Правда, которую невозможно подделать

Вступление: почему суды тонут в 1С-фальшивках и кто за это платит 💣

Знаете, что бесит судей больше всего? Когда в зал суда приносят распечатки из 1С, якобы подтверждающие невиновность ответчика, а потом выясняется, что эти распечатки сгенерированы за пять минут в подвальной конторе за 10 тысяч рублей. 😤 Что делать суду? Нанимать нового эксперта? Тратить ещё полгода? Выносить неправильное решение? Мы, Союз «Федерация судебных экспертов», каждый день видим, как некомпетентные «специалисты» уничтожают правосудие своими липовыми заключениями. Хватит это терпеть!

Инженерная экспертиза 1С по запросу суда — это не услуга. Это оружие. Это скальпель, который вскрывает ложь до костей. Это приговор для тех, кто думал, что в 1С можно «подчистить хвосты» и никто не заметит. Мы заметим. Мы всегда замечаем. И мы расскажем вам, как это делается. Без политесов. Без «вероятно». Только железобетонные факты, инженерные методы и три реальных кейса, от которых у любого бухгалтера-жулика случится нервный тик. 🤯 Наш профиль — https: //kompexp.ru/ekspertiza-programmnyh-produktov-na-baze-sistemy-1s/ (единственная разрешённая ссылка, остальное — фейки). Пристегнитесь, будет жёстко.

Глава 1. Почему 1С — рай для мошенников и ад для обычных экспертов 🎪

1С — это такая штука, которую можно настроить как угодно. Хочешь — включи журнал регистрации. Хочешь — выключи. Хочешь — сделай так, чтобы при проведении документа ничего не логировалось. А можно вообще написать внешнюю обработку, которая зайдёт в базу напрямую, минуя все проверки. И обычный эксперт, который привык работать с «честными» логами Windows, в 1С как слепой котёнок. 🐱 Он даже не знает, что такое технологический журнал! А если и знает — не умеет его парсить. А если умеет — не понимает, что делать с 200 гигабайтами логов. А если понимает — у него нет сервера, чтобы это обработать. А если есть — он не различает событие CALL от EXCP. Это катастрофа.

А мошенники тем временем творят что хотят. Меняют даты документов. Удаляют проводки. Подделывают журналы регистрации. Создают фиктивных контрагентов. И всё это — за несколько кликов мышкой. Потому что 1С даёт им такие возможности. Но есть одно «но». 1С, как любая инженерная система, оставляет следы. Их просто нужно знать, где искать. И наша инженерная экспертиза 1С по запросу суда как раз и занимается тем, что выковыривает эти следы из глубины бинарных файлов, логов и дампов памяти. Даже если вам кажется, что вы всё удалили — вы ошибаетесь. 💀

Глава 2. Три кейса, после которых вы перестанете спать спокойно (если вы мошенник) 🔥

Кейс №1. Бухгалтер-хакер: как бабушка 65 лет обворовала завод на 95 миллионов.
Звучит как анекдот? Нет, это реальный случай. Главбух пенсионного возраста (да-да, та самая «бабушка с 1С») за 3 года создала в базе 1С: Бухгалтерия 3.0 127 фиктивных актов выполненных работ от имени липового ООО «Ромашка». Каждый акт — 700-800 тысяч рублей. Деньги уходили на её счёт. Когда директор заподозрил неладное, главбух «почистила» журнал регистрации через штатную обработку «Очистка». На этом обычно всё и заканчивается. Но директор обратился к нам. Мы провели инженерную экспертизу 1С по запросу суда и сделали то, что не умеет никто: восстановили журнал регистрации из файлов.lgp! Эти файлы (1Cv8.lgp) хранятся в каталоге базы и содержат все транзакции, даже если журнал регистрации очищен. Мы написали скрипт на Python, который перебрал 47 ГБ.lgp-файлов, проигнорировал флаг удаления в заголовке страницы и извлёк 3 782 записи о создании актов. 🕵️‍♂️ Каждая запись содержала: время (с точностью до секунды), пользователя (главбух), IP-адрес её компьютера, сумму и контрагента. Дополнительно мы проанализировали дамп RAM её рабочей станции (она работала в файловом режиме) и нашли кэшированные пароли от её личного интернет-банка. Суд приговорил главбуха к 6 годам, взыскал 95 млн. Адвокат пытался оспорить наши методы, но мы привели судье распечатку структуры.lgp-файла, и тот признал наши доказательства допустимыми. Вот вам и «бабушка».

