🟩 Экспертиза программ для ЭВМ: лабораторный регламент

🟢 Вводная лабораторная нота: Настоящий документ представляет собой детальный лабораторный регламент проведения исследований объектов интеллектуальной собственности в области компьютерных технологий. В отличие от методических или юридических руководств, данный материал ориентирован на практическую работу в экспертной лаборатории — с использованием контрольно-измерительного оборудования, программно-аппаратных комплексов, эталонных сред и строгих протоколов. 🧪🔬⚙️

Лабораторный стиль предполагает пошаговое описание экспериментов, фиксацию условий, перечень реактивов (в нашем случае — программных инструментов), калибровку оборудования и верификацию результатов. Экспертиза программ для ЭВМ в лабораторном контексте — это не просто анализ кода, а воспроизводимое научно-техническое исследование, подчиняющееся стандартам ГОСТ Р 57182-2016 (Судебная компьютерно-техническая экспертиза) и внутренним лабораторным протоколам. 📏📊

Важнейшее лабораторное условие: ввиду редкости квалифицированных лабораторий, способных проводить полный цикл экспертизы программ для ЭВМ (содержащих чистые комнаты, изолированные стенды, дизассемблеры промышленного уровня и криминалистические копировщики), мы готовы вылетать для проведения данной экспертизы в любой регион России с развертыванием мобильной лаборатории на месте — от Калининграда до Владивостока, от Мурманска до Махачкалы. 🧰✈️🇷🇺

Лабораторные условия и требования к помещению для экспертизы

Проведение экспертизы программ для ЭВМ в лабораторном режиме требует соблюдения следующих параметров среды:

Температура воздуха: 20–24°C ±1°C (стабильность критична для долгих прогонов дизассемблирования). 🌡️
Относительная влажность: 30–50% (исключение электростатических разрядов). 💧
Электропитание: ИБП (источник бесперебойного питания) мощностью от 3 кВА с фильтрацией гармоник. 🔌
Электромагнитная совместимость: отсутствие источников сильных полей (не ближе 3 м от серверных стоек, высоковольтных линий). 🧲
Физическая защита: контролируемый доступ (только эксперты и заказчик по пропускам), опечатывание входов на время ночных прогонов. 🔐

При выездной лаборатории (в регионы) указанные условия обеспечиваются через термостойкие кейсы, генераторы питания и экранированные палатки. 🎪⚡

Сертификация и поверка лабораторного оборудования

Все инструменты, используемые в рамках экспертизы программ для ЭВМ, подлежат обязательной калибровке:

Хэширующие устройства (аппаратные генераторы контрольных сумм) — поверка эталонными хэшами NIST (SHA-256, SHA-3). 📟
Дисковые копировщики (Tableau, Logicube, Atola) — поверка на тестовых образах с известным содержимым. 💽
Аппаратные write-blockers — проверка невозможности записи через эталонный тест (запись блока нулей должна блокироваться). 🚫✍️
Программное обеспечение (IDA Pro, Ghidra, WinHex) — сверка версий, подтверждение лицензионной чистоты (лицензионные ключи хранятся в лабораторном сейфе). 🗝️

Метрологическое правило: без действующей поверки (срок 1 год) эксперт не имеет права выдавать заключение. 📅✅

Приемка объектов исследования: лабораторный протокол №1

При поступлении носителя (HDD, SSD, USB-flash, CD/DVD, микросхемы памяти) лаборатория выполняет следующие обязательные действия:

Визуальный осмотр на предмет механических повреждений, следов вскрытия, нагрева (термопара, тепловизор). 🔍🔥
Фотофиксация под ракурсами 0°, 90°, 180° (макрообъектив с масштабной линейкой). 📸
Измерение хэш-суммы исходного носителя без записи (аппаратный блокиратор записи). Результат вносится в протокол. 🧾
Создание битового образа (dd, dc3dd, FTK Imager) с одновременным вычислением хэша образа. Совпадение хэшей исходного носителя и образа — критерий пригодности. 🔄
Помещение оригинала в сейф-контейнер с опечатыванием (пломба с номером, подпись эксперта и заказчика). 🗄️🔒
Монтирование образа в режиме read-only (loop device в Linux, Protected Mode в Windows). 💻

