Цифровая криминалистика корпоративных учётных систем

Инженерное введение: суд вызывает эксперта

Когда арбитражный суд или суд общей юрисдикции сталкивается с делом, где ключевые доказательства хранятся в недрах 1С, SAP или Microsoft Dynamics, возникает классическая проблема: судья не является программистом, стороны противоречат друг другу, а бумажные копии документов могут быть подделаны. Решение — назначение судебной экспертизы. Но не любой, а именно инженерной. 🏛️🔧

Инженерная экспертиза ERP-систем отличается от аудита или внутреннего расследования тем, что она опирается на физические и математические методы: анализ магнитных доменов жёстких дисков, восстановление транзакционных логов на уровне байтов, исследование кэша оперативной памяти, хронологическую реконструкцию событий с погрешностью до микросекунды. Это не «мнение специалиста» — это научно обоснованное заключение, которое суд принимает как полноценное доказательство.

Мы, эксперты Союза «Федерация судебных экспертов», представляем вам глубокий, инженерно выверенный материал о том, как проводится инженерная экспертиза ERP-систем по заданию суда. В статье — три реальных кейса, анализ методик, процессуальные тонкости и ответы на самые сложные вопросы.

Пристегните ремни: будет много битов, логики и железа. 🖥️🔩

Глава 1. Что такое инженерная экспертиза ERP-систем с точки зрения физики и математики

Инженерная экспертиза — это прикладная наука. Мы не «смотрим на экран и делаем вывод». Мы работаем на низком уровне:

🔬 Физический слой: изучаем намагниченность доменов на пластинах HDD, остаточную намагниченность после удаления, состояние NAND-ячеек SSD. Используем микроскопы и программаторы чипов.

💾 Логический слой: анализируем файловые системы (NTFS, ext4, APFS) — MFT, журналы USN, теневые копии, атрибуты STANDARDINFORMATIONиSTANDARDI​NFORMATIONиFILE_NAME.

🗄️ Прикладной слой: работаем с форматами файлов ERP: .1CD (1С),.mdf/.ldf (SQL Server),.data/.log (SAP), реконструируем структуры таблиц даже при отсутствии метаданных.

🧠 Слой памяти: дампы RAM серверов содержат фрагменты активных транзакций, ключи шифрования, удалённые, но не перезаписанные строки таблиц.

Когда суд назначает инженерную экспертизу ERP-систем по заданию суда, он рассчитывает на то, что эксперт подойдёт к делу как инженер-исследователь, а не как оператор готовых программ. Каждый бит должен быть объяснён.

Глава 2. Правовой статус экспертизы по определению суда: инженерный взгляд на процесс

Суд выносит определение о назначении экспертизы. Это процессуальный документ, в котором:

Указывается основание (ст. 82 АПК, ст. 79 ГПК, ст. 195 УПК).

Формулируются вопросы. От того, как сформулирован вопрос, зависит методология ответа.

Определяется экспертная организация (или конкретный эксперт).

Эксперт предупреждается об уголовной ответственности по ст. 307 УК РФ.

Инженерный аспект: эксперт обязан провести исследование в точном соответствии с вопросами суда, но может (и должен) заявить ходатайство о предоставлении дополнительных материалов, если без них ответ невозможен. Например, если суд спрашивает «были ли изменены данные?», но не передал резервные копии до периода изменений — мы пишем ходатайство.

Ключевая фраза, которую мы обязаны применить в своей работе: инженерная экспертиза ERP-систем по заданию суда — это не услуга, а процессуальное действие, за которое эксперт несёт персональную ответственность. Поэтому каждая страница заключения скрепляется подписью и печатью.

Глава 3. Кейс №1: Восстановление 43 000 удалённых строк в 1С: ERP после сжатия базы

🟧 Ситуация: ООО «ТехноСтрой» (генподрядчик) подало иск к ООО «МонтажСервис» о взыскании 156 млн рублей за неотработанный аванс. Ответчик предоставил в суд справку об отсутствии задолженности, заверенную печатью и подписью. Генподрядчик утверждал, что эта справка — фальсификация, а в его 1С: ERP (конфигурация «Управление холдингом» 2.5) были удалены все записи о задолженности. Суд назначил инженерную экспертизу.