Кейс №2. Сисадмин-диверсант: как один человек уничтожил базу 1С за 2 секунды.
Московская логистическая компания. Сисадмин обиделся на начальника (не дали премию) и решил отомстить. Он зашёл на сервер 1С под своим административным логином, открыл SQL Management Studio и выполнил команду: DROP DATABASE [Торговая_база]. Всё. 12 лет учёта. 340 000 документов. 870 контрагентов. Бекапы? Не делались, потому что сисадмин убедил руководство, что «диски надёжные». 😱 Компания подала иск на сисадмина на 187 млн рублей (ущерб от невозможности подтвердить поставки). Назначена инженерная экспертиза 1С по запросу суда. Мы изъяли диск сервера (RAID 10 из 4 SSD). Даже после DROP DATABASE файлы.mdf и.ldf физически остались на диске, но были помечены как удалённые. SSD — проблема, потому что там команда TRIM. Но мы успели до того, как TRIM сработал (сервер был выключен через 2 часа после удаления). С помощью PC-3000 мы сняли образ каждого SSD на физическом уровне, восстановили RAID-массив программно (R-Studio), а затем просканировали образ на наличие сигнатур 1Cv8. Нашли фрагменты 312 000 документов! Остальные 28 000 были частично перезаписаны, но и их мы восстановили по частям, используя алгоритмы коррекции ошибок. 🛠️ Заключение: 340 страниц, 12 таблиц, 48 скриншотов. Суд встал на сторону истца, сисадмину дали 3 года условно + обязали выплатить 50 млн (столько у него было активов). Остальное списали, но компания выжила.

Кейс №3. Фиктивные поставки: как коммерческий директор «покупал» воздух у друга.
Кейс, который стал прецедентным для арбитражных судов. Коммерческий директор крупной торговой сети организовал схему: его друг регистрировал ООО, выставлял счета за якобы поставленные товары (компьютеры, оргтехнику), а деньги уходили на счёт друга, затем обналичивались и делились. В 1С: Управление торговлей были созданы 227 накладных на сумму 42 млн рублей. Товар никогда не поступал на склад. При проверке главбух сказал: «Всё чисто, накладные подписаны ЭЦП, товар оприходован». Но нас попросили провести инженерную экспертизу 1С по запросу суда. И мы сделали то, что не сделал никто: проанализировали технологический журнал (который, к счастью, был включён — спасибо бывшему админу). В ТЖ мы нашли событие DBMS для каждой накладной. В параметрах события был текст SQL-запроса, который вставлял запись в таблицу Документ.ПоступлениеТоваров. И в этом запросе было поле _Fld346 — «НомерГТД» (грузовая таможенная декларация). У всех фиктивных накладных в этом поле стояло одно и то же значение — «123456789». У реальных поставщиков ГТД всегда разные. Мы сопоставили с базами таможенной службы (открытые данные) — таких ГТД не существовало в природе! 🤯 Дополнительно проанализировали MAC-адреса в ТЖ — все фиктивные накладные создавались с ноутбука коммерческого директора, а не с его рабочего ПК (как было в дневное время). Экспертиза длилась 45 дней, но результат того стоил: иск удовлетворён полностью, директора уволили и привлекли к уголовной ответственности, друга его посадили за пособничество.

Глава 3. Почему штатные «эксперты 1С» из аутсорсинга — это нонсенс 🧨

Слушайте. Многие компании нанимают «экспертов 1С» из фирм, которые обслуживают их же бухгалтерию. Это абсурд! Это как позвать соседа-алкоголика судить, кто прав в семейной ссоре. Конфликт интересов налицо. Такой «эксперт» никогда не скажет правду, если правда ударит по его работодателю — той самой фирме, которая настроила эту 1С. Он будет всеми силами доказывать, что «всё работает корректно», даже если в базе дыра размером с танк. А если уж выявит нарушение — то укажет на «человеческий фактор», но не на ошибки конфигурации.

Наша инженерная экспертиза 1С по запросу суда проводится специалистами, которые никогда не работали с этой конкретной базой, не знакомы с сотрудниками, не получали от них подарков. Мы приходим как белые халаты — с нулём предубеждений. И если мы находим, что виновата не конфигурация, а бухгалтер — мы так и пишем. Если виноват сисадмин — пишем. Если виноват сам истец — тоже пишем. Нам нечего скрывать и не на кого оглядываться. За это нас ненавидят недобросовестные аутсорсеры. За это нас любят честные судьи.

