 15 000 – 30 000 ₽.
• Полная экспертиза с заключением (5–10 дней): 40 000 – 150 000 ₽ в зависимости от сложности и объёма.
• Экспертиза сервера / RAID-массива: от 200 000 ₽.

Не выбирайте самого дешёвого — настоящая экспертиза требует дорогого оборудования и лицензионного ПО (EnCase, X-Ways, Oxygen Forensic). Если цена ниже 20 000 ₽ за полную экспертизу — вас, скорее всего, просто прогонят через бесплатный антивирус.

Раздел 5. Жизненные сценарии: как действовать в разных ситуациях

Общие советы хороши, но каждый случай уникален. Разберём четыре типичных сценария.

Сценарий А: «Я подозреваю слежку со стороны супруга/супруги»

Признаки: Телефон быстро разряжается, странные уведомления о местоположении, кто-то знает о ваших разговорах, которых не было рядом.

Особенность: Злоумышленник имеет физический доступ к вашему телефону (пока вы спите, пока вы в душе). Он может установить сталкерское ПО, которое требует разблокировки телефона на 2-3 минуты.

Алгоритм действий:

• Не меняйте пароль резко. Если вы внезапно поменяли пароль, а шпионское ПО требовало его для обновления — оно перестанет работать, но злоумышленник поймёт, что вы что-то заподозрили, и может уничтожить улики на своём устройстве (например, на своём телефоне-контроллере).
• Используйте обманную активность. Заведите разговор с другом (вживую, не по телефону) о том, что вы собираетесь купить новый телефон и этот продать. Если злоумышленник прокомментирует этот разговор — значит, точно прослушивает.
• Проведите проверку в авиарежиме. Положите телефон в авиарежим на ночь. Если злоумышленник утром спросит «Почему телефон был недоступен?» — это красный флаг.
• Обратитесь к эксперту с выездом на дом. Не носите телефон в лабораторию — пока вы его несёте, злоумышленник может заметить пропажу. Эксперт приедет, сделает всё на месте, вернёт телефон в тот же день.
• Юридический аспект: В РФ слежка за супругом без его согласия — незаконна, даже если вы женаты. Статья 138 УК РФ не делает исключений для членов семьи. Но на практике полиция часто отказывает в возбуждении, ссылаясь на «семейно-бытовые отношения». Настаивайте.
• Сценарий Б: «Рабочий ноутбук, выданный компанией»

Признаки: Компания установила DLP-систему (Data Loss Prevention) для контроля за утечками. Это легально, если прописано в трудовом договоре. Но иногда работодатель выходит за рамки и устанавливает скрытую слежку за личной перепиской в мессенджерах.

Как отличить легитимный DLP от незаконной слежки:

• Легитимный DLP: Уведомление при загрузке системы «Ваши действия могут записываться». Доступ к веб-камере и микрофону есть, но их активация сопровождается индикацией (загорается лампочка).
• Незаконная слежка: Скрытая установка без уведомления, подмена системных файлов, отключение индикаторов камеры.
• Алгоритм действий (осторожно, вы можете потерять работу):
• Проверьте трудовой договор и локальные акты. Есть ли там пункт о мониторинге? Если нет — работодатель нарушает закон (ст. 22 ТК РФ — сбор персональных данных работника только с его письменного согласия).
• Не вносите изменения в систему без юриста. Если вы отключите DLP, это могут квалифицировать как нарушение должностных обязанностей.
• Обратитесь к юристу по трудовому праву, покажите ему договор. Если юрист скажет, что слежка незаконна, подавайте в суд или в трудовую инспекцию.
• Техническая экспертиза: Пригласите эксперта в офис в нерабочее время (или скажите, что это аудит безопасности). Эксперт проверит, есть ли ПО, которое записывает нажатия клавиш (кейлоггер) или делает скриншоты личных переписок.

Важно: Работодатель может уволить вас «по статье» за любые действия, направленные против системы безопасности. Взвесьте риски. Иногда выгоднее не бороться, а просто перестать использовать рабочий ноутбук для личных дел.

Сценарий В: «Сервер компании тормозит ночами»

Признаки: Сервер Linux/Windows ночью (когда никто не работает) загружает процессор на 100%, сетевой интерфейс качает большие объёмы данных.

Алгоритм действий (вам нужен системный администратор или эксперт):

Не перезагружайте сервер! Многие майнеры и шпионские ПО настроены на автозапуск. При перезагрузке они просто запустятся снова, а логи очистятся.

