电子数据的提取、固定与恢复

数据库中根本未做记录,如何取证?

来源:企鹅号 - 信息时代的犯罪侦查 日期:2019-04-25

编者按

小编在前面若干期文章中,曾经数次提到过关于在数据库中提取和固定电子数据的话题。今天我们来聊一个非常另类的话题:数据库中根本未做记录,还能不能取证?

有人可能会问,小编你脑袋烧糊涂了吧?根本就没向数据库中写数据,你怎么做电子证据的提取和固定!

当然,一般情况下,肯定是不能,但在有些情况下,确实可以的。

汉东省的一座高级中学

2010年,汉东省某高级中学,食堂收银员张颖(化名),利用其为学生餐卡充值的职务便利,侵吞充值款项。

仔细想一想,应该不难了解到,张颖不可能在学生的餐卡上做文章,穷学生们对自己餐卡上的钱是非常在意的,少了几块、几十块钱,不去拼命才怪!

事实上,张颖在给学生的餐卡上写入充值金额以后,便拔掉网线,使这一笔充值金额无法写入学校的后台充值数据库。然后执行一个“小程序”,把缓存的数据清理干净。插上网线,继续工作。

如何确定张颖侵吞的金额呢?

当时,有人提出来,请专业会计进行财务审计。经查,后台的餐卡充值、消费、圈存等数据记录高达600万条,让专业会计审计无疑不太现实。

小编再一次受命突破案件

经过对该食堂充值软件详细分析,并向有关人员核实。小编发现,学生在使用餐卡进行充值和消费的时候,餐卡IC卡内都会保存一个“操作次数”的数据,后台数据库中也会记录这个数据。

比如:当学生使用餐卡进行消费的时候,消费数据表中将增加一行记录,如下图所示(示意图)。

当学生进行充值的时候,充值数据表中将增加一行记录,如下图所示。

从上面的示意图,我们应该能够看明白,餐卡(1003号)第98次操作是一个消费行为,消费后卡上余额为1020元;第100次操作也是一个消费行为,消费后卡上余额为1110元。此时,在充值数据表中,有一条充值记录,即:餐卡(1003号)第99次操作是一个充值操作,充值金额为什么是100元呢?

因为第100次操作记录中,能看到他买了10元的一份菜。

如果充值数据表中找不到这条记录(即:卡号=1003,操作次数=99),是否就意味着张颖侵吞了这笔充值款呢?答案是肯定的。

从这个关键的“次数”出发,我们制定了如下思路:当某餐卡在消费数据表中出现“操作次数”跳变,且跳变后“卡总额”增加时,到充值数据表中,看看因跳变而缺失的“操作次数”是否存在?

我们跟办案人员对这个思路进行沟通,并设计了实验,证明是可行的。

后面的过程就很简单了,经过近三个小时的运行,我们从后台数据库中发现了因“跳变”而消失的存款记录高达35万。

上图是检验结果中截取的一小部分

后台数据库并没有存储这部分数据,为什么还能够准确进行确定呢?说白了,业务逻辑都是人为设计的,符合逻辑的数据就应该是正常的,换句话说,当不符合逻辑的时候,就肯定是不正常的,因为人会骗人,而机器不会骗人。

发表于: 2018-01-28
原文链接:http://kuaibao.qq.com/s/20180128B02STN00?refer=cp_1026
腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

正在加载评论...