ВВЕДЕНИЕ
Анализ мобильных устройств стал критически важным компонентом современных расследований киберпреступлений, особенно в случаях кибербуллинга, шантажа и онлайн-преследования. Мобильные устройства содержат огромное количество персональной информации, включая сообщения, фотографии, геолокационные данные и историю веб-активности.
Данный кейс демонстрирует комплексный подход к анализу Android и iOS устройств при расследовании дела о кибербуллинге несовершеннолетнего. Расследование включало извлечение доказательств из мессенджеров, социальных сетей и облачных сервисов для установления факта систематического преследования.
Проблема заключалась в том, что злоумышленники использовали различные методы сокрытия своей активности, включая удаление сообщений, использование временных аккаунтов и шифрование данных. Требовался глубокий анализ файловых систем и извлечение данных из резервных копий.
ИСХОДНАЯ СИТУАЦИЯ
Дело: Расследование кибербуллинга несовершеннолетнего
Потерпевший: Алексей Смирнов, 16 лет
Подозреваемые: Группа из 3 человек (18-20 лет)
Период преследования: 1-15 января 2026
Тип преступления: Систематический кибербуллинг, шантаж, распространение компрометирующих материалов
Устройства для анализа:
- Смартфон потерпевшего: Samsung Galaxy A54 (Android 14)
- Смартфон подозреваемого №1: iPhone 15 Pro (iOS 17.2)
- Планшет подозреваемого №2: iPad Air 5 (iOS 17.2)
- Компьютер подозреваемого №3: MacBook Pro M3 (macOS Sonoma)
Технические характеристики:
- Samsung Galaxy A54: 256 ГБ памяти, Android 14, не заблокирован
- iPhone 15 Pro: 512 ГБ памяти, iOS 17.2, заблокирован паролем
- iPad Air 5: 256 ГБ памяти, iOS 17.2, заблокирован Touch ID
- MacBook Pro: 1 ТБ SSD, macOS Sonoma, заблокирован паролем
ИСПОЛЬЗУЕМЫЕ ИНСТРУМЕНТЫ
1. Cellebrite UFED 4PC - извлечение данных с мобильных устройств
2. Oxygen Forensic Detective - анализ мобильных устройств
3. Magnet AXIOM - комплексный анализ цифровых доказательств
4. Autopsy - анализ файловых систем
5. SQLite Browser - анализ баз данных SQLite
6. Plist Editor - анализ файлов конфигурации iOS
7. Hex Editor - низкоуровневый анализ данных
8. FTK Imager - создание образов дисков
ПОШАГОВОЕ РЕШЕНИЕ
ЭТАП 1: ПОДГОТОВКА И ПЛАНИРОВАНИЕ
Шаг 1.1: Создание криминалистических копий
bash
<h2 id="sozdanie-obraza-samsung-galaxy-a54">Создание образа Samsung Galaxy A54</h2>
ufed_4pc --device android --output galaxy_a54_image.dd
<h2 id="sozdanie-obraza-iphone-15-pro-posle-razblokirovki">Создание образа iPhone 15 Pro (после разблокировки)</h2>
ufed_4pc --device ios --output iphone_15_pro_image.dd
<h2 id="sozdanie-obraza-ipad-air-5">Создание образа iPad Air 5</h2>
ufed_4pc --device ios --output ipad_air_5_image.dd
<h2 id="sozdanie-obraza-macbook-pro">Создание образа MacBook Pro</h2>
ftk_imager --source /dev/disk0 --destination macbook_pro_image.dd
Шаг 1.2: Проверка целостности образов
bash
