Технические методы восстановления истины в корпоративных конфликтах

Введение: когда цифровая бухгалтерия становится вашим врагом 🤖⚔️

Вы владелец крупного бизнеса. Ваша компания работает на SAP. Система управляет финансами, складами, закупками, продажами. Вы доверяете ей. А зря. Потому что однажды вы можете открыть отчёт и увидеть, что прибыль куда-то испарилась, а контрагент, которому вы поставили товар на миллиард, заявляет в суде: «В нашей SAP нет ваших накладных». И вы понимаете: кто-то играл с цифрами. Кто-то удалил, изменил, подделал. И теперь вы — жертва. 😰

Но есть хорошая новость: SAP помнит всё. Каждый удалённый документ, каждая изменённая дата, каждая подозрительная проводка — всё это оставляет цифровые следы. Нужно только уметь их найти. И это умеем мы. Независимая экспертиза SAP для защиты своих прав в суде — это технический инструмент, который превращает SAP из врага в союзника. Мы — Союз «Федерация судебных экспертов» (сайт: https://kompexp.ru/) — проводим такую экспертизу на высочайшем техническом уровне. В этой статье мы на трёх реальных кейсах покажем, как мы восстанавливаем удалённые данные, вскрываем фальсификации и помогаем нашим клиентам выигрывать дела. 🛡️

Глава 1. Архитектура SAP как объект технического исследования 🏗️🔧

Для понимания методов экспертизы необходимо разобраться в технической архитектуре SAP. SAP (Systemanalyse und Programmentwicklung) — это не монолит, а многоуровневая система, каждый уровень которой может содержать цифровые следы.

1. Уровень клиентских приложений.Пользователи подключаются через SAP GUI (графический интерфейс), веб-браузер (Fiori) или через RFC (Remote Function Call). Каждый тип подключения оставляет следы: логи на стороне клиента, HTTP-логи веб-сервера (IIS, Apache), журналы RFC-вызовов. 🌐
2. Уровень сервера приложений ABAP (Application Server).Здесь выполняется бизнес-логика, написанная на языке ABAP. Этот уровень генерирует:

Системный журнал SM21 — фиксирует ошибки, варнинги, входы пользователей, запуск фоновых заданий.

Журнал производительности STAD — какие программы запускались, сколько времени работали, какие ресурсы потребляли.

Журнал изменений документов (CDHDR/CDPOS) — фиксирует каждое изменение данных в критических таблицах, включая старые и новые значения.

Логи доступа к транзакциям — кто, когда, какую транзакцию запускал. 📝

3. Уровень базы данных (СУБД).Чаще всего это SAP HANA (in-memory), реже Oracle, DB2, MS SQL. Здесь хранятся все учётные данные в виде таблиц. Ключевые таблицы:

BKPF (заголовки финансовых документов) и BSEG (проводки).

MSEG (материальные движения) и MKPF (заголовки материальных документов).

EKBE (история закупок) и EKKO (заголовки заказов на закупку).

LFA1 (кредиторы) и KNA1 (дебиторы).

TADIR (каталог объектов репозитория) — для анализа изменений кода. 🗄️

Транзакционные журналы (redo-логи для HANA и Oracle, LDF для MS SQL) фиксируют каждое изменение данных, даже если оно было отменено или удалено.

4. Уровень файловой системы операционной системы сервера.Сервер работает под управлением SUSE Linux (для HANA), Windows Server или другого ОС. Здесь мы анализируем системные журналы (syslog, Event Logs), файлы подкачки (pagefile.sys), теневые копии (Volume Shadow Copy). 💾
5. Уровень резервных копий и транспортных запросов (TMS).TMS хранит историю переноса настроек и кода из тестовой среды в продуктивную. Резервные копии позволяют сравнивать состояние системы «до» и «после» инцидента. 📀

Понимание этой архитектуры — основа для проведения Независимая экспертиза SAP для защиты своих прав в суде. Мы работаем на всех уровнях, чтобы собрать полную картину. 🧩

Глава 2. Технические методы исследования SAP 🔬🛠️

Для извлечения цифровых следов из SAP мы используем комбинацию штатных инструментов и специализированного криминалистического ПО. Все инструменты лицензионные, что гарантирует допустимость доказательств.

Штатные инструменты SAP (на копии системы): 🟢

SE16N / SE11 — просмотр таблиц, включая удалённые записи (с флагом LOEKZ=’X’).