Объекты исследования:

Сервер 1С (Windows Server 2022, RAID 10 из 6 дисков по 2 ТБ).

Бэкап за дату до предполагаемого удаления (2 недели назад).

Журналы регистрации 1С.

Инженерный ход исследования 🛠️

Шаг 1. Физическое копирование без записи
Отключили сервер от сети. Подключили аппаратный копировщик Tableau Forensic Duplicator. Создали посекторные образы всех 6 дисков RAID. Рассчитали хэши SHA-256 — они совпали с эталонными (предоставлены ИТ-отделом). RAID пересобран программно (ReclaiMe Raid Recovery).

Шаг 2. Анализ файла.1CD (основная база)
Файл TechStroy.1CD размером 180 ГБ. Используя нашу утилиту 1CD_Parser (написана на C#, побайтовый парсинг без использования COM-объектов), извлекли таблицы Document_AdvanceReport и AccumulationReg_Advances. Обнаружили, что в MFT (Master File Table) файла.1CD размер записи уменьшился с 180 до 112 ГБ — признак физического удаления данных внутри файла.

Шаг 3. Восстановление из транзакционного лога SQL (LDF)
База 1С работала на MS SQL Server 2019. Файл лога TechStroy_log.ldf был сжат (с 80 до 5 ГБ). Однако мы применили метод сканирования неактивной части лога с помощью ApexSQL Log в режиме низкоуровневого доступа. Восстановили 43 287 операций DELETE из таблиц авансов. Каждая операция содержала: дату удаления (13.11.2024 23: 14: 32), имя пользователя (Гл.бухгалтер Сидорова), IP-адрес (192.168.1.88), и значение удалённой строки (сумма аванса, дата выдачи, контрагент).

Шаг 4. Восстановление из файла подкачки Windows (pagefile.sys)
При удалении строк SQL Server мог вытеснить их в файл подкачки. Извлекли pagefile.sys (32 ГБ) и просканировали его на наличие паттернов AdvanceReport. Нашли 1 234 фрагмента строк, которые были удалены, но ещё не перезаписаны в pagefile. Используя эти фрагменты, восстановили ещё 12% от потерянных сумм.

Шаг 5. Анализ журнала регистрации 1С
Файл 1Cv8.lgd был частично затерт (циклическое перезаписывание). Однако мы восстановили записи за период удаления, применив метод карусельного сканирования (поиск сигнатур событий DataModification). Обнаружили, что пользователь Сидорова выполнила массовое удаление документов «Авансовый отчет» через обработку «Удаление помеченных объектов», запущенную в фоновом режиме.

Вывод: удаление авансовых записей было умышленным, произведено учётной записью главного бухгалтера, суммы восстановлены с точностью до 98,7%.

Результат в суде: суд принял восстановленные суммы как доказательство задолженности. Иск удовлетворён на 152 млн рублей (небольшая погрешность из-за невозможности восстановить 1,3% данных). Сидорова привлечена к уголовной ответственности по ст. 159 УК РФ.

Этот кейс — идеальный пример, почему инженерная экспертиза ERP-систем по заданию суда должна проводиться с использованием физических методов восстановления, а не только штатных средств ERP. 🔩

Глава 4. Кейс №2: Выявление аппаратной закладки в сервере SAP, менявшей суммы проводок

🔴 Ситуация: АО «НефтеХимТрейд» обнаружило, что в его SAP ERP (модуль FI) периодически (раз в 2-3 недели) сумма оплаты по счёту уменьшается на 2-5%, а разница уходит на неизвестный счёт. Внутреннее расследование ничего не дало — все логи были чисты. Компания обратилась в суд для взыскания с предполагаемого злоумышленника (уволенного системного архитектора), но нужны были доказательства. Суд назначил инженерную экспертизу.

Сложности: SAP был защищён, логи не показывали изменений, злоумышленник имел высокий уровень доступа.

Инженерный подход 🔬

Шаг 1. Дамп оперативной памяти сервера
Сервер SAP работал на SUSE Linux Enterprise Server. С помощью модуля fmem (Linux Memory Extractor) создали дамп RAM объёмом 256 ГБ. Анализ дампа в Volatility Framework (профиль Linux) показал наличие нестандартного модуля ядра с именем sap_hook.ko.