<h2 id="vychislenie-kontrolnyh-summ">Вычисление контрольных сумм</h2>
sha256sum galaxy_a54_image.dd > galaxy_a54_image.dd.sha256
sha256sum iphone_15_pro_image.dd > iphone_15_pro_image.dd.sha256
sha256sum ipad_air_5_image.dd > ipad_air_5_image.dd.sha256
sha256sum macbook_pro_image.dd > macbook_pro_image.dd.sha256
ЭТАП 2: АНАЛИЗ ANDROID УСТРОЙСТВА
Шаг 2.1: Анализ файловой системы Android
bash
<h2 id="montirovanie-obraza-android">Монтирование образа Android</h2>
mkdir -p /mnt/android_analysis
mount -o loop galaxy_a54_image.dd /mnt/android_analysis
<h2 id="analiz-struktury-faylovoy-sistemy">Анализ структуры файловой системы</h2>
ls -la /mnt/android_analysis/
Шаг 2.2: Извлечение данных из мессенджеров
bash
<h2 id="analiz-bazy-dannyh-telegram">Анализ базы данных Telegram</h2>
sqlite3 /mnt/android_analysis/data/data/org.telegram.messenger/databases/tgdata.db
<h2 id="izvlechenie-soobscheniy">Извлечение сообщений</h2>
SELECT
m.message_id,
m.from_id,
m.chat_id,
m.date,
datetime(m.date, 'unixepoch') as readable_date,
m.message,
u.first_name,
u.last_name
FROM messages m
LEFT JOIN users u ON m.from_id = u.user_id
WHERE m.date > strftime('%s', '2026-01-01')
ORDER BY m.date DESC;
Шаг 2.3: Анализ WhatsApp
bash
<h2 id="izvlechenie-bazy-dannyh-whatsapp">Извлечение базы данных WhatsApp</h2>
cp /mnt/android_analysis/data/data/com.whatsapp/databases/msgstore.db ./whatsapp_messages.db
<h2 id="analiz-soobscheniy-whatsapp">Анализ сообщений WhatsApp</h2>
sqlite3 whatsapp_messages.db
SELECT
key_remote_jid,
key_from_me,
timestamp,
datetime(timestamp/1000, 'unixepoch') as readable_date,
data
FROM messages
WHERE timestamp > 1735689600000 -- 1 января 2026
ORDER BY timestamp DESC;
ЭТАП 3: АНАЛИЗ IOS УСТРОЙСТВ
Шаг 3.1: Анализ файловой системы iOS
bash
<h2 id="montirovanie-obraza-iphone">Монтирование образа iPhone</h2>
mkdir -p /mnt/ios_analysis
mount -o loop iphone_15_pro_image.dd /mnt/ios_analysis
<h2 id="analiz-struktury-ios">Анализ структуры iOS</h2>
ls -la /mnt/ios_analysis/private/var/mobile/
Шаг 3.2: Извлечение данных из приложений iOS
bash
<h2 id="analiz-bazy-dannyh-messages">Анализ базы данных Messages</h2>
sqlite3 /mnt/ios_analysis/private/var/mobile/Library/SMS/sms.db
<h2 id="izvlechenie-sms-soobscheniy">Извлечение SMS сообщений</h2>
SELECT
ROWID,
handle,
date,
datetime(date + 978307200, 'unixepoch') as readable_date,
text,
is_from_me
FROM message
WHERE date > 978307200 + 1735689600 -- 1 января 2026
ORDER BY date DESC;
Шаг 3.3: Анализ iMessage
bash
<h2 id="analiz-bazy-dannyh-imessage">Анализ базы данных iMessage</h2>
sqlite3 /mnt/ios_analysis/private/var/mobile/Library/SMS/sms.db
<h2 id="izvlechenie-imessage-soobscheniy">Извлечение iMessage сообщений</h2>
SELECT
m.ROWID,
m.handle,
m.date,
datetime(m.date + 978307200, 'unixepoch') as readable_date,
m.text,
m.is_from_me,
a.attachment_filename
FROM message m
LEFT JOIN attachment a ON m.ROWID = a.message_id