Чек-лист лаборатории: при отсутствии хотя бы одного пункта экспертное заключение будет признано невалидным. ❌

Лабораторный инструментарий: программный стенд (базовый состав)

Для проведения полноценной экспертизы программ для ЭВМ лаборатория оснащается следующим ПО (все версии законно лицензированы, без доступа к интернету):

Категория	Наименование	Назначение
Анализ бинарных файлов	IDA Pro 8.3 (Hex-Rays Decompiler)	Дизассемблирование, декомпиляция, построение CFG
Реверс-инжиниринг	Ghidra 10.2 (NSA)	Альтернативный декомпилятор, анализ фреймов
Отладчики	x64dbg, OllyDbg, GDB (pwndbg)	Динамическая трассировка, брейкпоинты
Сравнение и хэширование	WinHex 20.6, Beyond Compare 4	Побайтовое сравнение, поиск сигнатур
Сетевой анализ	Wireshark, Fiddler, Burp Suite	Перехват трафика (SaaS, клиент-сервер)
Виртуализация	VMware Workstation Pro, QEMU	Изолированные среды для динамики
Криминалистика	FTK Imager, Autopsy, The Sleuth Kit	Создание образов, анализ метаданных
Анализ open source	FOSSology, ScanCode	Обнаружение GPL-фрагментов

Каждый инструмент калибруется на тестовом наборе из 10 эталонных образцов (внутренний лабораторный стандарт). 🧪🔧

Эталонные образцы и тестовые полигоны

Лаборатория поддерживает коллекцию эталонных объектов для верификации методик:

Эталон №1: Программа «Hello World» на C++ (с открытым исходным кодом) — для проверки компилятора и дизассемблера.

Эталон №2: Условная программа с лицензионной защитой (тестовый ключ) — для проверки методики взлома/обхода.

Эталон №3: Фрагменты кода GPL v2, GPL v3, MIT, Apache — для проверки детекторов лицензий.

Эталон №4: Программа с известным хэшем (SHA-256 опубликован в протоколе NIST) — для поверки хэширующих устройств.

Эталон №5: Образ жесткого диска с троянской программой (Test Trojan) — для проверки детекции вредоносного кода.

Каждый новый сотрудник лаборатории обязан в течение испытательного срока воспроизвести результаты по эталонам с точностью 100%. 🎯📋

Кейс №1: лабораторное исследование контрафактного ПО в автоматизированной системе управления технологическим процессом (АСУ ТП)

📌 Объект поступления: Промышленный контроллер Siemens S7-400 (изъят на нефтеперерабатывающем заводе в Самарской области). В прошивке подозревалась модификация, изменяющая режимы каталитического крекинга. 🏭⚙️

Лабораторный процесс:

Извлечение прошивки через программатор (Xeltek SuperPro 6100) с контактов микросхемы 29LV160. Получен бинарный файл объемом 2 МБ. 🧩
Расчет хэша: SHA-256 = ..f6. Отправлено заказчику для сверки с оригинальной прошивкой (сохраненной у разработчика).
Побайтовое сравнение (WinHex): выявлено 342 байта отличий в блоке 0x1A400 – 0x1A700.
Дизассемблирование (IDA Pro) указанного блока: обнаружена модификация обработчика прерываний таймера T3. Изменены константы задержки с 0x1F4 (500 мс) на 0x3E8 (1000 мс).
Динамический анализ на стенде-эмуляторе (QEMU для ARM-подобной архитектуры контроллера): подтверждено изменение временных циклов управления.
Вывод: прошивка подверглась несанкционированной модификации, влияющей на технологический процесс. ⚠️

Судебное решение: Завод признал факт саботажа (бывший сотрудник изменил прошивку). Взыскано 18 млн рублей ущерба. Уголовное дело по ст. 272 УК РФ (неправомерный доступ). 🏛️

Лабораторный урок: Прошивки промышленных контроллеров — крайне уязвимый объект, требующий чистых комнат и специализированных программаторов. 🧪

Кейс №2: лабораторное исследование мобильного приложения на предмет закладки (шпионского ПО)

📌 Объект: APK-файл приложения для банковского обслуживания (версия, подозреваемая в утечке ПДн). Заказчик — региональный банк из Екатеринбурга. 🏦📱

Лабораторный протокол:

