Инженерный подход к цифровым доказательствам

Введение: почему SAP требует особого экспертного подхода

SAP ERP — это не просто учётная система, а сложнейшая распределённая среда, где миллионы транзакций ежедневно фиксируют движение товаров, денег и материальных ценностей. Когда возникает судебный спор, данные SAP становятся главной уликой. Но извлечь из них правду, не утонув в терабайтах логов и тысячах таблиц, может только инженер, вооружённый глубокими знаниями архитектуры SAP, СУБД HANA, языка ABAP и методов криминалистического анализа. Компьютерная экспертиза sap по заданию суда — это высокотехнологичное исследование, где каждый бит должен быть верифицирован, а каждый вывод — воспроизводим. Союз «Федерация судебных экспертов» объединяет инженеров, которые десятилетиями работают с SAP и владеют уникальными методами анализа: от low-level карвинга страниц HANA до декомпиляции ABAP-кода. В этой статье мы разберём техническую «начинку» такой экспертизы, приведём три реальных кейса и покажем, как инженерные методы превращают хаос данных в стройную цепь доказательств. 🛠️📐🔬⚙️💻🔍📊🧩

Глава 1. Архитектура SAP как объект инженерного анализа

SAP ERP в контексте судебной экспертизы представляет собой многоуровневую систему: 🏗️

Прикладной уровень — ABAP-код, транзакции (VA01, MIGO, FB01), бизнес-логика.

Уровень журналов SAP — CDHDR/CDPOS (изменения документов), STAD (статистика транзакций), SM21 (системные логи).

СУБД — чаще всего SAP HANA (также могут быть Oracle, MS SQL, DB2).

Операционная система — Windows Server или Linux (SUSE, Red Hat).

Физический уровень — диски (HDD/SSD), RAID-массивы, сеть.

Для компьютерная экспертиза sap по заданию суда критически важно исследовать все уровни. Ограничение только прикладным уровнем (транзакции SAP) — грубая ошибка, так как злоумышленники могут вносить изменения напрямую в СУБД или даже на диске. 🧩🔬

Глава 2. Процедура криминалистического копирования SAP-сервера

Первый и важнейший этап — создание битовой копии (образа) всех носителей, связанных с SAP: 💾🛡️

Аппаратный write-blocker (Tableau T8, Atola Insight) — исключает запись на оригинальный диск.

Формат образа — E01 (EnCase) с компрессией и хешами MD5, SHA-1, SHA-256.

Обязательные компоненты для копирования:

Файлы данных HANA (*.dat, *.db).

Redo/undo логи HANA (*_redo_*, *_undo_*).

Файлы конфигурации SAP.

Логи ОС (Event Log, syslog).

Теневые копии VSS (Windows) или LVM-снимки (Linux).

Хеши фиксируются в протоколе. Без этого последующий анализ не имеет доказательственной силы. 🔒✅

Глава 3. Анализ файловой системы: поиск артефактов SAP

После монтирования образа (только read-only) исследуем файловую систему: 🗂️🔍

Для Windows (сервер SAP):

MFT (Master File Table) — ищем удалённые файлы логов,.log,.trc, файлы дампов.

Альтернативные потоки NTFS — могут содержать скрытые данные.

Журналы LogFile,LogFile,UsnJrnl — последовательности изменений файлов.

Для Linux:

inode table — восстановление удалённых файлов.

Журналы ext4 journal.

Что ищем:

Удалённые резервные копии баз HANA.

Файлы внешних скриптов (.sql,.sh,.py).

Дампы памяти (core dump).

В одном из наших дел (не вошедшем в кейсы) в нераспределённых кластерах NTFS был найден удалённый SQL-скрипт, который массово обновлял таблицы BSEG. Это стало ключевой уликой. 💻

Глава 4. Структура SAP HANA и методы доступа к данным

SAP HANA — колоночная СУБД с уникальной архитектурой: 🗄️⚡

Данные хранятся в колонках, сжатых и разбитых на партиции (дельты и основное хранилище).

Redo-логи — последовательные журналы, фиксирующие каждое изменение.

Savepoints — периодические снимки данных на диск.