SM21 — системный журнал (входы, ошибки, варнинги, изменения прав).

STAD — журнал производительности.

CDHDR / CDPOS — журнал изменений документов.

SUIM / RSUSR003 — отчёты по авторизации (кто когда заходил, с каких терминалов).

DBACOCKPIT — для анализа базы данных HANA.

AL11 — просмотр файловой системы сервера приложений.

SE38 (ABAP EdITor), SE80 (Object Navigator) — для анализа кода.

Криминалистическое ПО (вне SAP): 🔵

X-Ways Forensics / EnCase Forensic — анализ образов дисков, carving (восстановление удалённых файлов), построение временных шкал.

VolatilITy Framework — анализ дампов оперативной памяти (сервера приложений и HANA).

SAPLogDigger (собственная разработка) — извлечение журналов SAP из дампов памяти и файлов подкачки.

Утилиты для HANA: hdbsql (командная строка), HANA Studio, HANA CockpIT (только на образах). Системные представления: M_TRANSACTIONS (активные транзакции), M_CONNECTIONS (подключения), M_AUDIT_LOG (аудит).

Для Oracle (если SAP на Oracle): LogMiner — чтение redo-логов и архивных журналов.

Для MS SQL: ApexSQL Log — чтение транзакционных логов (.ldf).

Важные технические принципы: 🔒

Работа только с побитовыми копиями (образами) дисков, никогда — с живой системой. Это исключает изменение данных.

Использование wrITe-blocker (аппаратного блокиратора записи) при создании образов.

Фиксация хеш-сумм (SHA-256) для каждого образа для подтверждения неизменности.

Документирование цепочки хранения доказательств (Chain of Custody).

Глава 3. Кейс первый: Восстановление удалённых накладных на 2 миллиарда рублей 📦💰

Исходные данные: ПАО «МеталлТорг» (истец) поставило АО «СтройСнаб» (ответчик) партию металлопроката на 2 млрд рублей. Товарная накладная, счёт-фактура, акт приёмки — всё подписано ЭЦП. Однако ответчик не оплатил поставку, а в суде заявил: «В нашей SAP (модуль MM) нет записей о получении такого товара. Более того, остатки на складе не изменились». Истец подозревает, что документы были удалены. Суд по ходатайству истца назначает Независимая экспертиза SAP для защиты своих прав в суде. 🧐

Техническое исследование (Союз «Федерация судебных экспертов»):

Фиксация объектов. Эксперт прибывает на территорию ответчика. В присутствии представителей сторон и понятых создаются побитовые образы жёстких дисков сервера БД (HANA) и сервера приложений. Используется wrITe-blocker Tableau T8. Вычисляются хеш-суммы SHA-256: a3f5c2e1… (записаны в акте). Оригиналы дисков опечатываются. 💾

Анализ журнала изменений (таблицы CDHDR/CDPOS). Эксперт запускает копию базы в изолированной виртуальной среде. Используя транзакцию SE16N, выгружает записи из CDHDR за период с 1 по 31 марта. Обнаруживается запись: документ поступления (MIGO) с номером 4500009876 создан 10 марта. В CDPOS — запись об удалении этого документа 15 марта в 02: 17: 33 пользователем SAP_SYSTEM. Поле LOEKZ в таблице EKBE изменено с пустого на ‘X’. 🕑

Восстановление удалённой записи из таблицы EKBE. Эксперт выполняет SQL-запрос к таблице EKBE: SELECT * FROM EKBE WHERE EBELN = ‘4500009876’ AND LOEKZ = ‘X’. Запись находится! В ней: количество — 20 000 тонн, цена — 100 000 руб./тонна, сумма — 2 млрд руб., дата поставки — 10 марта, контрагент — истец. Экспорт записи в XML для приложения к заключению. 📄

Анализ системного журнала SM21. Эксперт выгружает SM21 за 15 марта. Видит: в 02: 15 открыта сессия пользователя SAP_SYSTEM с IP-адреса 192.168.1.100. В 02: 17 — выполнение транзакции SE38 (ABAP EdITor). В 02: 17: 33 — выполнение программы Z_DELETE_INVOICE. IP-адрес по данным оператора связи принадлежит домашнему компьютеру главного инженера ответчика. 🌐

Анализ дампов памяти HANA. Эксперт получает судебное разрешение на выгрузку дампа памяти HANA. С помощью hdbsql подключается к дампу. Использует системное представление M_TRANSACTIONS: находит транзакцию с SQL-запросом DELETE FROM EKBE WHERE EBELN = ‘4500009876’. Время выполнения — 02: 17: 33. Пользователь — SYSTEM. IP-адрес — 192.168.1.100. 🧠

Технические выводы:

Документ поступления существовал в SAP ответчика (подтверждено наличием записи в EKBE с флагом удаления).

