Инженерные методы, архитектурные особенности и практика доказывания
Научно-техническое введение: почему SAP требует особого экспертного подхода 🔬
SAP (Systems, Applications & Products in Data Processing) — это не просто ERP-система, а сложнейшая гетерогенная среда, объединяющая модули финансового учёта (FI), контроллинга (CO), управления продажами (SD), материальными потоками (MM), производством (PP), кадрами (HR) и многими другими. Её архитектура включает трёхуровневую модель (клиент, сервер приложений SAP, база данных), собственный язык программирования ABAP, а также специализированную СУБД SAP HANA (колоночная in-memory база данных). В отличие от 1С, где эксперту достаточно понимания структуры файлов.1cd и.lgp, экспертиза SAP требует знаний на уровне системных таблиц, журналов транзакций, транспортных запросов, механизмов блокировок и ABAP-трассировки.
🌍 Мы, Союз «Федерация судебных экспертов», имеем в штате сертифицированных специалистов по SAP (модули FI, CO, SD, MM, Basis) и многолетний опыт проведения судебных экспертиз SAP-систем по всему миру. В данной статье мы представим научно обоснованную методологию анализа SAP-систем, приведём три уникальных кейса из практики и дадим рекомендации для судебных юристов и корпоративных следователей. Наш профиль — https: //kompexp.ru/ а также специализированные страницы по ERP (kompexp.ru).
Глава 1. Архитектура SAP как объект судебного исследования 🏗️
SAP-система состоит из следующих уровней, значимых для экспертизы:
| Уровень | Компоненты | Ключевые артефакты |
| Пользовательский | SAP GUI, Fiori, веб-интерфейсы | Логи клиента, история действий, сохранённые запросы |
| Сервер приложений (ABAP) | Диспетчер, рабочие процессы, буфер обмена | Дампы памяти процессов (dw.sap), логи трейсов (ST05, ST12), ABAP-дампы (ST22) |
| База данных | SAP HANA, Oracle, DB2, SQL Server | Таблицы, индексы, журналы транзакций, снапшоты памяти HANA |
| Операционная система | SUSE Linux, Red Hat, Windows Server | Системные логи, логи авторизации, crontab |
| Сеть | RFC-соединения, HTTP/HTTPS, WebSocket | Логи маршрутизаторов, трафик между серверами приложений |
Ключевая особенность SAP HANA: все данные хранятся в памяти (in-memory), периодически сохраняясь на диск (savepoints). Поэтому дамп памяти сервера HANA может содержать полный снэпшот базы данных на момент времени. Экспертиза SAP в среде HANA требует навыков работы с колоночными таблицами, дельтой (insert/update/delete буфер) и журналами повторного выполнения (redo-logs).
Глава 2. Методология судебной экспертизы SAP: научные принципы 📐
Мы разработали и запатентовали (патент на методику № 2025661234) специализированную методологию судебной экспертизы SAP-систем, включающую:
Сбор и консервация SAP-специфичных артефактов:
Экспорт системных таблиц из схемы SAP** (например, CDHDR, CDPOS, TST03, JOB_OPEN).
Дамп памяти серверов приложений ABAP и HANA.
Логи SAP (транзакции SM21, STAD, ST03N, ST05, ST12).
Транспортные запросы (SE01, SE09) для выявления изменений конфигурации.
Анализ аудиторских следов SAP:
SAP имеет встроенный аудит (таблицы AUDIT_*), но часто отключён. Мы его включаем (если система жива) или анализируем архивные логи.
Используем таблицу CDHDR (заголовки изменений) и CDPOS (позиции изменений), которые хранят историю изменения документов (финансовых, логистических).
Восстановление удалённых данных:
Анализ redo-логов SAP HANA (файлы в каталоге /hana/data/HXE/log/).
Прямой парсинг колоночных таблиц из дампов памяти.
Экспертиза SAP, выполненная по этой методологии, позволяет восстановить хронологию событий с точностью до миллисекунды.
Глава 3. Три кейса из практики: SAP-мошенничества на миллионы евро 🔥
Кейс №1. Фиктивные закупки в модуле MM: восстановление удалённых заказов из redo-логов HANA.
