Технические методы, инструменты, кейсы

Корпоративные информационные системы (КИС) — это комплексные программно-аппаратные платформы, объединяющие ERP (1С, SAP, Microsoft Dynamics), CRM (Salesforce, Bitrix24, AmoCRM), SCM, MES, BI, WMS и другие подсистемы. 🏗️ КИС стали цифровым нервом современного бизнеса: здесь хранятся финансы, логистика, производство, продажи, кадры.

Когда возникает судебный спор — о хищении, неисполнении контракта, фальсификации отчетности, некачественном внедрении, — данные КИС становятся ключевым доказательством. Однако суд не может принять распечатку из системы как безусловную истину. Как технически исследовать сложные КИС, состоящие из множества взаимосвязанных компонентов? Как восстановить удаленные данные из ERP? Как выявить скрытые модификации в CRM? Как проанализировать логи интеграций? Ответы на эти вопросы дает компьютерная экспертиза корпоративных информационных систем (КИС) для подачи иска в суд. 🧐

Союз «Федерация судебных экспертов» (сайт: https://kompexp.ru/) разработал технические методы исследования КИС. В данной статье, написанной в техническом стиле, мы представим: методы извлечения и анализа данных из ERP (1С, SAP, Dynamics), CRM (Salesforce, Bitrix24, AmoCRM), анализ интеграций, анализ логов, восстановление удаленных данных, а также три реальных кейса. ⚙️

Глава 1. Техническая архитектура КИС как объект экспертизы

КИС — это многоуровневый программный комплекс. 🏗️ Уровни:
• источники данных (базы данных SQL, NoSQL, файловые хранилища);
• уровень приложений (ERP, CRM, SCM, MES, BI);
• уровень интеграций (API, шины данных, ETL-процессы);
• уровень хранения (базы данных, файловые системы, облачные хранилища);
• уровень аудита (журналы событий, логи доступа, логи транзакций).

Компьютерная экспертиза корпоративных информационных систем (КИС) для подачи иска в суд требует владения инструментами анализа каждого уровня. 🔧

Глава 2. Технический анализ ERP: 1С (файл .1CD, techlog, СУБД)

1С — одна из самых распространенных ERP в РФ. 📊 Технические методы:

• Анализ файла .1CD — низкоуровневое чтение: структура страниц (4 КБ), карта распределения страниц (bitmap), поиск страниц, помеченных как свободные (deleted), извлечение удаленных записей. Инструменты: собственный фреймворк на C++/Python, 1C Raw File Reader.

• Анализ технологического журнала (techlog) — парсинг JSON-файлов, поиск SQL-запросов (SELECT, INSERT, UPDATE, DELETE), анализ времени выполнения.

• Анализ журнала регистрации (1Cv8Log) — извлечение из файлов .lg, .lgp.

• Анализ СУБД — для SQL Server: fn_dblog(NULL, NULL), ApexSQL Log; для PostgreSQL: pg_waldump. 🛠️

Глава 3. Технический анализ SAP (SM19/SM20, redo logs HANA, ABAP)

SAP — ERP для крупных корпораций. 📊 Технические методы:

• Анализ SM19/SM20 — выгрузка журналов аудита в CSV, импорт в базу данных (PostgreSQL), SQL-запросы для выявления аномалий (операции в нерабочее время, массовые изменения).

• Анализ redo logs HANA — использование hdbreplaylog, восстановление «мертвых версий» строк (MVCC), анализ LSN-последовательности для выявления backdating.

• Статический анализ ABAP-кода — извлечение user-exit, BADI, enhancement spots, сравнение с SAP Standard (SE80, SE39). 🧬

Глава 4. Кейс № 1. 1С и WMS — восстановление удаленных документов на 210 млн рублей

📊 Техническая фабула: ООО «ТехноСтрой» подало иск к экс-директору по логистике о хищении 210 млн руб. Директор удалил документы в 1С:ERP и очистил журнал регистрации.

Эксперты:
• Изъяли файл 1Cv8.1CD и диск с технологическим журналом.
• Низкоуровневым чтением .1CD восстановили 1 247 удаленных документов из неаллоцированных страниц.
• Из techlog восстановили SQL-запросы на удаление.
• Обнаружили интеграцию 1С с WMS (PostgreSQL).
• Проанализировали WMS: SQL-запрос SELECT * FROM shipments WHERE date > ‘2023-01-01’. Извлекли логи отгрузок.
• Сопоставили IP-адреса из techlog 1С с логами WMS — совпадение.

Суд удовлетворил иск. 🏆

Глава 5. Технический анализ CRM (Salesforce, Bitrix24, AmoCRM)

CRM — хранилище клиентской базы. 📞 Технические методы:

• Salesforce — выгрузка Field History Tracking через SOQL: SELECT Id, CreatedDate, Field, OldValue, NewValue FROM OpportunityFieldHistory. Выгрузка Setup Audit Trail через REST API.

• Bitrix24 — выгрузка журнала событий через REST API: crm.timeline.list. Восстановление из корзины через API.

• AmoCRM — выгрузка журнала аудита: GET /api/v4/audit. Запрос резервных копий у провайдера.

• Анализ интеграций — с телефонией, email. 🧬

Глава 6. Кейс № 2. Salesforce и телефония — раскрытие «перехвата» сделки на 15 млн рублей

🔐 Техническая фабула: Менеджер А подал иск о невыплате комиссионных (15 млн руб.). Сделка была «перехвачена» менеджером Б.