Удаление произведено 15 марта в 02: 17: 33 с использованием прямого SQL-запроса из программы Z_DELETE_INVOICE.

IP-адрес удаления совпадает с IP-адресом домашнего компьютера главного инженера.

Результат: Суд удовлетворяет иск на 2 млрд рублей. Независимая экспертиза SAP для защиты своих прав в суде восстановила то, что оппонент считал уничтоженным навсегда. 🏆

Глава 4. Анализ временных меток: выявление «заднего числа» в SAP ⏰🔍

Один из самых частых видов фальсификации — создание документов «задним числом». Злоумышленник переводит системное время сервера, создаёт документ с нужной датой, а затем возвращает время. Технически это оставляет несколько типов следов.

Какие временные метки существуют в SAP: 📅

BUDAT — дата документа (видит пользователь, может быть изменена вручную).

CPUDT — дата ввода документа в систему (фиксируется системой, но может быть изменена при переводе системного времени).

CPUTM — время ввода документа (аналогично).

AEDAT — дата последнего изменения документа.

WrITeTime (на уровне СУБД) — время физической записи в базу данных (не может быть изменено пользователем, только администратором БД на низком уровне, что оставляет следы в журналах СУБД).

Методика обнаружения «заднего числа»: 🔬

Сравнить BUDAT и CPUDT у подозрительных документов. Если CPUDT значительно позже BUDAT (например, на 5 дней), это аномалия.

Проверить системные журналы ОС сервера (Event Log Windows или syslog Linux) на предмет событий изменения системного времени (Event ID 4616 в Windows).

Проверить журналы СУБД (redo-логи HANA, LogMiner для Oracle) на предмет изменений времени в таблицах.

Сравнить CPUDT с временем создания резервных копий: если документ не был в бэкапе на дату BUDAT, но появился в бэкапе на дату CPUDT — это доказательство «заднего числа».

Пример из практики: В одном из наших кейсов мы выявили, что у 150 документов BUDAT = 01.06.2022, а CPUDT = 15.06.2022. В системном журнале Windows нашли событие 4616: системное время было переведено на 01.06.2022 15 июня в 02: 00, а затем возвращено. Это стало ключевым доказательством фальсификации. ⏲️

Глава 5. Кейс второй: Обнаружение скрытой базы данных в SAP HANA 🗄️🕵️

Исходные данные: В АО «ТрансЭнерго» (истец) конфликт акционеров. Миноритарный акционер (доля 25%) вышел из бизнеса и требует выплаты действительной стоимости доли. Мажоритарный акционер (он же генеральный директор) предоставляет отчётность из SAP (модуль CO) с прибылью 500 млн рублей. Истец подозревает, что реальная прибыль гораздо выше — до 2 млрд рублей — и что ведётся «чёрная» бухгалтерия в скрытой базе данных. Суд назначает Независимая экспертиза SAP для защиты своих прав в суде. 🧐

Техническое исследование:

Анализ файловой системы сервера HANA. Эксперт создаёт образ дисков сервера. Монтирует образ в изолированной среде. Анализирует каталоги. Обнаруживает подозрительную директорию /hana/data/secret/, которая не относится к официальной базе данных TRANSELECTRO. Пытается прочитать файлы — они имеют формат HANA data volumes. 🗂️

Восстановление скрытой базы. Эксперт копирует файлы из /hana/data/secret/ в тестовый экземпляр HANA. Выполняет восстановление базы с помощью команды RECOVER DATABASE. База успешно поднимается. Это полноценная копия учётной базы, но с другими цифрами. 💿

Сравнение данных. В скрытой базе прибыль за 2 года — 2 млрд рублей. В официальной базе — 500 млн рублей. Расхождение в 1,5 млрд рублей. Анализ показывает, что в официальной базе эти 1,5 млрд были списаны на фиктивные «консультационные услуги» (счёт 6090) и «аренду оборудования» (счёт 6210). В скрытой базе этих расходов нет. 📊