WHERE m.date > 978307200 + 1735689600
ORDER BY m.date DESC;
ЭТАП 4: АНАЛИЗ СОЦИАЛЬНЫХ СЕТЕЙ
Шаг 4.1: Анализ Instagram
bash
<h2 id="poisk-dannyh-instagram-v-android">Поиск данных Instagram в Android</h2>
find /mnt/android_analysis -name "*instagram*" -type d
<h2 id="analiz-bazy-dannyh-instagram">Анализ базы данных Instagram</h2>
sqlite3 /mnt/android_analysis/data/data/com.instagram.android/databases/instagram.db
<h2 id="izvlechenie-soobscheniy-instagram">Извлечение сообщений Instagram</h2>
SELECT
thread_id,
sender_id,
timestamp,
datetime(timestamp/1000, 'unixepoch') as readable_date,
text
FROM messages
WHERE timestamp > 1735689600000
ORDER BY timestamp DESC;
Шаг 4.2: Анализ VKontakte
bash
<h2 id="analiz-bazy-dannyh-vk">Анализ базы данных VK</h2>
sqlite3 /mnt/android_analysis/data/data/com.vkontakte.android/databases/vk.db
<h2 id="izvlechenie-soobscheniy-vk">Извлечение сообщений VK</h2>
SELECT
peer_id,
from_id,
date,
datetime(date, 'unixepoch') as readable_date,
text,
attachments
FROM messages
WHERE date > 1735689600
ORDER BY date DESC;
ЭТАП 5: АНАЛИЗ ГЕОЛОКАЦИОННЫХ ДАННЫХ
Шаг 5.1: Извлечение GPS данных Android
bash
<h2 id="poisk-faylov-s-geolokatsiey">Поиск файлов с геолокацией</h2>
find /mnt/android_analysis -name "*location*" -o -name "*gps*" -o -name "*location*"
<h2 id="analiz-fayla-geolokatsii">Анализ файла геолокации</h2>
sqlite3 /mnt/android_analysis/data/data/com.google.android.gms/databases/location.db
<h2 id="izvlechenie-koordinat">Извлечение координат</h2>
SELECT
latitude,
longitude,
accuracy,
time,
datetime(time/1000, 'unixepoch') as readable_date
FROM location
WHERE time > 1735689600000
ORDER BY time DESC;
Шаг 5.2: Анализ геолокации iOS
bash
<h2 id="analiz-fayla-geolokatsii-ios">Анализ файла геолокации iOS</h2>
sqlite3 /mnt/ios_analysis/private/var/mobile/Library/Caches/locationd/clients.plist
<h2 id="izvlechenie-dannyh-o-mestopolozhenii">Извлечение данных о местоположении</h2>
plutil -p /mnt/ios_analysis/private/var/mobile/Library/Caches/locationd/clients.plist
ЭТАП 6: АНАЛИЗ ОБЛАЧНЫХ СЕРВИСОВ
Шаг 6.1: Анализ Google Drive
bash
<h2 id="poisk-dannyh-google-drive">Поиск данных Google Drive</h2>
find /mnt/android_analysis -name "*drive*" -o -name "*google*"
<h2 id="analiz-kesha-google-drive">Анализ кэша Google Drive</h2>
sqlite3 /mnt/android_analysis/data/data/com.google.android.apps.docs/databases/drive.db
<h2 id="izvlechenie-informatsii-o-faylah">Извлечение информации о файлах</h2>
SELECT
file_name,
file_size,
created_time,
modified_time,
shared_with_me
FROM files
WHERE created_time > 1735689600000
ORDER BY created_time DESC;
Шаг 6.2: Анализ iCloud
bash
<h2 id="poisk-dannyh-icloud">Поиск данных iCloud</h2>
find /mnt/ios_analysis -name "*icloud*" -o -name "*cloud*"
<h2 id="analiz-nastroek-icloud">Анализ настроек iCloud</h2>
plutil -p /mnt/ios_analysis/private/var/mobile/Library/Preferences/com.apple.icloud.plist
ЭТАП 7: АНАЛИЗ ВЕБ-АКТИВНОСТИ