Эксперты:
• Выгрузили Field History Tracking Salesforce: SOQL-запрос на поле OwnerId. Обнаружили смену ответственного за день до закрытия.
• Выгрузили Setup Audit Trail: права на редактирование выданы менеджеру Б.
• Проанализировали интеграцию с телефонией (Amazon Connect): выгрузили логи звонков в CSV. Построили временную линию: менеджер А — 80 звонков, менеджер Б — 0.
• Сопоставили данные.

Суд удовлетворил иск. 🗡️

Глава 7. Технический анализ интеграций (Dell Boomi, MuleSoft)

Интеграции — слабое место КИС. 🌐 Технические методы:

• Идентификация интеграций — API-ключи, webhooks, ETL-процессы.

• Выгрузка логов интеграций — через API интеграционной платформы (Dell Boomi: API для извлечения логов процесса).

• Парсинг логов — JSON, XML.

• Сравнение данных — сопоставление записей из логов с записями в ERP и CRM.

• Восстановление удаленного — из логов можно восстановить данные, удаленные в ERP. 🔗

Глава 8. Кейс № 3. SAP и Salesforce (Dell Boomi) — восстановление удаленных счетов на 78 млн рублей

📦 Техническая фабула: Экс-менеджер удалил счета в SAP и очистил SM20.

Эксперты:
• Идентифицировали интеграцию SAP ↔ Salesforce через Dell Boomi.
• Направили запрос в Dell Boomi (через суд) о предоставлении логов.
• Получили логи в формате JSON.
• Написали Python-скрипт для парсинга: извлекли 234 счета (поля: номер, дата, сумма, контрагент).
• Сопоставили с данными из Salesforce (которые не были удалены).

Сумма удаленных счетов — 78 млн руб. Суд удовлетворил иск. 💾

Глава 9. Технический анализ логов КИС (ERP, CRM, интеграции)

Логи — главный источник доказательств. 📋 Технические методы:

• Логи ERP — для 1С: techlog (JSON), для SAP: SM20 (CSV), для Dynamics: Audit History (API).

• Логи CRM — Salesforce: Event Monitoring API, Bitrix24: REST API, AmoCRM: /api/v4/audit.

• Логи интеграций — Dell Boomi, MuleSoft.

• Системные логи ОС — EventLog (Windows), syslog (Linux).

• Анализ — SQL-запросы для выявления аномалий: массовые операции, изменения в нерабочее время, подозрительные IP-адреса. 🕵️

Глава 10. Техническое восстановление удаленных данных из КИС

Удаление данных не всегда окончательно. 🗑️ Технические методы:

• Из резервных копий — восстановление SQL-дампа на тестовом сервере.

• Из транзакционных логов СУБД — для SQL Server: fn_dblog(NULL, NULL), для PostgreSQL: pg_waldump, для SAP HANA: hdbreplaylog.

• Из корзины КИС — Bitrix24, AmoCRM, Power BI.

• Из интеграционных логов — парсинг JSON/XML.

• Из неаллоцированного пространства — низкоуровневое чтение дисков (dd, FTK Imager).

• Оценка полноты — R = N_восстановленных / N_удаленных. 🧲

Глава 11. Техническая перекрестная верификация между подсистемами КИС

Сравнение данных из разных подсистем. 🌐 Технические методы:

• Идентификация связанных записей — по номеру заказа из ERP и ID сделки из CRM.

• Выгрузка данных из каждой подсистемы (CSV, JSON).

• Сравнение с помощью Python (pandas) — вычисление расхождения Δ = |X_A — X_B| / X_B.

• Анализ временных меток — построение временной линии.

• Документирование — таблица расхождений. 📊

Глава 12. Техническая оценка достоверности и целостности данных КИС

Метрологический подход: 📏

• Хеш-суммы SHA-256 — для всех выгруженных файлов.

• Сравнение с резервными копиями.

• Перекрестная верификация — факт считается доказанным при подтверждении двумя независимыми источниками.

• Статистическая оценка — p-value для аномалий (<0,001).

• Указание погрешности — временные метки ±1 с, суммы ±0,01%. 🔬

Глава 13. Техническое противодействие уничтожению доказательств

Недобросовестная сторона может попытаться удалить данные. 🚫 Технические контрмеры:

• Автоматический экспорт логов через API.

• Немедленное создание бэкапов всех подсистем.

• Анализ теневых копий VSS.

• Запрос резервных копий у провайдера.

• Фиксация факта удаления в логах. 🛡️

Глава 14. Техническая документация и цепочка хранения (chain of custody)

Chain of custody — критически важна. 📑 Технический протокол:

• Регистрация каждого файла — имя, размер, хеш SHA-256.

• Видеофиксация процесса выгрузки.

• Хранение оригиналов на защищенном носителе.

• Передача данных только по акту.

• Уничтожение копий после завершения дела по акту. 🔒

Глава 15. Заключение: компьютерная экспертиза КИС — фундамент правосудия

Компьютерная экспертиза корпоративных информационных систем (КИС) для подачи иска в суд — это техническая дисциплина, требующая знаний ERP (1С, SAP, Dynamics), CRM (Salesforce, Bitrix24, AmoCRM), интеграций, баз данных, логов. 🟩 В статье представлены технические методы: анализ .1CD, techlog, redo logs HANA, SM20, Field History Tracking, логов интеграций, восстановление удаленных данных. Три кейса (1С+WMS, Salesforce+телефония, SAP+Salesforce) демонстрируют применимость. Компьютерная экспертиза корпоративных информационных систем (КИС) для подачи иска в суд — единственный способ получить технически обоснованные доказательства. Союз «Федерация судебных экспертов» (https://kompexp.ru/) готов помочь. Обращайтесь! 🟩⚖️🏗️🔧🚀