ЭКОС Чебоксары
независимая оценочная компания

В наше время люди всему знают цену, но ничего не в состоянии оценить.

Оскар Уайльд
Контакты
+7 (8352) 386-234
ekos@expertiza21.ru
Дзержинского 31, оф. 2
Пн.-пт. с 9-00 до 18-00
Задать вопрос в Telegram

Как и когда была испорчена база данных 1С Бухгалтерия

Опубликовано:     Обновлено:    

В последних числах июля 2013 года в компанию «ЭКОС» обратилась некая коммерческая фирма на предмет проведения компьютерной экспертизы (внесудебного исследования) информации, хранившейся на жёстком диске SAMSUNG модели HM321H1. Поводом послужило «внезапное» нарушение нормальной работы базы данных 1С Бухгалтерия.

«Тумана» к этому обстоятельству добавлял факт увольнения сотрудника, обладавшего правами администратора БД, случившийся буквально накануне. Недавний админ пояснил, что перед увольнением (надо сказать по собственному желанию) он последние пару недель «подчищал» свои личные файлы и никаких нештатных ситуаций в работе БД не наблюдал.

При таком раскладе вполне понятно желание руководства фирмы попытаться восстановить хронологию событий, связанных с функционированием БД.

Перед экспертом были поставлены следующие вопросы:

  1. Возможно ли восстановить работоспособность БД 1С Бухгалтерия?
  2. Когда и каким образом имело место вмешательство (блокирование, модификация, копирование, удаление, механические повреждения) в файловую структуру БД?

Инструменты и последовательность действий эксперта

Для решения подобных задач можно пользоваться компьютером с любой ОС: Mac OS, Linux, Windows и т.д. Наш эксперт остановился на GNU/Linux Ubuntu и "свободном ПО" (free software). Дело здесь не столько в личных предпочтениях, сколько в учёте возможных юридических коллизий.

Например, если история дойдёт до суда, то у противной стороны не будет формальных зацепок типа:
"А Вы проводили исследование при помощи лицензионного ПО? Предъявите лицензии..."

Нужно иметь в виду ещё один момент общего характера: необходимо создать полную копию дисковых разделов исследуемого диска, и работать только с ней. Это обязательно! Иначе вступим в противоречие с ч.4 п.3 статьи 57 УПК РФ.

1. Определяем разделы и «битые» сектора

Подключаем представленный на исследование дисковый носитель к компьютеру с Ubuntu. Запускаем консольную утилиту fdisk и изучаем выдачу (см. картинку ниже).

Выдача консольной утилиты fdisk

Видим, что в системе присутствуют два диска: /dev/sda — основной жёсткий диск компьютера (далее диск 1), и, /dev/sdb — объект исследования, жёсткий диск Самсунг (далее диск 2).

Диск 2 имеет два раздела: /dev/sdb1 и /dev/sdb2 — аналоги разделов C: и D: в операционной системе Windows, соответственно.

Теперь выясним физическое состояние диска 2. Обнаружить «битые» (если таковые имеются) сектора нам поможет утилита badblocs. Из программной выдачи, представленной ниже на картинке, видим — механических повреждений магнитной поверхности диска нет.

Выдача консольной утилиты badblocks

Промежуточный вывод очевиден — нарушение работоспособности обусловлено утратой целостности БД на файловом уровне.

2. Делаем полную копию разделов

Выше упоминалось о необходимости сделать полные копии разделов исследуемого жёсткого диска. Под полными копиями дисковых разделов имеется в виду копия всей физической поверхности диска 2, включая «пустые» области.

В контексте решаемой задачи, именно эти «пустые» участки магнитной поверхности нам интересны в первую очередь. Поскольку в них могут находиться фрагменты удалённых файлов БД.

В создании полной копии разделов диска 2 нам поможет, имеющаяся в любом дистрибутиве Unix-подобной системы, консольная программа dd (data duplicator — дубликатор данных). Данная утилита производит побайтовое копирование.

В нашем случае следует выполнить две команды (копируем-то два раздела):

root@gimp:/home/student# dd if=/dev/sdb1 of=/dev/sda5

root@gimp:/home/student# dd if=/dev/sdb2 of=/dev/sda6

Прибегнув к уже знакомой нам утилите fdisk, выведем на экран изменившуюся информацию о дисковых разделах (см. картинку):

Выдача утилиты fdisk - копии разделов исследуемого диска

Выключаем компьютер и отсоединяем диск 2. Теперь о нём (диске 2) можно «забыть». Далее работаем только с копиями разделов /dev/sda5 и /dev/sda6 на диске 1.

3. Пытаемся восстановить удаленные файлы

Итак, нам предстоит выяснить — есть ли на дисковых разделах /dev/sda5 и /dev/sda6 удалённые файлы базы данных 1С Бухгалтерия и, возможно ли их восстановить.

Исследуем раздел /dev/sda5 (аналог C:)

Монтируем дисковый раздел /dev/sda5 к каталогу /mnt

root@gimp:/home/public#  mount  /dev/sda5  /mnt

Найдём файлы с расширением 1CD. В файлах этого типа содержится информация баз данных 1С Бухгалтерия. Для поиска используем консольную утилиту find.