Шаг 2. Дизассемблирование модуля ядра
Извлекли sap_hook.ko из дампа. Загрузили в IDA Pro. Обнаружили, что модуль перехватывает системный вызов write для процесса SAP (PID 2749). При записи в таблицу BSEG (проводки по счетам) модуль проверял: если сумма > 1 млн руб., то уменьшал сумму на 3% и записывал разницу в отдельный файл /var/log/.sap_update.

Шаг 3. Восстановление удалённых файлов с HDD
Файл.sap_update был удалён, но не перезаписан. С помощью анализатора файловой системы ext4 (инструмент ext4magic) восстановили файл. В нём оказались 287 записей с датами, суммами и номерами счетов, куда уходила разница. Счёт принадлежал офшорной компании, зарегистрированной на подставное лицо.

Шаг 4. Анализ аппаратной части
Мы заподозрили, что модуль ядра не мог быть загружен без физического доступа к серверу. Изучили системную плату сервера (HP ProLiant DL380). Нашли microSD-карту (2 ГБ) во внутреннем слоте, не отмеченном в документации. На карте — скрипт автозагрузки, который при старте сервера внедрял sap_hook.ko в ядро. Также на карте были SSH-ключи для удалённого доступа.

Шаг 5. Вывод
Аппаратная закладка была установлена уволенным архитектором за 2 недели до его увольнения. Он использовал microSD-слот для платы удалённого управления (iLO) — техническое знание, недоступное другим сотрудникам.

Результат: суд признал доказательства допустимыми. Архитектор осуждён по ст. 272 (неправомерный доступ) и 159 (мошенничество) УК РФ. Компании возвращено 47 млн рублей (разница за 2 года).

Этот кейс уникален тем, что инженерная экспертиза ERP-систем по заданию суда вышла за рамки программного анализа и вторглась в аппаратную область — были исследованы плата и microSD. Без инженерного подхода закладка осталась бы необнаруженной. 🧩

Глава 5. Кейс №3: Анализ временных меток в Microsoft Dynamics AX — спор о просрочке поставки на 89 дней

🟩 Ситуация: ООО «СтройКомплект» (поставщик) подало иск к ООО «АльфаСтрой» о взыскании пеней за просрочку оплаты поставленного оборудования. Ответчик заявил, что поставка была просрочена на 89 дней, поэтому оплату задержал правомерно. Встречный иск — о взыскании неустойки за просрочку поставки.

В Dynamics AX (модуль «Закупки») поставщик видел дату отгрузки 10.01.2024, покупатель — 09.04.2024. Расхождение в 89 дней.

Экспертная задача: определить реальную дату отгрузки на основе инженерного анализа временных меток.

Объекты:

Образ сервера Dynamics AX ответчика (SQL Server 2017).

Логи терминального доступа (RDP).

Системные логи Windows (Event Log).

Логи СКУД склада.

Инженерное исследование ⏱️

Шаг 1. Анализ таблицы PurchTable (заголовки закупок)
В Dynamics AX дата отгрузки хранится в поле DeliveryDate. У ответчика в базе значение — 09.04.2024. Но мы изучили также поле ModifiedDateTime и CreatedDateTime. ModifiedDateTime = 11.04.2024 14: 23: 11, то есть через 2 дня после «отгрузки». Подозрительно.

Шаг 2. Анализ транзакционного лога SQL
Файл Dynamics_log.ldf содержал все изменения. Мы восстановили последовательность UPDATE для записи с PurchId = 1000456. Обнаружили, что исходное значение DeliveryDate было 10.01.2024, а 11.04.2024 в 14: 23: 11 оно было изменено на 09.04.2024. Пользователь, выполнивший UPDATE — DOMAIN\warehouse_3 (складской работник Петров).

Шаг 3. Анализ журнала Windows Security
Проверили события входа для warehouse_3 11.04.2024 в 14: 20-14: 25. Обнаружили успешный вход с IP-адреса 192.168.10.45. Запросили у системного администратора, кому принадлежит этот IP. Оказалось — компьютер начальника склада Иванова, который в это время был в отпуске, но его учётная запись не использовалась. Другой сотрудник (Сидоров) зашёл под его учёткой.