Зафиксируйте нагрузку: через htop (Linux) или «Диспетчер задач» (Windows) сделайте скриншот процессов.

Проверьте планировщик задач:

В Windows: taskschd.msc — посмотрите запланированные задачи, особенно от неизвестных пользователей.

В Linux: crontab -l для каждого пользователя, а также systemd timers.

Проверьте автозагрузку:

В Windows: msconfig, реестр HKLM\Software\Microsoft\Windows\CurrentVersion\Run.

В Linux: папки ~/.config/autostart/, /etc/init.d/.

• Запустите сетевой мониторинг: iftop (Linux), TCPView (Windows). Посмотрите, с какими IP общается подозрительный процесс.
• Создайте образ диска (bit-by-bit) без остановки сервера. Для живых систем есть специальные инструменты (например, dd в Linux, но это требует размонтирования разделов — нельзя на работающем сервере). Лучше доверить эксперту с оборудованием, поддерживающим горячее копирование (FTK Imager для Windows работает без остановки).
• Специфика для серверов: Шпионское ПО на сервере может быть частью APT-атаки (целевого взлома). Если вы нашли подозрительные процессы, немедленно изолируйте сервер от сети (отключите сетевой кабель), но не выключайте.
• Сценарий Г: «Я журналист или правозащитник — за мной следят государственные структуры»
• Признаки: Вы работаете с чувствительной информацией, критикуете власть, ваши коллеги были взломаны или задерживались.
• Особенность: Слежка может быть не только программной, но и аппаратной (жучки в телефоне, модифицированные зарядные устройства). Также возможно использование эксплойтов нулевого дня, которые не обнаруживаются стандартными средствами.

Алгоритм действий (повышенная безопасность):

• Используйте отдельный «чистый» телефон только для консультаций с экспертом. Купите самый дешёвый кнопочный телефон (Nokia 105) — на него практически невозможно установить шпионское ПО удалённо.
• Не обсуждайте слежку по своему основному телефону — злоумышленник может услышать и принять контрмеры.
• Пригласите эксперта с выездом. Не носите устройство в лабораторию — могут перехватить по дороге.
• Запросите у эксперта проверку на аппаратные закладки: разборка телефона, проверка на наличие лишних чипов, проверка через рентген (есть специальные лаборатории).
• Используйте Faraday-сумку для хранения телефона (блокирует все сигналы). Носите телефон в такой сумке, когда не пользуетесь.
• После консультации с экспертом выполните его рекомендации. Это может быть полная замена устройства, смена операционной системы на GrapheneOS (для Android) или переход на Librem 5 (телефон с аппаратными переключателями отключения микрофона и камеры).
• Юридическая защита: Если вы правозащитник, действуйте через международные организации. Внутри РФ заявления о слежке со стороны государства часто не имеют прогресса, но создают прецедент.

Заключение и чек-лист: что запомнить

Эта статья — ваш спасательный круг в момент паники. Вы заподозрили слежку, не знаете, что делать, готовы нажать «сброс настроек». Остановитесь. Прочитайте этот чек-лист.

Чек-лист «Краткий алгоритм первых 15 минут»:

1. Оценка риска: Если вы в опасности (например, вас могут избить за обнаружение слежки) — выключите телефон и спрячьте. Сохранность жизни важнее улик.
2. Безопасный режим: Если непосредственной угрозы нет, включите авиарежим (но не выключайте телефон).
3. Фиксация: Сделайте скриншоты (настройки, аккумулятор, трафик, процессы) на другой телефон или камеру.
4. Изоляция: Положите телефон в антистатический пакет/фольгу/Фарадей-сумку.
5. Запрещённые действия: Проверьте, что вы НЕ сделали (хардресет, установка антивируса, чистка кэша, удаление файлов).
6. Сбор данных (если есть навык): Выгрузите логи через ADB (Android) или FTK Imager (Windows).
7. Юридическая фиксация: Напишите объяснительную записку с датой и временем. Пригласите понятых (если есть возможность).
8. Вызов эксперта: Найдите аттестованного судебного эксперта (ваша федерация, друзья, профильные форумы). Договоритесь о выезде.
9. Заявление в полицию (после эксперта или параллельно): Составьте и подайте.

Запомните эту фразу: «Лучше потратить время на вызов эксперта, чем навсегда уничтожить доказательства своей же рукой».