Шаг 7.1: Анализ истории браузера Android
bash
<h2 id="analiz-chrome">Анализ Chrome</h2>
sqlite3 /mnt/android_analysis/data/data/com.android.chrome/app_chrome/Default/History
<h2 id="izvlechenie-istorii-posescheniy">Извлечение истории посещений</h2>
SELECT
url,
title,
visit_count,
last_visit_time,
datetime(last_visit_time/1000000 + (strftime('%s', '1601-01-01')), 'unixepoch') as readable_date
FROM urls
WHERE last_visit_time > (strftime('%s', '2026-01-01') - strftime('%s', '1601-01-01')) * 1000000
ORDER BY last_visit_time DESC;
Шаг 7.2: Анализ истории браузера iOS
bash
<h2 id="analiz-safari">Анализ Safari</h2>
sqlite3 /mnt/ios_analysis/private/var/mobile/Library/Safari/History.db
<h2 id="izvlechenie-istorii-safari">Извлечение истории Safari</h2>
SELECT
url,
title,
visit_count,
last_visit_time,
datetime(last_visit_time + 978307200, 'unixepoch') as readable_date
FROM history_items
WHERE last_visit_time > 978307200 + 1735689600
ORDER BY last_visit_time DESC;
ЭТАП 8: ВОССТАНОВЛЕНИЕ УДАЛЕННЫХ ДАННЫХ
Шаг 8.1: Поиск удаленных файлов
bash
<h2 id="poisk-udalennyh-faylov-v-android">Поиск удаленных файлов в Android</h2>
photorec /dev/loop0
<h2 id="analiz-vosstanovlennyh-faylov">Анализ восстановленных файлов</h2>
file recovered_files/*
Шаг 8.2: Анализ свободного пространства
bash
<h2 id="poisk-dannyh-v-svobodnom-prostranstve">Поиск данных в свободном пространстве</h2>
strings /mnt/android_analysis | grep -E "(cyberbully|harass|threat)" -i
<h2 id="poisk-udalennyh-soobscheniy">Поиск удаленных сообщений</h2>
strings /mnt/android_analysis | grep -E "[0-9]{10,13}" | head -20
ЭТАП 9: КОРРЕЛЯЦИЯ ДАННЫХ МЕЖДУ УСТРОЙСТВАМИ
Шаг 9.1: Сопоставление временных меток
bash
<h2 id="sozdanie-vremennoy-linii-sobytiy">Создание временной линии событий</h2>
cat > timeline.txt << EOF
ВРЕМЕННАЯ ЛИНИЯ СОБЫТИЙ КИБЕРБУЛЛИНГА
2026-01-01 14:30:00 - Первое сообщение с угрозами (Telegram)
2026-01-02 09:15:00 - Распространение компрометирующих фото (Instagram)
2026-01-03 16:45:00 - Шантаж через WhatsApp
2026-01-05 11:20:00 - Создание фейкового аккаунта (VK)
2026-01-07 19:30:00 - Массовая рассылка угроз (SMS)
2026-01-10 13:15:00 - Публикация личных данных (социальные сети)
2026-01-12 08:45:00 - Координация атак (групповой чат)
2026-01-15 17:30:00 - Последнее сообщение с угрозами
EOF
Шаг 9.2: Анализ связей между подозреваемыми
bash
<h2 id="sozdanie-karty-svyazey">Создание карты связей</h2>
cat > connections_map.txt << EOF
КАРТА СВЯЗЕЙ ПОДОЗРЕВАЕМЫХ
Подозреваемый №1 (iPhone 15 Pro):
- Телефон: +7-XXX-XXX-XXXX
- Telegram: @user1_anonymous
- Instagram: fake_account_1
- VK: vk.com/id123456789
Подозреваемый №2 (iPad Air 5):
- Телефон: +7-XXX-XXX-XXXX
- Telegram: @user2_fake
- Instagram: fake_account_2
- VK: vk.com/id987654321
Подозреваемый №3 (MacBook Pro):
- Телефон: +7-XXX-XXX-XXXX
- Telegram: @user3_coordinator
- Instagram: fake_account_3
- VK: vk.com/id456789123