Распаковка APK (apktool v2.7): получены smali-файлы и ресурсы. 📦
Декомпиляция в Java (JADX): восстановлен исходный код на ~85%.
Поиск сетевых вызовов (grep по строкам URL, IP, domain): обнаружен скрытый вызов на https://log.collector.ru/submit (не заявленный в политике конфиденциальности). 🌐
Анализ разрешений: в AndroidManifest.xml запрошены READ_CONTACTS, RECORD_AUDIO, ACCESS_FINE_LOCATION (избыточно для банка).
Динамический тест на эмуляторе (Android Studio Pixel 4 API 30) с перехватом трафика (Wireshark): приложение при запуске отправляло IMEI, список контактов и GPS-координаты на сервер в зоне.ru (IP зарегистрирован на физическое лицо).
Сравнение с эталонной версией (предоставленной разработчиком): в эталонной версии таких вызовов нет. Следовательно, APK был модифицирован после сборки. 🔍

Вывод экспертизы: APK-файл содержит недекларированные возможности (шпионский модуль). Экспертиза программ для ЭВМ установила факт модификации и сбора ПДн без согласия. 🚨

Результат: Банк отозвал версию из магазинов, пользователям рекомендована смена паролей. Возбуждено уголовное дело по ст. 183 УК РФ. 🛡️

Кейс №3: лабораторное исследование по установлению авторства (стилеметрия и метаданные)

📌 Ситуация: Спор между двумя программистами из Новосибирска о том, кто написал модуль обработки платежей для финтех-стартапа. Исходный код предоставлен в виде архива Git. 👥💻

Лабораторные процедуры:

Извлечение метаданных Git: анализ коммитов, авторов, email, временных меток. Обнаружено, что 95% строк внесены пользователем petrov (один из спорящих). Второй участник (alex.sidorov) вносил только комментарии и правки отступов. 📅
Анализ имен переменных: Иван использует венгерскую нотацию (strUserName, nCount). Алекс — нотацию camelCase без венгерских префиксов (userName, count). Во всем модуле строго венгерская нотация.
Стиль форматирования: табуляция (4 пробела), размещение { на новой строке (стиль Allman). Алекс использует { на той же строке (стиль K&R). В модуле — везде стиль Allman.
Комментарии: на русском языке, содержат идиомы и сокращения, характерные для Ивана (например, «костыль», «захардкожено»). 🗣️
Экспертиза исходного кода на эталонных фрагментах (ранее написанных Иваном и Алексом отдельно): коэффициент корреляции с эталоном Ивана 0.92, с эталоном Алекса — 0.11.

Вывод: автор модуля — Иван Петров. Экспертиза программ для ЭВМ принята судом. Алекс признан недобросовестным соискателем. ⚖️✍️

Лабораторный протокол статического анализа объектного кода (шаблон)

При выполнении экспертизы программ для ЭВМ в части статического анализа бинарного файла (exe, elf, mach-o) применяется следующий унифицированный протокол:

Шаг 1. Загрузка файла в IDA Pro

Определение формата (PE/ELF/Mach-O/RAW).
Определение архитектуры (x86/x64/ARM/MIPS).
Проверка контрольной суммы (CRC32) на соответствие протоколу приемки.

Шаг 2. Автоматический анализ

Запуск встроенного анализатора (FLIRT для библиотек).
Распознавание стандартных функций (printf, strcpy и пр.).

Шаг 3. Ручной анализ целевых функций

По заданию суда (например, «функция проверки лицензии»).
Поиск по строковым константам (License, Key, Trial).

Шаг 4. Построение графа потока управления (CFG) для каждой функции.

Шаг 5. Декомпиляция в псевдокод (Hex-Rays).

Шаг 6. Сравнение с эталонным кодом (если имеется).

Шаг 7. Фиксация результатов в лабораторном журнале (скриншоты, комментарии). 📝

Пример записи: «Функция sub_401000 содержит 45 инструкций. В условном переходе по адресу 0x4012A проверяется наличие ключа в реестре. В коде пропатченной версии этот переход заменен на безусловный JMP (EB 00), что обходит проверку.» 🔧

Лабораторный протокол динамического анализа (трассировка в отладчике)

Динамика применяется, когда статический анализ неоднозначен или требуется подтверждение поведения программы в реальном времени.