Шаг 4. Анализ СКУД и камер видеонаблюдения
СКУД показала, что Сидоров 10.01.2024 находился на складе с 08: 00 до 20: 00 (в день реальной отгрузки). А 09.04.2024 (в день «отгрузки» по поддельной дате) он на склад не заходил. Камеры зафиксировали, что 10.01.2024 со склада выехали фуры с оборудованием (номера машин совпадают с документами).

**Шаг 5. Анализ NTFS MFTдляфайлабазыданных∗∗Файл‘Dynamics.mdf‘(основнаябаза)имеетатрибуты‘MFTдляфайлабазыданных∗∗Файл‘Dynamics.mdf‘(основнаябаза)имеетатрибуты‘STANDARD_INFORMATIONиFILENAME‘.Спомощью‘MFTExplorer‘определили,чтореальнаядатапоследнегоизменения(физическаязаписьвMFT)—10.01.202415: 22: 11,ане09.04.2024.Атрибут‘FILEN​AME‘.Спомощью‘MFTExplorer‘определили,чтореальнаядатапоследнегоизменения(физическаязаписьвMFT)—10.01.202415: 22: 11,ане09.04.2024.Атрибут‘FILE_NAME` (неизменяемый) также содержит 10.01.2024.

Вывод: дата отгрузки была изменена задним числом с 10.01.2024 на 09.04.2024. Реальная отгрузка — 10 января, просрочки нет. Встречный иск отклонён.

Результат: с поставщика взысканы пени за задержку оплаты (3 млн руб.), покупатель (ответчик) также оштрафован за фальсификацию доказательств (ст. 303 УК РФ в процессе рассмотрения).

Этот кейс демонстрирует, как инженерная экспертиза ERP-систем по заданию суда использует низкоуровневые атрибуты файловых систем для опровержения изменений дат в учётных системах. ⏳

Глава 6. Инженерная методология: семь уровней анализа ERP-систем

Мы не работаем «вслепую». У нас есть строгая иерархия исследований — от грубого к тонкому.

Уровень 0. Организационно-технический 📋
Проверка процессуальных документов, ходатайства, согласование сроков. На этом этапе мы пишем заявление о том, что принимаем дело к производству.

Уровень 1. Физический 💿
Исследование носителей (HDD, SSD, NVMe, USB-flash). Поиск скрытых разделов, нештатных закладок, аппаратных keylogger’ов. Используем: Tableau, Atola, PC-3000.

Уровень 2. Файловая система 📂
Анализ MFT, журналов USN (NTFS), inode (ext4), журналов файловых систем. Восстановление удалённых файлов, теневых копий. Инструменты: EnCase, X-Ways, R-Studio.

Уровень 3. Логический (СУБД, ERP-форматы) 🗄️
Парсинг.1CD,.mdf/.ldf, табличных пространств SAP. Прямое чтение таблиц без API. Используем собственные разработки и лицензионное ПО.

Уровень 4. Операционная система 🖥️
Анализ Event Logs, реестра Windows, логов авторизации, планировщика задач, автозагрузки. Поиск следов удалённых подключений, RDP-сессий.

Уровень 5. Память (RAM) 🧠
Дамп памяти серверов, анализ активных процессов, сетевых соединений, расшифровка TLS-сессий, извлечение ключей шифрования. Volatility, Rekall.

Уровень 6. Сетевой 🌐
Анализ логов межсетевых экранов, прокси, IDS/IPS. Восстановление потока данных между ERP и ЭДО.

Уровень 7. Хронологическая реконструкция ⏱️
Синтез всех данных в единую временную шкалу с разрешением до 100 наносекунд (частота системного таймера).

Только такой — многоуровневый — подход даёт научную обоснованность выводам.

Глава 7. Типовые инженерные вопросы, которые ставит суд

По статистике наших дел (более 400), суды чаще всего задают следующие вопросы (с инженерной спецификой):

Вопрос 1: «Имеются ли в ERP-системе технические следы изменения первичных документов?»
📌 Инженерный ответ: сравнение хэшей записей в журнале транзакций и в основной таблице, анализ цепочек LSN.

Вопрос 2: «Какова реальная дата и время создания документа, если в интерфейсе указана одна дата, а в системных журналах — другая?»
📌 Инженерный ответ: извлечение CreationTime и LastWriteTime из атрибутов STANDARDINFORMATIONиSTANDARDI​NFORMATIONиFILE_NAME, сравнение с временем транзакционного лога.

Вопрос 3: «Можно ли восстановить документы, удалённые более года назад, если база данных сжималась каждый месяц?»
📌 Инженерный ответ: зависит от того, сколько раз перезаписывались сектора. Применение методов карусельного сканирования деаллоцированных страниц (до 3-4 циклов перезаписи — да, более — маловероятно).

Вопрос 4: «Была ли использована учётная запись пользователя другим лицом?»
📌 Инженерный ответ: анализ IP-адресов входов, MAC-адресов, идентификаторов сессий, временных паттернов (например, время нажатия клавиш — если есть логи клавиатурного шпиона).

Вопрос 5: «Соответствует ли электронная подпись на документе его содержимому?»
📌 Инженерный ответ: вычисление хэша документа и сравнение с хэшем в подписи, анализ метаданных подписи (время, сертификат, криптопровайдер).

Каждый вопрос требует инженерного подхода, а не «среднестатистического ответа».

Глава 8. Процессуальные гарантии инженерной достоверности

Чтобы заключение не было отвергнуто судом, мы соблюдаем железные правила. 🔩

Правило 1. Аппаратное копирование — никогда не используем штатные средства копирования ОС (они могут изменить атрибуты времени). Только Tableau или аналоги.

Правило 2. Двойное хэширование — SHA-256 + MD5 (контрольная сумма) на всех этапах. Хэши включаем в протокол изъятия.

Правило 3. Видеофиксация — весь процесс вскрытия и подключения к серверу записывается на видео (несгораемый носитель).

Правило 4. Раздельное хранение — оригинал носителя опечатывается и не используется в работе. Работаем только с образами.

Правило 5. Журнал действий — каждый запуск программы, каждая команда в терминале логируется в защищённый текстовый файл.

Правило 6. Воспроизводимость — к заключению прилагается диск со всеми промежуточными данными, чтобы другой эксперт мог повторить исследование.

Правило 7. Отказ от правовых выводов — мы не пишем «виновен» или «украл», только фактические данные.

Эти правила гарантируют, что инженерная экспертиза ERP-систем по заданию суда будет признана допустимым и достоверным доказательством.

Глава 9. Ошибки, которые превращают экспертизу в фикцию (и как мы их избегаем)

Мы видим много экспертных заключений от других организаций, которые суд отбраковывает. Перечислим типичные инженерные ошибки.

❌ Ошибка 1. Работа с «живой» системой без блокиратора записи
В результате изменяются временные метки файлов.
✅ Наше решение: только аппаратный блокиратор, только образ.

❌ Ошибка 2. Игнорирование часовых поясов
Системное время может быть UTC, а в интерфейсе ERP — местное. Разница в 3 часа может уничтожить доказательство.
✅ Наше решение: фиксация временной зоны сервера, всех рабочих станций, преобразование к единому UTC.

❌ Ошибка 3. Восстановление только из логов СУБД без учёта файловой системы
SQL-логи могут быть сжаты, но часть данных может быть в MFT.
✅ Наше решение: комплексный анализ.

❌ Ошибка 4. Использование проприетарных утилит без возможности проверки
Суд не может проверить, как именно программа восстановила данные.
✅ Наше решение: мы используем открытые методы или предоставляем исходный код своих утилит (по запросу суда).

❌ Ошибка 5. Отсутствие статистической погрешности
Невозможно восстановить 100% данных при перезаписи.
✅ Наше решение: указываем процент восстановления, доверительный интервал.

Мы гордимся тем, что за 5 лет ни одно наше заключение не было признано недопустимым из-за методологических ошибок.

Глава 10. Подготовка к инженерной экспертизе: технический чек-лист для судьи и сторон

Для того чтобы экспертиза прошла успешно, необходимо соблюсти технические условия.

Что должен сделать суд:

Указать в определении точное наименование ERP-системы и версию.

Перечислить все носители информации (диски, флешки, бэкапы).

Разрешить эксперту делать копии и вычислять хэши.

Установить разумный срок (от 14 дней для простых дел, до 60 — для сложных).

Что должны сделать стороны:

Не удалять и не изменять данные после назначения экспертизы (письменное предупреждение суда).

Обеспечить доступ к оборудованию (серверы, хранилища, сетевые папки).

Предоставить пароли, логины, ключи шифрования (если они есть).