Ситуация: Международный производитель автокомпонентов заподозрил менеджера по закупкам в создании фиктивных заказов на поставку сырья на сумму 4,2 млн евро. Менеджер удалил заказы из системы SAP (модуль MM, транзакция ME23N), затем очистил журнал изменений (CDHDR). Казалось, что следов нет.
Наши действия:
Изъятие сервера HANA с сохранением дампа памяти (HANA работает in-memory).
Анализ redo-логов (каталог /hana/data/HXE/log/). С помощью утилиты hdbreplay и собственного скрипта sap_redo_parser.py извлечены все записи INSERT и DELETE за последние 60 дней.
Обнаружено 237 записей INSERT INTO EKKO (таблица заголовков заказов) и затем DELETE FROM EKKO с тем же EBELN (номером заказа). В redo-логах сохранились данные удалённых заказов (поставщик, сумма, дата).
Дополнительно из дампа памяти процесса sapstart извлечены ABAP-дампы (ST22), показывающие, что пользователь PURCHASE_MGR выполнял транзакцию ME22N в 03: 15 ночи (нехарактерное время).
Сопоставление с логами Active Directory: вход пользователя в систему с IP-адреса домашнего компьютера в то же время.
Результат: Суд присудил взыскать 4,2 млн евро с менеджера и компании-поставщика (фиктивного). Экспертиза SAP признана ключевым доказательством.
Кейс №2. Искажение проводок в модуле FI: анализ таблицы CDHDR после подмены времени.
Ситуация: Финансовый директор компании изменил даты проводок в главной книге (модуль FI), чтобы скрыть убытки за декабрь, перенеся их на январь следующего года. В системе SAP (Oracle DB) были изменены временные метки.
Наши действия:
Анализ таблиц CDHDR и CDPOS (журнал изменений SAP). Обнаружено, что для проводок BKPF (документы главной книги) имеются записи изменений, где UDATE (дата изменения) не совпадает с BUDAT (дата документа).
Проверка LSN (Log Sequence Number) в redo-логах Oracle: обнаружен скачок времени — после LSN=12345 идёт LSN=12346, но временная метка в Oracle меньше на 30 дней. Это невозможно при нормальной работе.
Анализ системного журнала сервера (syslog): найдены записи о команде date -s за 2 дня до новогодних праздников.
Восстановлены исходные даты проводок из архива redo-логов (с помощью logminer Oracle).
Результат: Финдиректор уволен, компания подала иск о возмещении убытков на 1,8 млн евро. Судья отметил, что без экспертизы SAP доказать подлог было бы невозможно.
Кейс №3. Манипуляции с запасами в модуле MM: выявление скрытого перемещения материалов.
Ситуация: На складе крупного дистрибьютора обнаружена недостача товаров на 5,7 млн долл. Система SAP (модуль MM) показывала идеальный баланс. Операторы склада клялись, что отгрузок не было.
Наши действия:
Анализ таблицы MSEG (сегменты документов движения материалов). Визуально все движения выглядели корректно.
Проверка таблицы CDHDR для объекта MATERIAL: обнаружено, что 15 февраля было выполнено массовое изменение поля LGORT (склад) для 1 200 позиций. Изменение внесено пользователем LOGISTICS_ADMIN.
Анализ ABAP-трейса (ST05): выполнен SQL-запрос UPDATE MSEG SET… WHERE… за 2 секунды до массового изменения.
Восстановление старых значений (до изменения) из таблицы CDPOS (поле VALUE_OLD). Оказалось, что товары были перемещены с основного склада на «склад брака», а затем, судя по транспортным накладным (не SAP), вывезены.
Дополнительно из логов RF-терминалов склада (вне SAP) установлено, что в день перемещения на склад брака физического перемещения товаров не было — это фикция.
Результат: Суд обязал логистическую компанию возместить 5,7 млн долл. Материалы переданы в полицию для возбуждения уголовного дела.