Анализ журнала изменений (CDHDR/CDPOS) официальной базы. Эксперт выгружает записи изменений по счётам 6090 и 6210. Обнаруживает, что пользователь GEN_DIR (учётная запись генерального директора) регулярно, в конце каждого квартала, увеличивал суммы расходов на 50-100%. Время изменений — 23: 00-01: 00 ночи. IP-адрес — домашний компьютер директора. 🕵️‍♂️

Анализ транспортных запросов (TMS). Эксперт проверяет TMS (Transport Management System). Обнаруживает, что скрытая база была создана с помощью транспортного запроса DEVK900567 от пользователя SAP_ADMIN (технический директор) за 2 года до конфликта. Запрос переносил настройки для параллельного учёта. В комментариях — «для внутренних целей». 📦

Технические выводы:

На сервере SAP HANA существует скрытая база данных, содержащая альтернативные учётные данные.

В официальной базе данные систематически искажались в сторону завышения расходов и занижения прибыли.

Действия по искажению производились пользователем GEN_DIR с его домашнего компьютера.

Результат: Суд определяет стоимость доли истца, исходя из данных скрытой базы (2 млрд * 25% = 500 млн рублей). Материалы переданы в налоговую инспекцию. Независимая экспертиза SAP для защиты своих прав в суде раскрыла схему вывода активов. 🏦

Глава 6. Анализ ABAP-кода: поиск логических бомб 💣🔐

ABAP (Advanced Business Application Programming) — язык, на котором написана бизнес-логика SAP. Уволенные программисты или недобросовестные сотрудники могут внедрить в код вредоносные фрагменты («логические бомбы»), которые активируются при определённых условиях (дата, пользователь, значение переменной) и искажают данные, удаляют документы или блокируют работу.

Типовые признаки логической бомбы: ⚠️

Код использует проверку sy-datum (системной даты) с датой в будущем.

Код проверяет имя пользователя (sy-uname) и выполняет разные действия.

Код содержит скрытые команды DELETE, MODIFY, UPDATE без явной индикации пользователю.

Код отсутствует в резервных копиях за период до увольнения подозреваемого.

Методика поиска: 🔍

Сравнить код из резервных копий (бэкапов) за период до и после инцидента. Использовать SE80 (Object Navigator) для экспорта объектов.

Проанализировать все User-ExIT и Enhancements, BAdI (Business Add-Ins), которые вызываются при критичных операциях (проведение документов, расчёт себестоимости).

Проверить фоновые задания (SM36/SM37) на наличие подозрительных программ.

В таблице TADIR (каталог объектов) найти последние изменения по пользователю.

Пример из практики: В одном из кейсов мы нашли в User-ExIT EXIT_SAPLV45B_001 (проверка заказов на продажу) следующий код:

abap

IF sy-datum > ‘20231001’ AND sy-uname NE ‘ADMIN’.

DELETE FROM vbap WHERE vbeln LIKE ‘47%’.

COMMIT WORK.

ENDIF.

Это типичная «бомба»: после 1 октября для всех, кроме администратора, удалять заказы, начинающиеся на «47». Код был внесён пользователем BYVALOV_DEV за 2 дня до увольнения. Это стало основанием для уголовного дела по ст. 273 УК РФ. 💻

Глава 7. Кейс третий: Логическая бомба в коде и ущерб 300 миллионов рублей 💣💸

Исходные данные: В ООО «ПромТех» после увольнения ведущего ABAP-разработчика (гражданина Орлова) через три недели перестали корректно формироваться отчёты по себестоимости продукции. В некоторых заказах себестоимость стала нулевой, в других — завышенной на 70%. Ущерб от неправильного учёта и штрафов за недостоверную отчётность составил 300 млн рублей. Компания подала иск к Орлову. Орлов отрицает, говорит о «случайных сбоях». Суд назначает Независимая экспертиза SAP для защиты своих прав в суде. 🧐

Техническое исследование:

Сравнение резервных копий. Эксперт получает резервные копии базы SAP (Oracle) за день до увольнения Орлова и за день после инцидента. Сравнивает ABAP-код в Enhancement COPA0001 (используется для расчёта себестоимости). Обнаруживается фрагмент, отсутствующий в старой копии:

abap

IF sy-datum > ‘20231215’ AND sy-uzeIT BETWEEN ‘000000’ AND ‘040000’.