СВЯЗИ:
- Все трое участвовали в групповом чате Telegram
- Координировали атаки через общий канал
- Использовали одинаковые методы сокрытия личности
EOF
ЭТАП 10: СОЗДАНИЕ ОТЧЕТА И ДОКАЗАТЕЛЬСТВ
Шаг 10.1: Документирование результатов
bash
<h2 id="sozdanie-itogovogo-otcheta">Создание итогового отчета</h2>
cat > cyberbullying_investigation_report.txt << EOF
ОТЧЕТ О РАССЛЕДОВАНИИ КИБЕРБУЛЛИНГА
Дата расследования: 15-30 января 2026
Потерпевший: Алексей Смирнов, 16 лет
Подозреваемые: 3 человека (18-20 лет)
АНАЛИЗИРОВАННЫЕ УСТРОЙСТВА:
1. Samsung Galaxy A54 (потерпевший)
2. iPhone 15 Pro (подозреваемый №1)
3. iPad Air 5 (подозреваемый №2)
4. MacBook Pro M3 (подозреваемый №3)
ИЗВЛЕЧЕННЫЕ ДОКАЗАТЕЛЬСТВА:
- Сообщения с угрозами: 247 сообщений
- Компрометирующие фото: 15 изображений
- Координация атак: 89 сообщений в групповом чате
- Фейковые аккаунты: 6 профилей
- Геолокационные данные: 156 точек
МЕТОДЫ ПРЕСЛЕДОВАНИЯ:
1. Систематические угрозы через мессенджеры
2. Распространение компрометирующих материалов
3. Создание фейковых аккаунтов
4. Координация атак через групповые чаты
5. Использование анонимизирующих сервисов
ОБЪЕМ ПЕРЕДАННЫХ ДАННЫХ: 2.3 ГБ
ПЕРИОД АКТИВНОСТИ: 1-15 января 2026
ДОКАЗАТЕЛЬНАЯ ЦЕННОСТЬ: 100%
EOF
РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ
Количественные показатели:
- Проанализировано устройств: 4
- Извлечено сообщений: 1,247
- Найдено изображений: 156
- Обнаружено фейковых аккаунтов: 6
- Восстановлено удаленных файлов: 23
- Время анализа: 72 часа
- Доказательная ценность: 100%
Качественные результаты:
- Установлена личность всех подозреваемых
- Доказан факт систематического преследования
- Восстановлена полная временная линия событий
- Определены методы координации атак
- Создана база доказательств для судебного разбирательства
ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ
1. **Обучение подростков**: Проводить тренинги по кибербезопасности
2. **Родительский контроль**: Использовать приложения для мониторинга
3. **Школьные программы**: Внедрить обучение по цифровой грамотности
4. **Техническая защита**: Настроить фильтрацию контента
5. **Психологическая поддержка**: Обеспечить доступ к специалистам
ЗАКЛЮЧЕНИЕ
Данный кейс демонстрирует эффективность комплексного подхода к анализу мобильных устройств при расследовании кибербуллинга. Использование специализированных инструментов позволило не только извлечь доказательства, но и восстановить полную картину преследования.
Ключевые факторы успеха:
- Систематический анализ всех устройств
- Корреляция данных между различными источниками
- Восстановление удаленных данных
- Создание временной линии событий
- Тщательное документирование процесса
Результаты расследования стали основой для возбуждения уголовного дела и привлечения подозреваемых к ответственности за кибербуллинг несовершеннолетнего.
---
**⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.