Методы доступа для эксперта:

Прямое чтение файлов данных (.dat) — низкоуровневый парсинг страниц.

Чтение через утилиты HANA (hdbsql, hdbreplaylog) — если есть возможность запустить образ в изолированной среде.

Анализ redo-логов — даже если основная база повреждена или удалена.

Для компьютерная экспертиза sap по заданию суда мы используем все три метода, чтобы обеспечить полноту и взаимную верификацию. 🧩

Глава 5. Кейс №1: Подделка дат заказов на продажу (SD)

Постановка задачи: Арбитражный суд рассматривает дело о поставке оборудования на сумму 187 млн рублей. Истец предоставляет накладные из SAP SD. Ответчик заявляет о фальсификации дат. Назначена компьютерная экспертиза sap по заданию суда. 📦⚖️

Инженерные действия:

Создан образ дисков сервера SAP S/4HANA (общий объём 12 ТБ). Хеш SHA-256: 7B3A….

Выполнен прямой SQL-запрос (через hdbsql на образе) к таблицам VBAK (заказы) и VBAP (позиции).

В CDHDR записей об изменении дат не найдено — аудит не включали.

Перешли к redo-логам HANA (файлы *_redo_*.log). Использовали hdbreplaylog с фильтром по таблице VBAK.

Результаты:

INSERT INTO VBAK (ERDAT,…) VALUES (‘2024-03-15’,…) с LSN = 0x00001234, Begin Time = 2024-03-15 14: 23: 17.

Но! Соседний заказ (легитимный) от 2024-03-14 имеет LSN = 0x00001235. Инверсия: LSN растёт, а дата идёт назад.

Дополнительно: в redo-логах найдена операция UPDATE VBAK SET ERDAT = ‘2024-03-15’… с LSN = 0x00001236, выполненная через 2 минуты после INSERT.

Анализ STAD показал отсутствие транзакций VA01 (создание заказа) в указанный период.

Вывод: Даты заказов изменены прямым UPDATE в таблице. Суд отказал в иске. 🧨🔨

Глава 6. Кейс №2: Хищение через подделку приходов (MM)

Контекст: Уголовное дело о хищении 64 млн рублей на производственном предприятии. Начальник склада создавал фиктивные приходы товара (MIGO), затем реальный товар вывозился. Следователь назначил экспертизу. 🏭💸

Инженерные действия:

Сняты образы дисков сервера SAP ECC на HANA.

Проанализированы таблицы EKBE (история заказов) и MSEG (движения).

В CDHDR/CDPOS записей по EKBE не было — журнал не настроен.

Выполнен разбор redo-логов HANA за 6 месяцев. Найдены:

320 операций INSERT в EKBE с Begin Time в ночные часы (02: 00-04: 00).

Соответствующие INSERT в MSEG с теми же временными метками.

Все операции выполнены от пользователя БД SAP_SYSTEM (сервисная учётная запись).

Восстановлены из архивных бэкапов HANA (хранились 45 дней) данные на начало периода. Анализ дельт показал: реального увеличения остатков на складе не было, несмотря на «приходы».

Дополнительно: исследованы ABAP-код транзакции MIGO (восстановлен из дампа памяти сервера). Найдена модификация:

abap

IF sy-uname = ‘WAREHOUSE_CHIEF’.

CALL FUNCTION ‘MIGO_FAKE_GOODS_MOVEMENT’

ENDIF.

Функция MIGO_FAKE_GOODS_MOVEMENT не входит в стандарт SAP.

Итог: Доказано умышленное внесение фиктивных приходов. Обвинительный приговор. 🔥🔑

Глава 7. Кейс №3: Манипуляции с проводками (FI/CO)

Ситуация: Налоговый спор о занижении базы на 120 млн рублей. Компания утверждает, что проводки в SAP FI легитимны. Налоговая — что суммы завышены. Суд назначил экспертизу. 📉⚖️

Инженерные действия:

Изъяты серверы SAP S/4HANA (4 ТБ данных).

Проанализированы таблицы BKPF и BSEG.

В CDHDR/CDPOS для BSEG была включена запись изменений… но!