Что делаем мы (эксперты):

За 24 часа уведомляем стороны о времени и месте осмотра.

Предъявляем документы, удостоверение, сертификаты.

Отвечаем на технические вопросы (но не разглашаем ход исследования).

Чем лучше подготовка, тем точнее результат.

Глава 11. Часто задаваемые технические вопросы от участников процесса

Вопрос: Можно ли провести экспертизу, если ERP-система работала на виртуальной машине (VMware, Hyper-V)?
✅ Инженерный ответ: Да, даже проще. Мы делаем снапшот виртуальной машины, затем копируем vmdk/vhdx-файлы. Дополнительно анализируем журналы гипервизора.

Вопрос: Что делать, если сервер ERP зашифрован BitLocker или LUKS?
✅ Ответ: Запрашиваем у сторон ключи восстановления. Если их нет — пытаемся брутить (в особых случаях) или извлекаем ключ из дампа памяти (если сервер запущен).

Вопрос: Может ли эксперт восстановить данные, если ERP работала на NAS (сетевом хранилище) с тонким выделением томов?
✅ Ответ: Да, но сложнее. Нужно клонировать всю систему NAS, затем восстановить структуру томов. Работаем через iSCSI-целевые адаптеры.

Вопрос: Есть ли разница в методах для 1С Файловая и 1С SQL?
✅ Ответ: Принципиальная. В файловой версии — работаем с.1CD напрямую (собственный формат). В SQL — анализируем.mdf/.ldf. Методы разные, но цель одна.

Вопрос: Как долго хранятся данные в транзакционном логе до сжатия?
✅ Ответ: Зависит от настроек recovery model (Full/Bulk-logged/Simple). При Simple — записи перезаписываются быстро (дни-недели). При Full — могут храниться месяцы, если не делать backup log.

Все эти нюансы мы учитываем при планировании экспертизы.

Глава 12. Экономика инженерной экспертизы: стоимость и окупаемость

Почему инженерная экспертиза не может стоить дёшево? Потому что она требует высококвалифицированного труда, дорогого оборудования и лицензий. ⚙️💰

Структура цены (пример для среднего дела):

Накладные расходы лаборатории — 15%

Зарплата эксперта (инженера-криминалиста) — 40%

Амортизация оборудования (Tableau, PC-3000, осциллографы) — 10%

Лицензии на ПО (EnCase, ApexSQL, собственные разработки) — 20%

Страхование, юридическое сопровождение — 10%

НДС (если применимо) — 20% (включён в цену).

Итоговые диапазоны (рынок 2025):

Простое дело (1-2 вопроса, целая система, до 50 ГБ) — 90 000 — 180 000 руб.

Среднее дело (восстановление удалённых данных, анализ логов, 50-500 ГБ) — 250 000 — 700 000 руб.

Сложное дело (RAID, восстановление после сжатия, аппаратные закладки, терабайты данных) — 800 000 — 3 500 000 руб.

Окупаемость: если цена экспертизы — 500 тыс., а иск — на 50 млн, то окупаемость 100-кратная. Даже если шанс 50/50 — разумно.

Мы всегда даём смету и не берём скрытых платежей.

Глава 13. Этический кодекс инженера-эксперта: что недопустимо

Наша профессия — не просто техническая, но и этическая. Вот наши табу. 🛑

🚫 Недопустимо:

Уничтожать или модифицировать оригинальные данные (даже случайно).

Давать заключение, если у нас нет компетенции в конкретной ERP.

Скрывать от суда факт, что данные частично невосстановимы.

Вступать в сговор с любой из сторон.

Использовать пиратское ПО (это уголовное преступление, ст. 146 УК РФ).

Разглашать ход исследования до оглашения заключения.

🚫 Запрещено даже под страхом увольнения:

Менять вывод под давлением заказчика или суда.

Подписывать заключение, если не уверен в его выводах.

Игнорировать новые доказательства, появившиеся в процессе.

Мы требуем от каждого эксперта подписки под этическим кодексом. Нарушение — исключение из Союза и отзыв аттестата.

Глава 14. Сравнение инженерной экспертизы с другими видами исследований

Многие путают инженерную экспертизу с ИТ-аудитом или бухгалтерской экспертизой. Разница принципиальная.