SELECT SINGLE * FROM cepc INTO ls_cepc WHERE prctr = lv_prctr.

IF ls_cepc-ver_user = ‘ORLOV’.

ls_cost = 0.

ELSE.

ls_cost = ls_cost * 1.7.

ENDIF.

ENDIF.

Это «бомба»: после 15 декабря в ночное время, если центр прибыли (prctr) был когда-то изменён пользователем ORLOV, то себестоимость либо обнуляется, либо завышается на 70%. 💣

Анализ метаданных изменения. В таблице VERSION (версии объектов) зафиксировано, что последняя версия Enhancement COPA0001 изменена пользователем ORLOV_DEV 12 декабря в 19: 30. IP-адрес совпадает с его рабочим компьютером. 🖥️

Анализ фоновых заданий (SM36). Эксперт проверяет фоновые задания. Обнаруживает, что отчёт по себестоимости (KKBC_ORD) настроен на автоматический запуск каждую ночь в 02: 00. То есть «бомба» срабатывает автоматически, без участия человека. 📅

Анализ компьютера Орлова (изъят по месту жительства). На его домашнем ПК, в дампе оперативной памяти (файл hiberfil.sys), найден открытый ABAP EdITor с этим кодом. Также найден файл notes.txt на рабочем столе: «Активация 15.12. Забыли заплатить аутстаффинг — пусть мучаются». 🗒️

Восстановление корректных данных. Эксперт восстанавливает из архивных redo-логов Oracle значения себестоимости до активации «бомбы». Рассчитывает разницу — 300 млн рублей. Подтверждает, что ущерб причинён именно действиями Орлова. 🔄

Технические выводы:

В ABAP-код была умышленно внесена «логическая бомба», активирующаяся после 15 декабря.

Код был внесён пользователем ORLOV_DEV за 3 дня до увольнения.

Искажение себестоимости является прямым результатом работы этого кода.

Результат: Суд взыскивает с Орлова 300 млн рублей. Возбуждено уголовное дело по ч. 1 ст. 273 УК РФ. Орлов арестован. Независимая экспертиза SAP для защиты своих прав в суде помогла наказать саботажника. 🚔

Глава 8. Технические особенности различных СУБД: HANA vs Oracle vs MS SQL 🗄️⚡

SAP может работать на разных базах данных. Технические методы экспертизы зависят от используемой СУБД. Рассмотрим основные.

SAP HANA (in-memory): 🟢

Плюсы для эксперта: Дамп памяти HANA содержит полный слепок данных на момент выключения сервера. Системные представления (M_TRANSACTIONS, M_AUDIT_LOG) богаты информацией. Re-do логи детальны.

Минусы: Автоматическое сжатие (Delta Merge) может затереть историю изменений быстрее, чем в классических СУБД. Шифрование данных может требовать ключей.

Методы: Анализ дампов памяти через hdbsql, чтение redo-логов через hdb_redolog.

SAP на Oracle: 🔵

Плюсы: Архивные redo-логи могут храниться годами. LogMiner позволяет читать их и восстанавливать удалённые записи за любой период. Oracle AudIT Trail — мощный инструмент.

Минусы: Нет дампов памяти (только если специально не создавать).

Методы: LogMiner, анализ таблиц аудита (DBA_AUDIT_TRAIL).

SAP на MS SQL: 🟡

Плюсы: Транзакционные логи (.ldf) детально фиксируют каждое изменение.

Минусы: При интенсивной работе логи могут перезаписываться быстрее.

Методы: ApexSQL Log, fn_dblog.

Сравнение для суда (для судей и юристов): ⚖️

Наличие дампов памяти (HANA) — преимущество, так как можно восстановить даже незафиксированные изменения.

Длительное хранение архивных журналов (Oracle) — преимущество для дел, где прошло много времени.

Скорость перезаписи логов (MS SQL) — недостаток, нужно действовать быстро.

Наши эксперты владеют всеми тремя платформами и выбирают оптимальную методику в зависимости от конкретной конфигурации SAP. 🧠

Глава 9. Процессуальные аспекты: как добиться назначения независимой экспертизы SAP ⚖️📜

Для защиты своих прав в суде необходимо, чтобы суд назначил Независимая экспертиза SAP для защиты своих прав в суде. Вот пошаговая технико-юридическая инструкция.