Аппаратный стенд для динамики: выделенная машина с Windows 10 LTSC, отключенной сетью (или изолированный VLAN), управляемая через KVM. 🖥️

Протокол:

Запуск программы под отладчиком (x64dbg) с точкой останова на entry point.
Мониторинг вызовов API (CreateFile, RegOpenKey, InternetOpen).
Пошаговая трассировка (F7/F8) до достижения критического участка (например, проверки лицензии).
Изменение регистров/флагов для обхода проверки (экспериментальная проверка гипотезы). ⚙️
Фиксация лога вызовов (например, 1284 вызова, 12 ошибок доступа). 📊
Сравнение поведения оригинальной и подозрительной версии.

Пример вывода: «В оригинальной версии при неверном ключе вызывается MessageBox с текстом «Неверная лицензия». В исследуемой версии этот MessageBox отсутствует, программа продолжает работу. Следовательно, код проверки лицензии удален или модифицирован.» 🔍

Лабораторное исследование сетевого трафика клиент-серверных приложений

Для SaaS-программ, где серверная часть недоступна, экспертиза программ для ЭВМ проводится через анализ сетевых пакетов.

Лабораторная установка:

Клиентская машина с установленным ПО.
Маршрутизатор-прокси (MiTM-режим) с записью трафика (Wireshark, tcpdump).
Эмулируемый сервер-заглушка (ответы по шаблону из реальной сессии). 🕸️

Протокол:

Перехват сессии логина (пароль, токен).
Анализ HTTP/HTTPS запросов: эндпоинты, заголовки, body (JSON/XML).
Повторная передача тех же запросов с эмуляцией сервера — наблюдение за поведением клиента.
Сравнение с эталонным клиентом (если предоставлен).

Кейс: Для облачной CRM мы выявили, что конкурент скопировал структуру JSON-запросов полностью, включая орфографическую ошибку в поле «adress» (вместо «address»). Суд признал это достаточным доказательством копирования API. 📡✅

Лабораторная методика обнаружения недекларированных возможностей (закладок)

Эта методика является особой подкатегорией экспертизы программ для ЭВМ и требует повышенных мер безопасности (изоляция, отсутствие выхода в интернет, использование sandbox).

Алгоритм поиска закладок:

Статический поиск строк: pass, backdoor, secret, admin, god, %!@ (непечатные символы). 🔎
Поиск недокументированных сочетаний клавиш (например, Ctrl+Alt+Shift+F12 вызывает скрытое меню).
Поиск скрытых каналов связи (UDP-пакеты на нестандартные порты, DNS-туннелирование).
Анализ неиспользуемых функций в коде (dead code), которые могут активироваться по триггеру.
Динамическая проверка: подача на вход программе специально сформированных данных (fuzzing) и наблюдение за аномалиями. 🧪

Реальный кейс: В программе для электронного документооборота найдена функция с именем validate_license, которая при отправке определенного пакета (исследованного нами через отладку) возвращала всегда true, независимо от лицензии. Это позволяло нелегально использовать ПО. 🕳️

Верификация результатов: кросс-проверка и валидация

Каждое заключение экспертизы программ для ЭВМ в нашей лаборатории проходит этап валидации:

Внутренний рецензент (второй эксперт) повторяет ключевые этапы на той же тестовой среде. 📑
Сравнение протоколов первого и второго эксперта: расхождения >2% по выводам недопустимы.
Использование альтернативного инструментария: если первый эксперт использовал IDA Pro, второй должен проверить на Ghidra.
Тест на воспроизводимость: через 48 часов тот же эксперт повторяет эксперимент на свежем образе (без подсказок). Результат должен совпасть с точностью до хэша. 🔄

При выездной лаборатории в регионе валидация проводится удаленно (через защищенный канал передачи протоколов). 🌐

Обработка больших данных: анализ миллионов строк кода

При объемах исходного кода более 500 тысяч строк (например, ERP-системы) ручной анализ невозможен. Лаборатория использует:

Скрипты на Python для пакетного извлечения строк, сравнения логов, поиска паттернов. 🐍
Инструменты типа MOSS (Measure Of Software Similarity) для обнаружения плагиата.
Базы данных сигнатур (более 10 000 эталонов лицензионного кода).
Кластеризацию (DBSCAN) для группировки похожих файлов.

