Доброго дня, уважаемые заказчики, партнеры и коллеги! 🤝 Сегодня мы представляем вашему вниманию структурированный, деловой и исключительно практический материал, посвященный такой критически важной задаче, как поиск и выявление программ-слежения. В условиях цифровой экономики, корпоративного шпионажа и бытового сталкерства вопрос легитимного, технически безупречного и юридически обоснованного обнаружения скрытого мониторинга становится не просто актуальным, а жизненно необходимым. 💼📉
Мы — команпания судебных IT-экспертов с многолетним опытом. Наш главный офис и основная лаборатория расположены в Москве. Однако для сложных дел, для анализа стационарных серверов мы готовы вылетать любой регион России — от Мурманска до Владивостока, от Калининграда до Камчатки. Это наше деловое обязательство. 🚁🧳
В данной статье мы изложим четкие этапы, технические методы, кейсы из практики и юридические формальности, связанные с поиском и выявлением программ-слежения. Материал предназначен для IT-директоров, юристов, служб безопасности и вдумчивых частных заказчиков. Никакой воды — только технология, факты и процедуры. 📋✅
1. Дефиниции и классификация объектов исследования 🏷️
Под программами-слежения (stalkerware, spyware, tracking software) мы понимаем любой программный код, устанавливаемый на цифровое устройство (ПК, ноутбук, смартфон, сервер, планшет) без явного и информированного согласия пользователя с целью:
- 🔹 Перехвата сообщений (SMS, IM-мессенджеры, электронная почта)
- 🔹 Фиксации геолокации и перемещений 🌍
- 🔹 Записи аудио с микрофона и видео с камер 🎥
- 🔹 Снятия скриншотов экрана и записи нажатий клавиш (keylogger)
- 🔹 Копирования файлов, баз данных и cookie-сессий
- 🔹 Удаленного управления устройством (RAT-функционал)
Деловой подход к поиску и выявлению программ-слежения требует разделения на три категории:
| Категория | Примеры | Основная опасность |
| Легальные сталкерские приложения (с обманом) | mSpy, FlexiSPY, KidsGuard | Установлены без согласия, но имеют подпись и не скрыты полностью |
| Кастомные RAT-трояны | DarkComet, NanoCore, Orcus | Полный контроль, маскировка, удаленное управление |
| Встроенные закладки (hardware/firmware) | Backdoor в BIOS/UEFI, прошивка SSD | Обнаруживается только на низком уровне, не удаляется переустановкой ОС |
Именно поэтому поиск и выявление программ-слежения никогда не сводится к одному лишь антивирусному сканированию. Это комплексная процедура. 🧩
Кейс №1: утечка тендерной документации (выезд в Казань)
Заказчик — крупный поставщик для нефтехимии. Слив конкурентных предложений за 2 дня до торгов. Мы вылетели, провели поиск и выявление программ-слежения на 5 ноутбуках тендерного отдела. На одном из них (менеджера, который любит работать из коворкинга) нашли бэкдор в планировщике задач, запускавший скрипт PowerShell, архивировавший папку «Тендеры» и отправлявший её на облачный диск Mail.ru. Виновный установлен, уволен, возбуждено дело по ст. 183 УК РФ. ⚖️💼
2. Процедура первичного реагирования: инструкция для заказчика ⏱️
Правильные действия в момент подозрения — залог сохранности доказательств. До нашего приезда или до отправки устройства в лабораторию соблюдайте следующий деловой протокол:
✅ РЕКОМЕНДУЕТСЯ:
- Обесточить сетевые интерфейсы (отключить Wi-Fi, вынуть сетевой кабель, включить режим «в самолете» на телефоне).
- Сфотографировать экран с открытыми процессами (диспетчер задач, netstat, список приложений). 📸
- Зафиксировать точное время и дату на устройстве (сверка с эталонным хронометром).
- Передать устройство нам в неизменном виде.
❌ НЕ РЕКОМЕНДУЕТСЯ:
- Выключать или перезагружать устройство (потеря RAM-дампера и активных соединений).
- Запускать антивирус или чистильщики (уничтожение улик).
- Обновлять ОС или приложения.
- Пытаться вручную удалить подозрительные файлы.
- Подключать устройство к любой сети или USB-носителям без нашей санкции.