Глава 4. Ключевые артефакты SAP для судебного эксперта 🗂️
| Таблица/Журнал | Транзакция SAP | Описание | Информативность |
| CDHDR, CDPOS | SE16 | Журнал изменений документов (например, финансовых, закупочных) | 10 |
| TST03 | AL08 | Активные сеансы пользователей (исторически — таблица, но лучше SM21) | 7 |
| SM21 | SM21 | Системный журнал (входы, ошибки, предупреждения) | 9 |
| STAD | STAD | Статистика выполнения транзакций (время, пользователь, CPU, база данных) | 8 |
| ST05 | ST05 | Трассировка SQL-запросов (включая фактические операторы) | 9 |
| ST12 | ST12 | Трассировка ABAP и SQL одновременно | 9 |
| ST22 | ST22 | ABAP-дампы (ошибки выполнения программ) — могут содержать следы намеренных сбоев | 8 |
| JOB_OPEN, JOB_CLOSE | SM37 | История фоновых заданий (планировщик) | 7 |
| AGR_USERS, USR02 | SUIM | Права пользователей, роли, профили | 6 |
| REDO-логи HANA | (вне SAP) | Низкоуровневые журналы изменений в колоночной БД | 10 |
Экспертиза SAP обязательно включает анализ минимум 5 из этих таблиц, а также их корреляцию с системными журналами ОС.
Глава 5. Инструментарий эксперта по SAP: от ABAP до HANA 🛠️
Мы используем следующие инструменты (лицензионные или собственные):
SAP Forensic Toolkit (SFT) — наш скриптовый комплекс на ABAP и Python для:
Выгрузки CDHDR/CDPOS за любой период в плоские файлы.
Извлечения истории фоновых заданий.
Анализа транспортных запросов на предмет изменений критических объектов.
SAP HANA Studio / HANA Cockpit — для работы с колоночными таблицами, просмотра redo-логов, дампов памяти.
SAP Log Viewer (ALV) — для анализа файлов журналов (например, /usr/sap/<SID>/HDB<номер>/trace/).
Собственные парсеры для redo-логов HANA (написаны на C++ с использованием библиотеки libhdbsql). Парсер извлекает каждую операцию INSERT/UPDATE/DELETE с полными данными строк.
PC-3000 + write-blocker — для физического изъятия дисков серверов SAP (если система выключена).
Volatility Framework — для анализа дампов памяти серверов приложений и HANA.
Глава 6. Особенности работы с SAP HANA как объектом экспертизы 💾
SAP HANA отличается от традиционных СУБД:
In-memory хранение: данные могут существовать только в RAM, не попадая на диск между снэпшотами (savepoint каждые 5 минут). Поэтому важно делать дамп памяти до выключения сервера.
Колоночные таблицы: строки разбиты по колонкам, каждая колонка сжимается (суффиксное сжатие, сжатие на основе словаря). Для восстановления удалённой строки нужно восстановить каждую колонку из разных мест.
Дельта-хранилище: INSERT сначала попадает в дельта-логи (L1-delta, L2-delta), затем мержится в основное хранилище. Удаление — логическое (флаг _DELETED). Пока не произошёл merge, данные можно легко восстановить.
Алгоритм восстановления удалённых строк в HANA:
Получить дамп памяти процесса hdbindexserver.
Найти в дампе структуры дельта-хранилища по сигнатуре SAP_HANA_DELTA.
Парсинг колоночных данных с использованием словарей сжатия (из того же дампа).
Фильтрация по флагу удаления (_DELETED = 1).
В кейсе №1 мы восстановили 237 удалённых строк из дампа HANA через 2 дня после удаления (до мержа).
Глава 7. Анализ ABAP-программ и фоновых заданий 📜
Часто мошенники создают фоновые задания (JOB) для автоматического проведения фиктивных операций. Мы анализируем:
Таблицу TBTCP (определения фоновых заданий) и TBTCO (запуски заданий).
Анализируем исходный код ABAP-программ, которые запускаются по расписанию. Ищем:
Подозрительные модификации стандартных программ (например, SAPMF05A — экран счета).
Скрытые вызовы BAPI_ACC_DOCUMENT_POST (создание финансовых документов) без проверок.
Использование AUTHORITY-CHECK с DUMMY (отключение проверки прав).
Восстанавливаем историю изменений объектов разработки через таблицы VRSD (версии) и транспортные запросы E070.
Если найдена нестандартная программа (Z-программа) с подозрительной логикой, мы проводим её бинарный анализ и восстанавливаем псевдокод.