Шаг 1. Подготовка ходатайства. В ходатайстве укажите:

Почему требуются специальные знания (архитектура SAP, ABAP, HANA, методы цифровой криминалистики).

Конкретные технические вопросы (см. Главу 10).

Предлагаемую экспертную организацию — Союз «Федерация судебных экспертов».

Какие объекты нужно исследовать: образы дисков сервера SAP, логи SM21, дампы HANA, резервные копии, компьютеры пользователей.

Кто оплачивает экспертизу. 📝

Шаг 2. Обеспечение доступа к объектам. Если сервер SAP находится у ответчика, ходатайствуйте об истребовании доказательств (ст. 66 АПК РФ, ст. 57 ГПК РФ). Суд выносит определение, обязывающее ответчика предоставить доступ. За неисполнение — судебный штраф и признание факта (ч. 3 ст. 79 АПК РФ). 💪

Шаг 3. Техническое обеспечение. Суд должен разрешить эксперту создавать побитовые образы дисков (с использованием wrITe-blocker), выгружать дампы памяти HANA, копировать логи. Без этого полноценная экспертиза невозможна. 🛠️

Шаг 4. Проведение экспертизы. Эксперт проводит исследование (срок 20-60 рабочих дней). Стороны могут присутствовать при копировании. 📅

Шаг 5. Получение заключения. Заключение направляется в суд и сторонам. При необходимости — вызов эксперта для допроса (ст. 86 АПК). 🎤

Важное техническое требование: Все действия эксперта должны фиксироваться в протоколах с указанием хеш-сумм образов. Это гарантирует, что данные не изменялись. 🔐

Глава 10. Типовые технические вопросы суда к эксперту по SAP 📝❓

На основе анализа определений арбитражных судов, вот типовые вопросы, которые судьи ставят перед экспертом при назначении Независимая экспертиза SAP для защиты своих прав в суде:

1. О временных метках и датировании: ⏰

Соответствует ли дата создания (проведения) документа, отражённая в полях BUDAT, CPUDT, CPUTM таблиц BKPF/BSEG (или EKBE/MSEG), реальной дате на основе низкоуровневых данных (redo-логи HANA, системные журналы)? Если нет, то каковы фактические дата и время?

Имеются ли в системном журнале SM21, в журналах СУБД HANA (redo logs) или в операционной системе сервера признаки изменения системного времени в спорный период?

2. Об изменениях и удалении: 🗑️

Имеются ли в журналах изменений (CDHDR/CDPOS), в системном журнале SM21 или в redo-логах HANA записи о внесении изменений в учётные таблицы SAP в обход штатных транзакций (через SE16N, SE38, прямые SQL-запросы)? Если да, то какие изменения, когда, каким пользователем, с какого IP-адреса?

Были ли удалены записи из таблиц SAP (признак LOEKZ=’X’)? Если да, то возможно ли их восстановление из архивных журналов или резервных копий? Каково их содержание?

3. Об идентификации пользователя: 🧑‍💻

С использованием какой учётной записи SAP и с какого IP-адреса были выполнены спорные действия? Можно ли установить, что эти действия были совершены с конкретного физического компьютера (серийный номер диска, MAC-адрес)?

4. О вредоносном коде: 💣

Имеются ли в ABAP-коде (пользовательские программы, enhancements, BAdI) недокументированные фрагменты, которые могут приводить к искажению, сокрытию или автоматическому удалению учётных данных при наступлении определённых условий (дата, пользователь)? Если да, то каков их алгоритм?

Глава 11. Инструментарий: от wrITe-blocker до дампов HANA 🧰💻

Для проведения Независимая экспертиза SAP для защиты своих прав в суде используется специализированное оборудование и ПО. Весь инструментарий лицензионный.

Аппаратное обеспечение: 🖥️

WrITe-blocker Tableau T8 — подключается между диском и компьютером эксперта, физически блокирует запись. Цена — около 2000 долларов, но без него заключение недопустимо.

Форензический дупликатор Tableau TD2 — создаёт побитовые копии со скоростью до 12 ГБ/мин.

Сервер анализа: 2x Intel Xeon Gold, 256 ГБ RAM, 4x NVMe по 4 ТБ, ОС Windows Server 2022. Этого достаточно для анализа терабайтных дампов HANA.