Протокол работы с Big Data:

Сканирование всех файлов, вычисление хэшей.
Удаление заведомо легальных библиотек (сторонних).
Оставшийся код (например, 200 000 строк) разбивается на блоки по 1000 строк.
Каждый блок сравнивается с эталонной базой заказчика и open source-репозиториями.
Выдается отчет о совпадениях с порогом >70%. ⚙️📈

Кейс: Для крупной логистической компании мы обработали 1,2 млн строк кода за 8 дней (с использованием серверной фермы из 4 машин). Выявлено 12% заимствований из библиотеки под GPL. 🚚

Лабораторная документация: журналы, протоколы, штампы

Каждое действие в рамках экспертизы программ для ЭВМ фиксируется в:

Журнале приемки объектов (дата, время, вес носителя, внешний вид).
Журнале эксплуатации ПО (кто, когда, на каком компьютере запускал IDA Pro).
Журнале контрольных сумм (хэши до и после каждого этапа).
Фото- и видеопротоколе (скриншоты экрана с временными метками).
Итоговом заключении (титульный лист на фирменном бланке, гербовая печать).

Все журналы хранятся 5 лет в несгораемом шкафу. Архив оцифровывается с подписью EDS (электронной цифровой подписью) эксперта. 📁🔐

Противодействие обфускации и упаковщикам (packers)

Около 30% исследуемых программ упакованы (UPX, ASPack, VMProtect, Themida). Это усложняет экспертизу программ для ЭВМ, но не делает ее невозможной.

Лабораторный алгоритм распаковки:

Определение упаковщика (PEiD, Detect It Easy, ручной анализ сигнатур).
Запуск программы в отладчике до точки входа в оригинальный код (OEP — Original Entry Point).
Дамп памяти (OllyDumpEx, Scylla) после распаковки.
Восстановление импортов (Import Reconstructor).
Сохранение распакованного образа для анализа. 🧬

Если упаковщик использует виртуализацию (VMProtect), то дизассемблирование затруднено, но возможно через эмуляцию виртуальной машины с последующим трассированием. В особо сложных случаях лаборатория применяет аппаратное профилирование (Intel PT — Processor Trace). 🖥️🔬

Исследование вредоносного ПО (malware) в лабораторной песочнице

Хотя основная статья не про вирусы, но иногда заказчики предоставляют образцы, где программа содержит вредоносный код (кейвинфо, стилеры, шифровальщики). Тогда экспертиза программ для ЭВМ включает малвар-анализ.

Лабораторная песочница Cuckoo/Sandboxie:

Виртуальная машина с отключенной сетью (или изолированной фейковой сетью).
Мониторинг изменений файловой системы, реестра, процессов.
Извлечение индикаторов компрометации (IOC: хэши, IP, домены, мутексы). 🦠
Перехват трафика (если сеть включена на изолированном роутере).

Все результаты не покидают лабораторию. После анализа виртуальная машина уничтожается (восстанавливается из снапшота). 🗑️

Чистая комната (clean room) для работы с коммерческой тайной

Для заказчиков, чей исходный код является коммерческой тайной (статья 1465 ГК РФ), мы предоставляем услуги в условиях чистой комнаты (ISO 5 класс чистоты по частицам, но важнее — информационная изоляция). 🧼🚪

Правила чистой комнаты:

Ноутбуки без WiFi, Bluetooth, LTE (порты USB залиты эпоксидной смолой). 💻🔌
Отсутствие мобильных телефонов, умных часов.
Одноразовые бумажные протоколы, после экспертизы уничтожаются в шредере.
Заказчик может присутствовать (за стеклом наблюдения).

Мы готовы вылетать для проведения данной экспертизы в любой регион России, включая развертывание чистой комнаты на месте (мобильные шатры с фильтрацией воздуха и сканерами на предмет электронных устройств). 🧳🏕️

Калибровка эксперта: межлабораторные сравнительные тесты

Каждые полгода наши эксперты участвуют в межлабораторных сличительных испытаниях (МСИ) — независимых тестах, где всем участникам выдается одинаковый объект (бинарный файл с известными характеристиками). ✅

Результаты за 2023-2024 годы:

Совпадение выводов с референс-лабораторией (Москва, госцентр) — 100%.
Расхождение в деталях (не более 3% по числу выявленных функций).
Время выполнения в 95% случаев соответствует нормативам.