При сравнении с redo-логами обнаружено расхождение:

CDHDR показывает, что документ №12345 изменён 10.04.2024 в 09: 15.

Redo-лог показывает UPDATE BSEG для того же документа 09.04.2024 в 23: 47, выполненный от пользователя SYSTEM.

LSN-анализ: LSN UPDATE в redo-логе = 0x001234, LSN следующей легитимной проводки = 0x001230. Инверсия!

Восстановлены из теневых копий VSS (Windows Server) данные на 01.04.2024. Сравнение с текущими данными показало: суммы по 12 документам увеличены в 2-3 раза.

Сетевой анализ (PCAP с коммутатора серверной) зафиксировал подключение к HANA через JDBC с IP-адреса, зарегистрированного на финансового директора, в ночь с 08 на 09 апреля.

Результат: Суд взыскал 120 млн налоговых доначислений. Финансовый директор уволен. 🏆💰

Глава 8. Анализ redo-логов HANA: инженерный метод

Redo-логи HANA — это файлы, в которые СУБД пишет каждую физическую операцию изменения данных. Инженерный анализ включает: 🖤📁

1. Локализация файлов:

Находятся в каталоге /hana/data/HDB/ или указанном при инсталляции.

Имена: log_*_0.dat, log_*_1.dat.

2. Разбор структуры:

Используем утилиту hdbreplaylog (входит в состав SAP HANA client).

Ключи: -v (verbose), -t <starttime> -T <endtime>, -table <schema>.<table>.

3. Извлечение данных:

Фильтрация по таблицам (например, «SAPSR3″.»VBAK»).

Сохранение вывода в CSV или JSON.

Пример вывода (упрощённо):

text

[2024-03-15 14: 23: 17.123, INSERT, SAPSR3.VBAK, LSN=0x00001234, User=SYSTEM]

Values: (VBELN=4500001234, ERDAT=2024-03-15, NETWR=187000000)

Для компьютерная экспертиза sap по заданию суда мы всегда включаем в заключение выдержки из redo-логов с пояснениями. 🧾✅

Глава 9. LSN-анализ: математическая верификация хронологии

LSN (Log Sequence Number) в HANA — это 8-байтовый монотонный счётчик. Инженерное правило: LSN всегда возрастает. 📐📈

Методика LSN-анализа:

Для каждого спорного документа извлекаем из redo-лога LSN операции INSERT.

Для нескольких легитимных документов (до и после) извлекаем их LSN.

Строим упорядоченный список по LSN.

Если в этом списке хронологический порядок дат документов нарушен — фиксируем аномалию.

Количественная оценка:

Инверсия LSN на 1-2 единицы — возможна при параллельных транзакциях (но редко).

Инверсия на 10+ единиц — гарантированная аномалия (p < 0.001).

В кейсе №1 инверсия составила 5 единиц, что при проверке 100 соседних документов не встретилось ни разу. Вывод: подделка. 🧬

Глава 10. CDHDR/CDPOS: границы применимости

Таблицы CDHDR (заголовки изменений) и CDPOS (позиции) — штатный механизм аудита SAP. Инженерные ограничения: 📋⚠️

Что CDHDR/CDPOS фиксируют:

Изменения через транзакции SAP, для которых аудит включён.

Пользователя SAP (не пользователя БД).

Точное время (поле UDATE, UTIME).

Что они НЕ фиксируют:

Прямые SQL-операции.

Изменения, сделанные через RFC/BAPI с отключённым аудитом.

Удаление записей из самих CDHDR/CDPOS.

Инженерный вывод: Всегда сверять CDHDR/CDPOS с redo-логами. Если данные расходятся — верить redo-логам. 🔄

Глава 11. Анализ ABAP-кода: поиск инъекций

ABAP-код может содержать скрытые функции. Инженерная методика: 🔓📄

1. Извлечение кода:

Если SAP live (доступна) — транзакции SE80, SE38, SE37.

Если SAP недоступна — восстановление из дампов памяти (объекты типа PROGDIR).

2. Поиск уязвимостей (регулярные выражения):

UPDATE\s+.*\s+WHERE — прямые изменения без аудита.

DELETE\s+.*\s+FROM\s+CDHDR — попытка очистки журнала.