Каждый час промедления снижает вероятность успешного поиска и выявления программ-слежения в среднем на 7-10% (по нашей внутренней статистике). ⏳📉
3. Технические этапы: от образа диска до судебного заключения 🛠️
Наша лабораторная процедура стандартизирована и сертифицирована в соответствии с требованиями Минюста и ФСБ России (для режимных объектов). Этапы:
3.1. Приемка и маркировка объекта
- Заполняется акт приема-передачи
- Устройство фотографируется со всех сторон, фиксируются серийные номера, IMEI, MAC-адреса
- Упаковывается в антистатический пакет и контейнер Фарадея
3.2. Создание физической копии (образ)
- Для HDD/SSD: аппаратный write-blocker (Tableau) + FTK Imager, контроль хешей SHA-256
- Для телефонов: UFED Cellebrite 4-box, Oxygen Forensic Detective, при необходимости — chip-off
- Для серверов в работе (live система): ddчерез netcat на выделенный хранилище с подтверждением целостности
3.3. Статический анализ образа
- Поиск известных сигнатур сталкерского ПО (более 8000 YARA-правил)
- Анализ реестра Windows, файлов конфигурации Linux, plist iOS
- Карусельный просмотр журналов событий (особенно Security, System, Application)
- Поиск скрытых файлов и альтернативных потоков NTFS
3.4. Динамический анализ в песочнице
- Запуск подозрительных исполняемых файлов в Cuckoo Sandbox, CAPE или ANY.RUN
- Фиксация сетевой активности (DNS, IP, порты, протоколы)
- Мониторинг вызовов API, доступа к файлам, ключам реестра
3.5. Глубокий реверс-инжиниринг (по необходимости)
- Дизассемблирование в IDA Pro или Ghidra
- Трассировка в отладчике (x64dbg, gdb)
- Извлечение C&C-адресов из зашифрованных ресурсов
Только комплекс этих этапов дает юридически чистый результат поиска и выявления программ-слежения. 🧰🔬
Кейс №2: корпоративный шпионаж через прошивку RAID-контроллера (выезд в Санкт-Петербург)
У заказчика — логистической компании — фрагментарно пропадали базы данных. Стандартный поиск и выявление программ-слежения на операционной системе ничего не дал. Мы вылетели с мобильной лабораторией, извлекли прошивку RAID-контроллера LSI через SPI-интерфейс. Внутри нашли внедренный код, который при записи на определенные LBA-блоки подменял данные. Такое в российской судебной практике — единичный случай, но мы его раскрыли. Заключение признано допустимым доказательством в арбитражном суде. 💾⚡
4. Особенности поиска на мобильных устройствах (iOS / Android) 📱
Мобильные устройства — самый массовый носитель следящего ПО. Их анализ требует отдельных методик.
4.1. Android:
- Проверка приложений с разрешением BIND_ACCESSIBILITY_SERVICE(сервисы доступности) — это почти всегда индикатор сталкерского ПО.
- Анализ списка администраторов устройства (DeviceAdmin).
- Поиск пакетов, скрытых от лаунчера (через pm list packages -d -u).
- Извлечение дампов приложений через adb backupили полный физический дамп через загрузчик EDL/Download mode.
4.2. iOS (без джейлбрейка):
- Проверка наличия корпоративных MDM-профилей (Settings → General → VPN & Device Management).
- Анализ резервной копии iTunes (можно извлечь даже на заблокированном устройстве, если ранее создавалась).
- Поиск скрытых приложений, распространяемых через Apple Enterprise Program.
4.3. Общие индикаторы (для обоих платформ):
- Повышенный расход трафика (проверять в настройках — какой именно процесс жрет данные).
- Нетипичный нагрев и разряд батареи. 🔥🔋
- Появление неизвестных процессов в списке запущенных служб.
Кейс №3: слежка за коммерческим директором в командировках (выезд в Краснодар)
Коммерческий директор заметил, что конкуренты всегда знают его маршрут и встречи. Поиск и выявление программ-слежения на его iPhone (модель 13 Pro) показал: установлен корпоративный профиль, принадлежащий несуществующей компании «SoftTrack Ltd». Через этот профиль на устройстве работал скрытый MDM-агент, отправлявший геолокацию каждые 15 минут. Профиль был установлен во время «случайной» потери телефона в аэропорту. Дело передано в полицию. 🛩️👮
5. Анализ стационарных серверов: самая сложная и ответственная часть 🖥️⚙️
Для сложных дел, для анализа стационарных серверов мы готовы вылетать любой регион России. Это наше деловое преимущество. Почему серверы — это особый уровень сложности?
- Серверы часто работают в режиме 24/7, и их выключение недопустимо. Мы анализируем live-системы через подключение по iLO/iDRAC или через специальные «бесшумные» дамперы.
- RAID-массивы (0,1,5,6,10,50,60) требуют программной сборки и анализа без нарушения целостности.
- Операционные системы серверов — Windows Server (часто Core), Linux (без графики), FreeBSD, ESXi. Под каждую — своя методика.
- Возможно наличие гипервизоров (VMware, Hyper-V) — анализировать нужно и хостовую ОС, и каждую виртуальную машину.
- Промышленные серверы и АСУ ТП могут работать под QNX, VxWorks или даже MS-DOS.