Без прохождения МСИ эксперт не допускается к самостоятельной работе. 📜🏅

Экспертиза исходного кода с использованием Git-метаданных и CI/CD-логов

Современный кейс: спор о том, кто внес определенный фрагмент кода в коммерческий проект. Экспертиза программ для ЭВМ анализирует не только сам код, но и историю изменений. 📇

Лабораторные действия:

Клонирование репозитория (Git, Mercurial, SVN).
Извлечение логов командой git log -p (показывает каждое изменение с автором и хэшем коммита).
Анализ временных меток (может ли автор физически сделать коммит в 3 часа ночи с указанным IP?).
Проверка GPG-подписей коммитов (подлинность автора).
Анализ CI/CD-логов (Jenkins, GitLab CI) — кто запускал сборку, на каком сервере.

Кейс: Обнаружено, что коммиты от имени «Иванов» были совершены с IP-адреса Петрова (подтверждено провайдером). Иванов доказал, что в это время находился в командировке. Суд признал Петрова виновным в подделке истории. 🔏⚖️

Географическая доступность: мобильная лаборатория в регионах

Еще раз подчеркнем как ключевое преимущество: ввиду того, что полноценная экспертиза программ для ЭВМ не проводится в большинстве регионов России (отсутствие аттестованных лабораторий, лицензионного ПО и сертифицированных экспертов), мы готовы вылетать для проведения данной экспертизы в любой регион России с развертыванием мобильной лаборатории. 🚛✈️🏨

Мобильный лабораторный комплекс включает:

2 защищенных ноутбука (Panasonic Toughbook) с предустановленным ПО.
1 сервер для хранения образов (RAID 1, емкость 4 ТБ, с питанием от аккумуляторов).
Аппаратный write-blocker (Tableau T356789iu).
Криминалистический копировщик (Logicube Forensic Falcon).
Мобильный принтер для печати протоколов и наклеек с хэшами. 🖨️
Шредер для уничтожения черновиков.
Система видеонаблюдения за процессом (4 камеры). 🎥

Сроки развертывания: до 6 часов после прибытия в город. Работаем круглосуточно (посменный график экспертов). 🌙🌞

Работа с зашифрованными данными и криптоконтейнерами

При проведении экспертизы программ для ЭВМ нередки случаи, когда код зашифрован (TrueCrypt, VeraCrypt, BitLocker, LUKS). Лаборатория имеет право запросить у заказчика/суда ключи. Если ключи не предоставлены, эксперт констатирует невозможность исследования. 🔐

Однако, если шифрование применено самим ПО в рамках функционала (например, программа шифрует файлы), то экспертиза проводится без расшифровки — анализируется сам алгоритм шифрования (какие API используются, какие ключи генерируются). 🧮

Кейс: Программа-вымогатель шифровала файлы алгоритмом AES-256. Наша экспертиза определила, что ключ генерируется на основе серийного номера диска (уязвимость). Это помогло восстановить данные без выкупа. 🦹‍♂️➡️🦸‍♂️

Утилизация объектов после экспертизы

По окончании исследований лаборатория уничтожает все копии объектов согласно следующему протоколу:

Удаление с жестких дисков: перезапись 3-х проходов (нули, единицы, случайные данные) по методу Гутмана. 🗑️
Физическое уничтожение флеш-носителей: дробление в промышленном шредере (класс секретности 2). 💥
Уничтожение бумажных черновиков: шредер с перекрестной резкой.
Составление акта утилизации за подписью комиссии из двух экспертов.
Передача акта заказчику (если требуется).

Исключение: оригиналы носителей возвращаются заказчику (по акту) или передаются в суд. 🧾

Ответственность лаборатории и страхование профессиональных рисков

Наша лаборатория застраховала гражданскую ответственность при проведении экспертизы программ для ЭВМ на сумму 10 млн рублей (полис РСА). Это покрывает возможные убытки заказчика из-за ошибки эксперта. 📜💰

Кроме того, каждый эксперт имеет личную страховку (от 2 млн руб.). Эксперты несут уголовную ответственность (ст. 307 УК РФ), а также дисциплинарную — вплоть до лишения аттестата. 🛡️