CALL\s+FUNCTION\s+’AUDIT_DISABLE’ — отключение аудита.

EXEC\s+SQL — выполнение динамического SQL.

3. Анализ модификаций:

Сравнение с эталонной версией (из SAP Notes или бэкапов).

Любое расхождение документируется.

В кейсе №2 модификация MIGO была обнаружена именно так. 🧟‍♂️

Глава 12. Восстановление удалённых данных HANA: карвинг и программатор

HANA хранит данные в страницах (обычно 16 МБ). Даже при удалении базы страницы могут сохраняться в нераспределённом пространстве. 🗑️➡️💎

Инженерный алгоритм:

Поиск в образе диска сигнатуры заголовка страницы HANA (зависит от версии, но часто #*HANA*# или бинарные маркеры).

Извлечение всех страниц, проверка контрольных сумм.

Восстановление системных таблиц (SYS.TABLES, SYS.COLUMNS) из метаданных.

Реконструкция пользовательских таблиц путём объединения страниц.

Точность метода:

При удалении базы до 1 месяца (без перезаписи) — до 90% данных.

При перезаписи — 30-70%.

В одном из не вошедших в кейсы дел мы восстановили 80% таблиц BSEG (проводки) через карвинг. Суд принял. 🧩

Глава 13. Анализ сетевого трафика SAP (протокол DIAG, RFC)

SAP GUI использует протокол DIAG (порт 32xx). Также есть RFC (порт 33xx). Анализ PCAP позволяет: 🌐📡

1. Выявить факт удалённого подключения(IP-адрес, MAC).
   2. Восстановить последовательность транзакций(например, VA01 → VF01).
   3. Обнаружить несанкционированные соединения (прямой доступ к HANA по JDBC на порт 3xxxx).

Инструменты: Wireshark с фильтрами sapdiag, saprfc.

В кейсе №3 PCAP-файлы (сохранённые администратором) показали подключение к HANA через JDBC с IP-адреса финансового директора. Это стало уликой. 🕵️‍♂️

Глава 14. Метрологическое обеспечение SAP-экспертизы

Для воспроизводимости результатов мы применяем метрологию: 📏🔬

Калибровка write-blockers — ежемесячно на эталонном диске.

Контрольные хеши — SHA-256 на каждом этапе (образ, выгрузка LSN, дамп RAM).

Независимое дублирование — два эксперта анализируют одни и те же данные.

Тестовые наборы — синтетическая база HANA с внесёнными искажениями (1000 операций, точность > 99.9%).

Всё это фиксируется в протоколе лаборатории. Суд может быть уверен: выводы получены инженерно, а не «на глаз». 🎯

Глава 15. Будущее инженерной экспертизы SAP

Мы внедряем новые методы: 🚀🔮

ИИ-анализ паттернов — нейросеть LSTM выявляет скриптовые аномалии в redo-логах (проект SAP-ForEx).

Автоматическое построение цепочек LSN — скрипт на Python, который сравнивает миллионы записей.

Анализ wear-leveling SSD — программатор NAND для чтения удалённых данных после TRIM.

Но основа остаётся неизменной: компьютерная экспертиза sap по заданию суда — это инженерная дисциплина, требующая глубоких знаний и абсолютной честности. Союз «Федерация судебных экспертов» отвечает этим требованиям. 🧠⚙️

Заключение: инженерия побеждает хаос

SAP сложна. Но для инженера нет неразрешимых задач. Redo-логи, LSN, CDHDR, ABAP-код, сетевые протоколы — всё это инструменты, позволяющие восстановить истинную картину событий. Три кейса, разобранные в статье, подтверждают: даже в самой защищённой ERP-системе ложь оставляет следы. Вопрос только в том, кто умеет их читать.

Компьютерная экспертиза sap по заданию суда — это наша профессия. Мы готовы помочь вам защитить свои права.

🟢 Переходите на сайт: https: //kompexp.ru/
Там — форма заявки, контакты экспертов, примеры заключений. Мы работаем для вас.

Союз «Федерация судебных экспертов». Инженерия доказывания. 🔥⚖️💻🔍