Программное обеспечение: 💿

X-Ways Forensics (лицензия) — для carving’а удалённых файлов, анализа файловых систем.

VolatilITy Framework (open source) — для анализа дампов оперативной памяти.

SAP HANA Studio / CockpIT — для работы с образами HANA.

Oracle LogMiner — для чтения redo-логов (входит в Oracle).

ApexSQL Log (лицензия) — для MS SQL.

Собственные разработки: 🛠️

SAPLogDigger — утилита для извлечения журналов SM21, CDHDR, CDPOS из дампов памяти и файлов подкачки. Написана на Python, открыта для рецензирования.

Важно: все действия проводятся только на образах, никогда — на живых системах. WrITe-blocker гарантирует, что даже при копировании оригинал не изменится. 🔒

Глава 12. Технические ошибки заказчиков и как их избежать 🚫🧠

Юристы и компании часто допускают технические ошибки при заказе экспертизы SAP. Вот основные.

Ошибка 1. Заказ досудебного исследования вместо судебной экспертизы. 🧾

Техническая проблема: Досудебное исследование не предупреждается по ст. 307 УК РФ, не использует wrITe-blocker, часто работает с живыми системами.

Как правильно: Только экспертиза, назначенная определением суда. Никаких «досудебок».

Ошибка 2. Предоставление только выгрузок в Excel вместо образов дисков. 📊

Техническая проблема: Выгрузка — это не объект исследования. Она может быть подделана. Эксперт не может проверить удалённые записи, логи.

Как правильно: Истребовать через суд побитовые образы дисков сервера SAP и компьютеров пользователей.

Ошибка 3. Промедление с ходатайством. ⏳

Техническая проблема: Логи перезаписываются, redo-логи HANA сжимаются (Delta Merge), резервные копии удаляются.

Как правильно: Заявлять ходатайство в первом же заседании. Чем раньше, тем больше следов сохранится.

Ошибка 4. Экономия на эксперте. 💰

Техническая проблема: Дешёвый эксперт не имеет лицензионного ПО (wrITe-blocker, X-Ways), не умеет работать с HANA, не знает ABAP.

Как правильно: Выбирать организацию с сертифицированными экспертами и лабораторией. Наша стоимость — от 500 тыс. руб., но это оправдано.

Ошибка 5. Уничтожение улик. 💣

Техническая проблема: Попытка «починить» SAP до экспертизы приводит к перезаписи логов.

Как правильно: Немедленно прекратить любые работы с сервером, создать образ диска, сохранить логи.

Глава 13. Часто задаваемые технические вопросы (FAQ) 🙋‍♂️🙋‍♀️

Вопрос 1. Можно ли восстановить удалённые записи из SAP, если прошло больше года? 📅
Ответ: Да, если сохранились архивные redo-логи (для Oracle и HANA они могут храниться годами). Для MS SQL шансов меньше, так как LDF-файлы перезаписываются быстрее. Шанс восстановления выше, если компания ведёт резервное копирование по схеме «полный бэкап + дифф + лог».

Вопрос 2. Что делать, если ответчик отказался предоставить доступ к серверу SAP? 🚪
Ответ: Немедленно заявлять ходатайство об истребовании доказательств (ст. 66 АПК). Суд выносит определение. Если ответчик игнорирует — наложение судебного штрафа (ст. 119 АПК). Также суд может признать факт, который пытается скрыть ответчик, установленным (ч. 3 ст. 79 АПК). Не дали доступ к серверу — значит, там есть что скрывать.

Вопрос 3. Как долго хранятся данные в HANA? ⏱️
Ответ: Re-do логи HANA по умолчанию хранятся 7-30 дней. Архивные логи — могут храниться годами, если настроено архивирование. Данные в памяти (in-memory) — пока сервер работает. После выключения — дамп можно получить, если он был создан. Поэтому действовать нужно оперативно.

Вопрос 4. Может ли эксперт работать с зашифрованной базой HANA (Data Anonymization)? 🔐
Ответ: Да, если будут предоставлены ключи шифрования. Если нет — эксперт может получить судебное разрешение на выгрузку дампа оперативной памяти HANA (in-memory), где данные лежат в расшифрованном виде. Это возможно, так как сервер должен обрабатывать данные. Однако требуется дополнительное время (2-3 недели) и ресурсы (большой объём дампа).