В качестве аргумента программа find использует выражение служащее критерием поиска. В нашем случае это — *1CD

root@gimp:/home/public#  find  /mnt   -iname  *1CD

Приведём фрагмент выдачи программы find (ниже уточним, почему весь текст выдачи демонстрировать не имеет смысла):

  • ...
  • /mnt/Documents and Settings/7/Local Settings/Application Data/1C/1Cv82/db726700-7222-46ce-be63-e3e574839a83/c23aec1c-88f0-4e26-8ee3-f57e0b06dc46/vrs-cache/cache.1CD
  • /mnt/Documents and Settings/7/Local Settings/Application Data/1C/1Cv82/de891b30-b321-4972-bc33-ecb9c085cb7b/071523a4-516f-4fce-ba4b-0d11ab7a1893/vrs-cache/cache.1CD
  • /mnt/Recovered Files/RECYCLER/S-1-5-21-1214440339-1532298954-1801674531-1003/De2/База маяк/1Cv8.1CD
  • /mnt/Recovered Files/RECYCLER/S-1-5-21-1214440339-1532298954-1801674531-1003/De2/база1/1Cv8.1CD
  • /mnt/Recovered Files/RECYCLER/S-1-5-21-1214440339-1532298954-1801674531-1003/De2/база1/1Cv8tmp.1CD
  • /mnt/Recovered Files/RECYCLER/S-1-5-21-1214440339-1532298954-1801674531-1003/De2/Демо/1Cv8.1CD
  • /mnt/Новая папка/v8/База с окт2012/1Cv8tmp.1CD

Большую часть выдачи составляют файлы cache.1CD, являющиеся временными вспомогательными файлами системы 1С. В контексте рассматриваемой задачи они не представляют практического интереса. Поэтому мы и «обрезали» программную выдачу.

Файлы, находящиеся в каталоге /mnt/Recovered Files/RECYCLER/ были ранее удалены пользователем в Корзину, после были окончательно очищены из Корзины и, наконец, восстановлены опытным пользователем с использованием специальной программы.

Из всей группы *.1CD файлов наибольший интерес представляют файлы с именем 1Cv8.1CD, поскольку в них хранятся: база данных, конфигурация, информация о пользователях и т.д.

Поэтому:

  1. с поиощью утилиты ntfsundelete запустим поиск всех удалённых файлов и сохраним список в файл deleted-sda5.txt;
  2. из файла deleted-sda5.txt отберём строки соответствующие 1CD файлам.

Вот синтаксис соответсвующих команд:

  1. root@gimp:/home/public# ntfsundelete /dev/sda5 > /home/public/deleted-sda5.txt
  2. root@gimp:/home/public# cat /home/public/deleted-sda5.txt |egrep 1CD

В списке удалённых файлов раздела /dev/sda5, файлов с расширением 1CD не оказалось.

Исследуем раздел /dev/sda6 (аналог D:)

Проделав аналогичные, как и в случае с разделом C: действия, получим следующие результаты (см. картинку ниже):

Удалённые и восстановленные файлы БД 1С Бухгалтерия

Содержание результатов комментировать не станем, а перейдём к завершающему разделу нашего исследования.

4. Подводим итоги

1. На разделах C: и D: предоставленного жесткого диска SAMSUNG модель HM321HI сер.№ xxxxxxxx обнаружены 1CD-файлы баз данных 1С Бухгалтерии. Файлы БД присутствуют как в сохранном виде, так и в удалённом.

При этом 1CD-файлы сохраненные на разделе C: имеют следы удаления и последующего восстановления. На разделе D: были обнаружены 3 (три) удалённых файла баз данных 1С Бухгалтерии. В ходе исследования был полностью восстановлен один 1CD-файл. Ещё один файл не подлежал восстановлению, а целостность другого была нарушена.

2. Файловая система NTFS не содержит информацию о времени удаления файлов. С ее помощью, руководствуясь датой последнего редактирования, можно лишь частично локализовать время удаления файлов. При условии корректной установки времени на таймере компьютера, к которому ранее был подключен исследуемый жесткий диск, удаление файлов баз данных 1С Бухгалтерии на диске D: могло происходить по следующей схеме:

  • с 2012-10-24 по 2013-07-22 удалён файл 1Cv8.1CD (№ 120785 частично поврежден);
  • с 2013-03-13 по 2013-07-22 удалён файл 1Cv8.1CD (№ 278246 полностью восстановлен);
  • с 2013-06-26 по 2013-07-22 удалён файл 1Cv8.1CD (№ 72657 полностью уничтожен).

Файл № 72657 имеет следы наиболее позднего редактирования. Полное уничтожение файла произошло после его удаления из Корзины (или минуя Корзину) и заполнения занятой им дисковой области другими данными. Физически файл стирается лишь после того, как занятая им область на винчестере заполняется другими данными.

Вывод: после удаления пользователем файлов базы с дискового раздела D:, этот раздел был использован для записи информации.

Посоветуйте друзьям и знакомым. Спасибо

Ещё по теме:
Появился вопрос?
Вы можете задать его связавшись с нами: