Независимая компьютерно-техническая экспертиза №17964, 2013 г.

Исследование базы данных 1С-Бухгалтерия

Оборудование

Cистемный блок № S/N: 1387****, жесткий диск Barracuda 7200.7, модель SТ340014А, S/N: 3JV3****.

На разрешение компьютерно-технической экспертизы поставлены следующие вопросы:

1. Имеется ли на жестком диске информация, свидетельствующая о внесении изменений в бухгалтерскую отчетность ООО «*******», зафиксированных в базе 1С в качестве изменений с датами между 2007 г и 2012 г, но реально произведенных в более поздний период. Если такие изменения вносились, то кем и в какое время (год, дата) внесены изменения, в чем они заключаются.
2. Когда (дата и год) в бухгалтерскую отчетность ООО «*******» внесены контрагенты Ааааааа А.А., Ббббббб Б.Б., Дддддддд Д.Д.
3. Имеется ли архив бухгалтерской отчетности ООО «*******»
4. Взамен каких первичных документов в базу данных введены приходно-кассовые ордера от Ааааааа А.А., Ббббббб Б.Б. и Дддддддд Д.Д.
5. Когда (дата и год) в базу данных в базу данных 1С внесены каждый из 26 приходно-кассовых ордеров от Ааааааа А.А.; 24 ордера от Ббббббб Б.Б. и 23 ордера от Дддддддд Д.Д.

Экспертом назначен: Мочалов Вячеслав Сергеевич.

Методика исследования

Исследование проведено на основе:

• специальных знаний о принципах хранения данных на магнитных цифровых носителях (в частности на жестком диске);
• практических навыков восстановления утерянной и удаленной информации с цифровых носителей;
• владения средствами автоматического поиска данных по маске в файловой системе и внутри файла, в том числе, с анализом содержимого файлов;
• владения специальными знаниями о принципах работы программных средств: операционная система Windows XP, база данных 1С версии 7.7.

В ходе проведения исследования экспертом применялись следующие методы:

• применение частных методик восстановления информации, основанных на профессиональном опыте и теоретических знаниях о принципах хранения данных на жестком диске;
• использование средств автоматического поиска данных по маске с анализом содержимого файлов;
• Анализ содержимого журнала регистрации программы 1С.
• Анализ содержимого системного журнала событий Windows.

В ходе исследования проводился анализ содержимого журнала регистрации бухгалтерской базы 1С, находящейся по адресу D:\buh\*******_Бух\1SBBDB\…

Журнал регистрации содержит информацию о том, какие события происходили в информационной базе в определенный момент времени или какие действия выполнял тот или иной пользователь. Данный журнал представляет собой набор последовательных записей, хранящихся в файле D:\buh\*******_Бух\1SBBDB\SYSLOG\1cv7.mlg. Журнал ведется путем добавления новых записей в конец файла. Таким образом, события произошедшие в самом начале использования данной базы, хранятся в начале файла 1cv7.mlg, а последние – в конце. То есть последовательность записей, описывающих те или иные события базы, является хронологической последовательностью, по которой можно судить об очередности событий. Несмотря на то, что изменение системной даты в Windows приводит к тому, что события в журнале регистрации базы 1С могут быть зарегистрированы с любой необходимой пользователю датой, очередность операций можно будет установить по очередности соответствующих записей в файле 1cv7.mlg. Сам факт изменения системной даты в определенные периоды пользования компьютером, можно подтвердить, анализируя системный журнал событий Windows, так как у записей в нем в таких случаях также нарушается порядок.

Выводы

По первому вопросу

На исследуемом жестком диске имеется информация, свидетельствующая о внесении изменений в бухгалтерскую отчетность ООО «*******», зафиксированных в базе 1С в качестве изменений с датами между 2007 г и 2012 г, но реально произведенных в более поздний период.

Такой вывод сделан на основе изучения журнала регистрации 1С, а именно порядка записей в файле 1cv7.mlg. Изучение показало, что в периоды с 16 часов 33 минут 49 секунд 18 января 2013 года по 12 часов 15 минут 13 секунд 8 февраля 2013 года, а также в промежуток времени между 13 часами 59 минутами 40 секундами и 18 часами 18 минутами 16 секундами 10 марта 2013 года были совершены операции в базе 1С (Открытие, создание, проведение, удаление документов), которые зарегистрировались в программе с датами от декабря 2007 года до декабря 2012 года. При этом установлено, что для получения такого результата пользователем менялась только системная дата, а время оставалось неизмененным. Это привело к нехарактерному для журнала регистрации виду, когда в десятках подряд идущих записях меняются даты (Год, месяц, день), но сохранен сквозной порядок времени, постепенно возрастающий в течение нескольких часов.

Например, 10 марта 2013 года между 13 часами 59 минутами и 18 часами 18 минутами в течение 4 часов 18 минут пользователь несколько раз изменил системную дату компьютера в диапазоне с декабря 2007 года по декабрь 2012 года, произвел операции с базой данных 1С при различных значениях системной даты, а затем вернул системную дату в ее прежнее состояние.

Вывод об изменениях системной даты также строится на анализе системных журналов событий Windows. Периоды нарушения хронологического порядка записей в системных журналах Windows совпадают с такими нарушениями в журнале регистрации 1С. Например, на следующем рисунке отображено такое характерное нарушение в порядке записей в системном журнале Windows, установленной на исследуемом жестком диске.

Также на диске обнаружены две резервные копии исследуемой базы, созданные с датами последних изменений файлов: 11.11.2008 и 30.03.2009. Путь к данным копиям указан в выводах по третьему вопросу данной экспертизы. Тех записей, которые предположительно вносились задним числом в описанные выше периоды, данные копии не содержат.

По второму вопросу

Ааааааа А.А. внесен в бухгалтерскую базу в качестве контрагента в период времени с 16 часов 33 минуты 49 секунд 18 января 2013 года по 12 часов 15 минут 13 секунд 8 февраля 2013 года

Ббббббб Б.Б. внесен в бухгалтерскую базу в качестве контрагента в период времени с 16 часов 33 минуты 49 секунд 18 января 2013 года по 12 часов 15 минут 13 секунд 8 февраля 2013 года

Дддддддд Д.Д. внесен в бухгалтерскую базу в качестве контрагента в период времени с 16 часов 33 минуты 49 секунд 18 января 2013 года по 12 часов 15 минут 13 секунд 8 февраля 2013 года

По третьему вопросу

На жестком диске обнаружены две резервные копии исследуемой базы: копия 1 – с последней датой редактирования – 11.11.2008, находящаяся по адресу: “d:\Buh1\Buh\*******_Бух\1SBBDB\..” и копия 2 – с последней датой редактирования 30.03.2009, находящаяся по адресу “d:\Arhiv 1C\20090411\Buh\*******_Бух\1SBBDB\..”.

По четвертому вопросу

Достоверно установить, взамен каких первичных документов в базу данных введены приходно-кассовые ордера от Ааааааа А.А., Ббббббб Б.Б. и Дддддддд Д.Д., не представляется возможным.

По пятому вопросу

Выводы по данному вопросу представлены в виде следующих таблиц, где

“Дата документа” – значение даты, описываемого документа, зафиксированное в базе данных.

“Фактическая дата создания документа” – ответ на поставленный вопрос по каждому документу, представленный в виде временного интервала: “С год-месяц-день; часы-минуты-секунды По год-месяц-день; часы-минуты-секунды.”