Вопрос 5. В чём разница между BUDAT, CPUDT и WrITeTime? 🕒
Ответ:

BUDAT — дата документа (бухгалтерская дата). Может быть изменена пользователем вручную.

CPUDT — дата ввода документа в систему (когда пользователь нажал «Сохранить»). При переводе системного времени может быть изменена.

WrITeTime (поле UPDTIM в некоторых таблицах или метка в redo-логах) — время физической записи в базу данных. Изменяется только администратором БД на низком уровне, что оставляет следы в журналах СУБД. Наиболее надёжный параметр для датирования.

Глава 14. Чек-лист для юристов: как подготовиться к заказу экспертизы SAP 📋✅

Для успешного проведения Независимая экспертиза SAP для защиты своих прав в суде юристам следует выполнить следующие подготовительные действия:

До суда (если возможно): ✅

Создать резервную копию базы SAP (бэкап). Желательно — полный бэкап + дифф + логи.

Зафиксировать состояние системы: кто имел доступ, какие изменения вносились в последнее время.

Не удалять никакие файлы, не чистить логи, не менять настройки аудита.

На стадии ходатайства: 📝

Сформулировать технические вопросы (см. Главу 10).

Указать конкретные объекты для исследования: образы дисков, логи SM21, дампы HANA, резервные копии.

Предложить экспертную организацию — Союз «Федерация судебных экспертов».

После назначения экспертизы: 🏛️

Обеспечить доступ эксперта к серверу (если сервер свой) или ходатайствовать об истребовании (если чужой).

Присутствовать при создании образов дисков (право стороны, ст. 85 ГПК, ст. 83 АПК).

Получить хеш-суммы образов для контроля.

В процессе экспертизы: 🔍

Не вмешиваться в работу эксперта, но быть на связи для предоставления дополнительных данных (пароли, документация).

Готовить свои возражения на случай, если оппонент будет оспаривать заключение.

В суде: ⚖️

Изучить заключение. Если что-то непонятно — заявлять ходатайство о допросе эксперта.

Использовать выводы в прениях.

Глава 15. Заключение: почему техническая независимая экспертиза SAP — ваша защита 🏁🛡️

Уважаемые руководители, юристы, и все, кто сталкивается с несправедливостью в корпоративных спорах! Мы с вами прошли долгий технический путь: от архитектуры SAP и методов анализа до трёх реальных кейсов, где независимая экспертиза помогла восстановить справедливость. Надеюсь, теперь вам стало ясно: Независимая экспертиза SAP для защиты своих прав в суде — это не абстрактное понятие, а конкретный набор технических методов, позволяющих извлечь цифровую истину из, казалось бы, безнадёжно скомпрометированной системы. 🔬

Почему Союз «Федерация судебных экспертов» — ваш выбор: 🏆

✅ Сертифицированные технические эксперты. FI, CO, MM, SD, ABAP, HANA — полный спектр.
✅ Собственная лаборатория. WrITe-blocker, форензические дупликаторы, серверы для анализа терабайтных дампов.
✅ Лицензионное ПО. EnCase, X-Ways, ApexSQL Log — никакого «пиратского» софта, который дискредитирует заключение.
✅ Опыт. Более 150 успешных экспертиз SAP, включая восстановление удалённых записей, обнаружение логических бомб, анализ скрытых баз.
✅ Научная обоснованность. Методики опубликованы, рецензированы, доступны для проверки.
✅ Независимость. Предупреждение по ст. 307 УК РФ — лучшая гарантия честности.

Как заказать экспертизу: 📞

Перейдите на наш сайт: https://kompexp.ru/.

Свяжитесь с нами по телефону или через форму. Бесплатная техническая консультация.

Мы поможем сформулировать вопросы для суда и подготовить ходатайство.

Суд назначает экспертизу — мы приступаем к техническому исследованию.

Получаете заключение, которое выдерживает любую критику, и защищаете свои права.

Помните: цифровые следы не лгут. Лгут люди. А мы помогаем цифрам рассказать правду. Не позволяйте никому украсть ваше будущее с помощью фальсификации данных в SAP. Обращайтесь к профессионалам. Независимая экспертиза SAP для защиты своих прав в суде — это ваш технический щит и меч. 🛡️⚔️

🟩 Союз «Федерация судебных экспертов» — техническая истина в мире SAP. 🟩