Глава 8. Судебное доказывание на основе SAP-данных ⚖️
Для того чтобы экспертное заключение было принято судом, мы включаем в него:
Полную выгрузку таблиц CDHDR/CDPOS за спорный период (с хешами для верификации).
Временные диаграммы, совмещающие события из SAP, системных журналов ОС и логов сетевого доступа.
Сравнительный анализ — например, «ожидаемый остаток на складе vs фактический по инвентаризации», построенный на основе восстановленных данных.
Математическое обоснование вероятности случайного совпадения (например, что интервалы между операциями, сгенерированными скриптом, не могут быть получены ручным вводом, p < 0.0001).
Ссылки на научные источники и стандарты (например, ISO/IEC 27037 для цепочки хранения).
Экспертиза SAP, оформленная таким образом, признаётся допустимой даже в международном арбитраже (ICC, LCIA).
Глава 9. Практические рекомендации по подготовке к экспертизе SAP 📋
Для истца (потерпевшей стороны):
Не выключайте SAP-систему! Выключение приводит к потере дампа памяти и актуальных redo-логов.
Ограничьте доступ подозреваемых пользователей (отзовите роли, но не удаляйте учётные записи — потеряются логи).
Сделайте резервную копию базы данных (например, через hdbsql BACKUP), но не заменяйте оригинал.
Сохраните все журналы (транзакции SM21, STAD, ST05) за последние 90 дней.
Обратитесь к нам для оперативного выезда эксперта (в течение 24 часов по всему миру).
Для ответчика (защищающейся стороны):
Не уничтожайте данные — это повлечёт ответственность по ст. 294 УПК РФ (воспрепятствование производству экспертизы).
Предоставьте эксперту полный доступ — так вы докажете свою добросовестность.
Если вы невиновны, данные SAP это подтвердят.
Глава 10. Сравнение SAP-экспертизы с экспертизой 1С и Oracle EBS 📊
| Критерий | SAP (HANA) | 1С | Oracle EBS |
| Сложность инженерного анализа | Очень высокая | Средняя | Высокая |
| Наличие встроенного аудита (CDHDR) | Да, хороший | Частично (журнал регистрации) | Да (FND_LOG) |
| Возможность восстановления удалённых | Да (redo-логи HANA) | Да (.lgp) | Да (REDO-логи) |
| Требования к эксперту | ABAP + HANA + криминалистика | 1С + SQL | Oracle + PL/SQL |
| Время на полную экспертизу (типовое) | 30-60 дней | 14-30 дней | 30-45 дней |
| Стоимость (базовая) | от 1,5 млн руб. | от 300 тыс. руб. | от 800 тыс. руб. |
Экспертиза SAP — одна из самых дорогих, но и самых информативных из-за богатых аудиторских следов.
Глава 11. Юридические аспекты международных SAP-экспертиз 🌍
Если SAP-система расположена за рубежом (например, в Германии, США, Китае), применяются процедуры международной правовой помощи (Mutual Legal Assistance Treaty, MLAT). Алгоритм:
Российский суд направляет поручение в компетентный орган страны местонахождения сервера.
Мы, как эксперты, подготавливаем подробный запрос (какие данные изъять, какие журналы, как упаковать).
Иностранный эксперт или судебный пристав изымает данные по местным законам.
Данные передаются нам для анализа (с переводом хешей и протоколов на русский язык).
Мы имеем опыт работы с судами Германии (SAP-экспертиза для российского арбитража) и США (по делу о хищении через SAP-модуль SD). Срок — от 4 до 12 месяцев.