Инженерная экспертиза ERP-систем по заданию суда — это самый мощный и глубокий вид исследования, когда речь идёт о доказательстве фальсификации, хищения или вмешательства.

Глава 15. Новые вызовы: облака, шифрование, блокчейн (2025-2027)

Мир меняется, и мы меняемся. Какие новые инженерные задачи появляются?

Облачные ERP (1С: Fresh, SAP Cloud) ☁️
Данные не на жёстком диске клиента. Наши методы: запрос к провайдеру через суд, анализ API-логов, зеркалирование трафика на границе сети, извлечение из кэша веб-клиента.

Полное шифрование дисков 🔐
Если сервер зашифрован и выключен, данные недоступны. Наши методы: атака по побочным каналам (шум процессора, электромагнитные наводки), брутфорс ключей на GPU-фермах (при санкции суда), извлечение из дампа памяти работающей системы.

Блокчейн-модули ERP ⛓️
Транзакции нотаризируются в блокчейне. Наши методы: анализ нод, поиск ошибок в смарт-контрактах, восстановление связей между учётными записями.

ERP на квантовых компьютерах (перспектива) ⚛️
Пока нет в промышленности, но мы готовимся: изучаем пост-квантовую криптографию.

Мы инвестируем 20% прибыли в R&D.

Глава 16. Пошаговый алгоритм заказа инженерной экспертизы (для юристов и бизнеса)

Шаг 1. Вы столкнулись со спором, где есть противоречия в данных ERP. Не удаляйте ничего. Обратитесь к нам через kompexp.ru.

Шаг 2. Бесплатная консультация: мы говорим, возможно ли исследование, какие данные нужны, каковы шансы.

Шаг 3. Вы подаёте ходатайство в суд о назначении экспертизы, приложив наше согласие (договор).

Шаг 4. Суд выносит определение. Мы получаем его и материалы.

Шаг 5. Выезд эксперта (или удалённый доступ с блокиратором записи). Копирование, хэширование, опечатывание.

Шаг 6. Лабораторный этап: семь уровней анализа (от физики до хронологии).

Шаг 7. Подготовка заключения (обычно 50-300 страниц + CD с дампами).

Шаг 8. Передача заключения в суд.

Шаг 9. Участие в заседании (лично или ВКС). Ответы на вопросы.

Шаг 10. Суд выносит решение. Победа, основанная на данных.

Весь процесс — 20-50 дней в зависимости от сложности.

Глава 17. Почему Союз «Федерация судебных экспертов» — лидер инженерных экспертиз ERP

Наши инженерные ресурсы 🏭

Лаборатория с чистой комнатой (класс 1000) для работы с HDD.

3 аппаратных копировщика Tableau (модели T7, T8, T12).

PC-3000 для восстановления данных с неисправных дисков.

Лицензии на все ведущие судебные ПО.

Собственное ПО для парсинга.1CD, SAP-логов, дампов памяти.

Команда 👥

12 экспертов с высшим техническим (МИФИ, МГТУ, Физтех) и юридическим образованием.

Сертификаты 1С: Специалист (8 человек), SAP Certified (3 человека).

Средний стаж — 11 лет.

Результаты 📊

500 экспертиз за 5 лет.

98% заключений приняты судами без повторных.

0 (ноль) случаев признания заключения недопустимым.

Мы не обещаем «нужный результат», мы обещаем инженерную истину.

Глава 18. Заключение: инженерная мысль на службе правосудия

В цифровом мире, где каждый финансовый документ — это всего лишь набор байтов, а каждый байт может быть изменён или удалён, только инженерная экспертиза способна отделить истину от лжи.

Мы показали три кейса:

восстановление 43 000 удалённых строк из сжатого SQL-лога;

обнаружение аппаратной закладки в ядре Linux на сервере SAP;

опровержение изменённой даты отгрузки через атрибуты MFT.

В каждом из них инженерная экспертиза ERP-систем по заданию суда позволила восстановить справедливость, вернуть миллионы рублей и привлечь виновных к ответственности.

Если ваш спор упирается в данные ERP — не полагайтесь на случай. Не верьте штатным программистам (они могут быть субъективны). Не экономьте на экспертизе (это многократно окупится).

Обращайтесь к нам — в Союз «Федерация судебных экспертов».

🟩 Сайт: kompexp.ru. Инженерная правда в каждом байте.