Экспертиза №134510

В рамках проведенной экспертизы были исследованы объекты, представляющие собой цифровую информацию и программно-аппаратный комплекс, необходимый для ее функционирования и анализа. Исследование сосредоточилось на компонентах, имеющих отношение к бухгалтерской системе.

Основные характеристики исследованных объектов включают:

• Флеш-накопитель – съемный носитель информации, на котором были предоставлены цифровые данные.
• База данных программной платформы "1С: Бухгалтерия" – основная сущность исследования, предназначенная для ведения бухгалтерского и налогового учета.

Файлы, подвергшиеся анализу, имели следующие параметры:

• Файл с расширением .1CD, являющийся, предположительно, основным файлом базы данных для приложений 1С:Предприятие. Один из файлов, "1Cv8 - копия.1CD", имел размер 633 155 584 байт, а основной файл "1Cv8.1CD" – 633 675 776 байт.
• Файл с расширением .lgd, предположительно, представляющий собой хранилище для журнала регистрации событий в системе "1С:Предприятие". Его размер составлял 3 088 384 байт.

Исследование проводилось в среде, использующей конфигурацию "Бухгалтерия предприятия, редакция 2.0 (2.0.65.19)" в рамках программной платформы "1С:Предприятие" версии 8.3.

Первоочередной целью данной компьютерно-технической экспертизы был детальный анализ предоставленных цифровых доказательств для ответов на критически важные вопросы, касающиеся эксплуатационной целостности и взаимодействия пользователей со специализированной бухгалтерской базой данных. Эксперты-специалисты приняли на себя сложную задачу по исследованию флеш-накопителя, содержащего копию базы данных платформы «1С:Предприятие», которая была специально сконфигурирована для «Бухгалтерии предприятия, редакция 2.0». Это включало скрупулезную реконструкцию хронологии событий, идентификацию действий пользователей и подробное документирование модификаций, внесенных в базу данных на протяжении определенного периода. Основные задачи включали установление точных дат и времени доступа пользователей к базе данных, начиная с 1 июня 2016 года, документирование каждого случая изменения данных, будь то добавления, удаления или замены, а также идентификацию конкретных пользователей и вычислительных устройств, участвовавших в этих операциях на основе доступной информации журнала событий. Достижение этих целей потребовало глубокого понимания архитектуры «1С:Предприятие», в частности ее механизмов журналирования, а также применение надежных методов цифровой криминалистики для обеспечения достоверности и обоснованности полученных результатов.

Одной из значительных особенностей, выявленных в процессе исследования, стала специфика ведения журналов событий в базе данных. Хотя платформа «1С:Предприятие» ведет регистрационный журнал, способный фиксировать различные действия, функция детализированной истории изменений, предназначенная для отслеживания состояния отдельных записей данных до их модификации, не была активирована в исследуемом экземпляре базы данных. Это конфигурационное ограничение означало, что, несмотря на возможность точного определения дат и времени внесения изменений, было невозможно однозначно установить конкретное содержание данных до этих изменений, поскольку система не сохраняла исторические снимки. Для преодоления этого ограничения эксперты применили специализированные методы цифровой криминалистики, сосредоточившись на корреляции событий в доступных записях журнала и анализе внутренней структуры файлов базы данных «1С». Они систематически фильтровали и извлекали соответствующие записи из регистрационного журнала базы данных, используя встроенный функционал «Сервис – Журнал регистрации» программного обеспечения «1С:Предприятие» версии 8.3, и применяли специфические фильтры для изоляции сеансов входа пользователей и событий изменения данных. Исследование проводилось в строгом соответствии с принципами цифровой криминалистики, гарантируя целостность и неизменность первоначального цифрового доказательства путем работы исключительно с его криминалистически проверенной копией. Комплексный анализ данных осуществлялся с использованием профессиональных инструментов, включая персональный компьютер под управлением операционной системы Windows 7 и саму платформу «1С:Предприятие», наряду со стандартным программным обеспечением для обработки текста, для точной обработки, интерпретации и представления полученных данных. Применяемые методологии, основанные на передовых практиках, таких как те, что изложены в Федеральном законе «О государственной судебно-экспертной деятельности в Российской Федерации» и утвержденных практических руководствах по компьютерно-технической экспертизе, позволили провести тщательное исследование цифровых артефактов и представить объективный отчет о взаимодействиях с базой данных, зафиксированных в ее системных журналах.

1. Установить даты и время входа в базу данных за определенный период, а также даты и время внесения в неё изменений.
2. Указать, какие изменения вносились (дополнения, удаления, замена данных) в каждом случае, а также сведения о данных, которые имелись до внесения изменений.
3. Указать индикационные признаки пользователей и устройств входа, включая, но не ограничиваясь: логин, имя, IP-адрес; которыми осуществлялся вход и вносились изменения в базу данных.