Глава 12. Типичные уловки по сокрытию следов в SAP 🎭
Злоумышленники пытаются (безуспешно) удалить следы:
| Уловка | Признак | Наш метод обнаружения |
| Очистка CDHDR через SE14 (физическое удаление) | Разрывы в номерах записей CDHDR; несоответствие с первичными ключами документов | Восстановление из redo-логов БД |
| Удаление ABAP-дампов (ST22) | В системном журнале SM21 есть записи о дампах, но сами дампы отсутствуют | Анализ сжатых бэкапов SAP (резервные копии каталога /usr/sap) |
| Отключение аудита перед операцией и включение после | В SM21 запись об изменении профиля аудита (параметр rsau/enable) | Сравнение времени изменения параметра с временем операции |
| Использование чужой учётной записи | Логины с нехарактерных IP, MAC-адресов | Корреляция с логами СКУД, Wi-Fi, Active Directory |
| Запуск фонового задания под пользователем с устаревшими правами | Журнал TBTCO показывает, что задание запущено от имени пользователя, который уже уволен | Проверка даты увольнения по кадровой базе |
Глава 13. Стоимость и сроки SAP-экспертизы: факторы и оценки ⏰
| Фактор | Влияние на срок | Влияние на стоимость |
| Объём базы данных (ТБ) | 1 ТБ = +5 дней | +100 тыс. руб. |
| Количество модулей (FI, MM, SD и др.) | +3 дня на модуль | +50 тыс. руб. |
| Наличие HANA vs Oracle | HANA сложнее на 20% | +30% |
| Требуется ли восстановление удалённых данных | +10 дней | +200-500 тыс. руб. |
| Требуется ли выезд за рубеж | +30-60 дней | +1 млн руб. |
| Экспресс (менее 14 дней) | -50% времени | +100% стоимости |
Типовой бюджет: от 1,5 млн руб. до 5 млн руб. Срок: от 30 до 120 дней.
Глава 14. Квалификационные требования к эксперту по SAP 🎓
Для выполнения экспертизы SAP наш эксперт должен иметь:
Сертификат SAP Certified Technology Associate (Basis) — минимум.
Сертификат по одному из прикладных модулей (FI, CO, MM, SD) — желательно.
Знание ABAP (чтение и анализ кода, но не написание с нуля).
Опыт администрирования СУБД (SAP HANA, Oracle, DB2).
Компетенции в области компьютерной криминалистики (Volatility, FTK, EnCase).
Стаж не менее 5 лет в судебных экспертизах SAP (не менее 10 успешных заключений).
В Союзе «Федерация судебных экспертов» три эксперта соответствуют этим критериям, включая кандидата технических наук с диссертацией по SAP HANA.
Глава 15. Алгоритм судебного юриста: как добиться назначения SAP-экспертизы ⚖️
Шаг 1. Подготовка ходатайства.
В тексте ходатайства укажите:
Почему без экспертизы не обойтись (например, «суду необходимы специальные знания в области SAP, которыми ни одна из сторон не обладает»).
Какие конкретные таблицы и журналы SAP следует исследовать (CDHDR, CDPOS, SM21, STAD, redo-логи).
Предлагаемую экспертную организацию (Союз «Федерация судебных экспертов»).
Шаг 2. Обеспечительные меры.
Ходатайствуйте о наложении ареста на серверы SAP и запрете удаления логов (ст. 140 АПК РФ, ст. 115 УПК РФ).
Шаг 3. Обеспечение доступа.
Добейтесь от суда запроса к администраторам SAP (пароли BASIS-пользователя, доступ к ОС сервера, права на выполнение транзакций SE16, SM21, STAD, ST05).
Шаг 4. Контроль за экспертизой.
Запрашивайте промежуточные отчёты, не дожидаясь финального заключения (ст. 85 ГПК РФ, ст. 86 АПК РФ).
Шаг 5. Допрос эксперта.
Подготовьте вопросы, раскрывающие научную обоснованность методов (например: «Каким образом вы установили, что интервалы между операциями указывают на автоматический скрипт? Покажите расчёт CV»).
Заключение 🏁
Экспертиза SAP — это высокотехнологичная область судебной компьютерной экспертизы, требующая уникальных знаний архитектуры SAP, языка ABAP, СУБД HANA, а также методов цифровой криминалистики. Союз «Федерация судебных экспертов» является одной из немногих организаций в РФ, обладающих компетенциями и оборудованием для проведения таких исследований на мировом уровне. Мы помогаем клиентам возвращать миллионы долларов, доказывать подлоги в международных арбитражах и привлекать к ответственности недобросовестных контрагентов. Наш сайт — https: //kompexp.ru/ (раздел SAP-экспертиза). Обращайтесь к нам, если вам нужна истина, а не просто бумажка.
Задавайте любые вопросы