Мы выезжаем со всем необходимым: мобильные криминалистические стойки, генераторы, источники бесперебойного питания, запасные диски для hot-swap, концентраторы для клонирования без остановки. 🚛🔧
Кейс №4: промышленный шпионаж на заводе (выезд в Челябинск)
Автомобильный завод заподозрил, что с сервера управления линиями роботов уходят чертежи новых моделей. Поиск и выявление программ-слежения на сервере Siemens под управлением Windows Server IoT выявил маленький демон, который раз в сутки через FTP (порт 2121) отправлял логи контроллеров. FTP-сервер оказался в Румынии. Виновный — инженер АСУ ТП, который продавал данные конкурентам. Экспертиза заняла 4 дня на месте, сервер не останавливали ни на минуту. 🏭🤖
6. Юридическое оформление результатов: деловая документация 📑
Любой поиск и выявление программ-слежения завершается пакетом юридически значимых документов. В перечень входят:
6.1. Акт экспертного исследования (для досудебной подготовки)
- Подробное описание объекта и методик
- Таблица с найденными IOC (индикаторами компрометации)
- Вывод о наличии/отсутствии следящего ПО
- Рекомендации по устранению угрозы
6.2. Заключение эксперта (судебное)
Составляется строго по ст. 204 УПК РФ или ст. 25 ГПК РФ. Содержит:
- Вводную часть (основания, данные эксперта, вопросы)
- Исследовательскую часть (поэтапно, с иллюстрациями)
- Выводы (краткие, однозначные, без предположений)
6.3. Сопроводительные материалы
- Копия образа диска на защищенном носителе
- Распечатки логов, дампов, строк из реверса
- Сертификаты о соответствии методик
Наше заключение принимается арбитражными судами, судами общей юрисдикции, а также используется в служебных расследованиях (например, в рамках ст. 81 ТК РФ — утрата доверия). 🧾⚖️
7. Экономические аспекты: стоимость и сроки 💰
Деловой подход требует прозрачности. Мы не скрываем цены и время выполнения. Ориентировочные параметры (уточняются на сайте):
| Тип исследования | Срок (рабочие дни) | Типовой бюджет (руб.) |
| Быстрая проверка ПК/ноутбука (без суда) | 1-3 | от 25 000 |
| Полная экспертиза ПК (с заключением) | 5-10 | от 60 000 |
| Мобильное устройство (Android/iOS) | 3-7 | от 40 000 |
| Сервер (standalone, без RAID) | 7-14 | от 120 000 |
| Сервер с RAID + реверс-инжиниринг | 14-30 | от 250 000 |
| Выезд в регион РФ (сверх стоимости работ) | + дни в пути | от 50 000 + билеты/проживание |
Стоимость поиска и выявления программ-слежения на объектах с повышенными требованиями режима (гостайна, ФСТЭК) обсуждается индивидуально. 💳
8. Отличия нашей экспертизы от «компьютерной помощи» 🌟
На рынке множество компаний, предлагающих «чистку от вирусов» за 2000 рублей. Это не наш уровень. Ключевые различия:
| Параметр | Обычная компьютерная помощь | Наша судебная экспертиза |
| Юридическая сила | Нет | Да (заключение принимается в суде) |
| Цепочка хранения | Не фиксируется | Строгий протокол |
| Работа с RAM | Нет | Обязательный дамп |
| Восстановление удаленных файлов | Поверхностно | Глубокое (файловые карусели) |
| Реверс-инжиниринг | Никогда | При необходимости |
| Выезд в регионы | Крайне редко | Да, для сложных серверов |
Выбирая нас, вы выбираете результат, который не оспорит ни один суд. 🎯
9. Политика конфиденциальности и защиты данных заказчика 🔒
Мы работаем в соответствии с:
- 152-ФЗ «О персональных данных»
- 149-ФЗ «Об информации»
- Приказом ФСТЭК № 21 (для аттестованных объектов)
Все материалы заказчика хранятся в шифрованном виде, доступ к ним имеют только исполнители по делу. По окончании работ оригинальные носители возвращаются, а копии уничтожаются актом (если не оговорено иное). Никакой передачи данных третьим лицам. 🤐
10. Как заказать услугу и что для этого нужно 📝
Процедура максимально проста и деловая:
- Звонок или заявка через сайт(без спама, без навязывания)
- Консультация с экспертом(предварительная оценка ситуации — бесплатно)
- Заключение договора(с актом, сметой, сроками)
- Передача устройства(к нам в Москву или договариваемся о выезде)
- Проведение экспертизы(с периодическим уведомлением заказчика о статусе)
- Передача результатов(на бумаге и в электронном виде, с диском-образом)
- Сопровождение в суде(при необходимости — выезд эксперта для дачи показаний)
Да, мы сопровождаем свои заключения в судах любой инстанции. 🧑⚖️🗣️
Резюме и ссылка на официальный ресурс 🔗
🟩 Уважаемые коллеги и заказчики, поиск и выявление программ-слежения — это не услуга, а необходимость в эпоху всепроникающего цифрового наблюдения. Мы обладаем всеми необходимыми лицензиями, оборудованием и человеческими компетенциями, чтобы выполнить эту работу на высочайшем уровне.
Мы базируемся в Москве, но для сложных дел, для анализа стационарных серверов мы готовы вылетать любой регион России. Потому что цифровая безопасность не имеет территориальных границ, но требует физического присутствия. 🌍🛡️
🔗 Все детали, калькулятор стоимости и форма заявки доступны на нашем официальном сайте:
https://sud-expertiza.ru/uslugi-po-poisku-shpionskih-programm-na-kompyutere/
Никаких контактов, адресов и телефонов в тексте — по правилам площадки. Только ссылка. Только факты. Только экспертиза. 🚀
Задавайте любые вопросы