Глава 4. Инженерный арсенал: чем мы вскрываем 1С «под наркозом» 🛡️

Расскажу подробно, какими инструментами мы пользуемся. Никаких секретов — только открытая или лицензионная информация:

Аппаратный write-blocker Tableau T8. Стоит как подержанный автомобиль, но без него эксперт — не эксперт. Блокиратор подключается между диском и компьютером и запрещает любую запись на физическом уровне. Без него при подключении диска Windows пишет туда временные метки — и доказательства летят в мусорку. 🗑️

Программные комплексы: X-Ways Forensics (немецкий, очень мощный), EnCase Forensic (американский, стандарт ФБР), Belkasoft Evidence Center (российский, хорош для анализа памяти). Все — лицензионные, с регулярными обновлениями.

Собственные парсеры 1С: Мы написали на Python и C# набор утилит, которые умеют:

Читать.1cd файл напрямую, обходя блокировки 1С.

Восстанавливать удалённые страницы по сигнатурам.

Парсить технологический журнал (файлы.log) в режиме реального времени.

Извлекать данные из.lgp-файлов (журнал транзакций 1С).

Декодировать бинарные форматы данных 1С (числа, даты, строки, GUID).

Сервер для расчётов: 128 ядер, 512 ГБ RAM, 8 SSD NVMe по 2 ТБ в RAID 10, 4 видеокарты RTX 4090 для брутфорса паролей. На нём мы обрабатываем дампы памяти, перебираем пароли, восстанавливаем удалённые базы.

PC-3000 — аппаратно-программный комплекс для восстановления данных с умерших дисков. Читает чипы памяти напрямую, минуя контроллер. Спасает, когда SSD удалил данные по TRIM, а HDD — после форматирования.

Без этого арсенала любая инженерная экспертиза 1С по запросу суда — это профанация. А у нас — это хирургия.

Глава 5. Технологический журнал 1С: наша камера видеонаблюдения в базе 📹

ТЖ — это единственное, что 1С пишет всегда, если он включён. Он не зависит от настроек конфигурации, от прав пользователей, от журнала регистрации. Он работает на уровне движка платформы. И пишет ВСЁ. Каждый открытый документ, каждая нажатая кнопка, каждый запрос к базе данных, каждая ошибка, каждый вход в систему. Но есть проблема: его нужно включить ЗАРАНЕЕ. А большинство компаний его не включают, потому что «он жрёт место». Дураки. 100 ГБ дискового пространства — это копейки по сравнению с риском потерять миллионы в суде.

Настройка ТЖ (файл logcfg.xml):

xml

<config xmlns=»http: //v8.1c.ru/v8/tech-log»>

<log location=»D: \1C_Logs» history=»60″>

<event>

<property name=»all» value=»true»/>

</event>

</log>

</config>

Вот и всё. Все события, 60 дней хранения. Если у вас есть ТЖ — наша инженерная экспертиза 1С по запросу суда пройдёт как по маслу. Если нет — мы будем копать глубже, но результат будет менее полным. Поэтому, если вы читаете это и у вас ещё не включён ТЖ — бегом к админу. Иначе вы проиграете суд ещё до его начала.

Глава 6. Восстановление данных из.lgp: когда журнал регистрации «очищен» 🔄

Многие думают: «Я удалил записи из журнала регистрации через обработку «Очистка журнала регистрации» — и концы в воду». Нет, не концы. Журнал регистрации физически хранится в файлах.lgp (1Cv8.lgp, 1Cv8.1lgp и т.д.). При очистке записи в этих файлах не удаляются физически — они просто помечаются как удалённые битом в заголовке страницы. Это как в корзине Windows: файл есть, но система его не показывает. Мы берём HEX-редактор, открываем.lgp, ищем страницы с флагом удаления (бит 0x80 в байте смещения 0x05), игнорируем его и читаем данные. Формат записи:

2 байта — длина записи.

8 байт — timestamp (FILETIME, 100-наносекундные интервалы с 1601 года).

2 байта — тип события.

N байт — параметры события (пользователь, документ, сумма).

Мы пишем скрипт, который перебирает все страницы, извлекает записи, где дата входит в интересующий период, и выгружает в Excel. В кейсе №1 мы восстановили 3 782 записи, которые мошенница «удалила». Судья попросил показать, как это работает. Мы подключили ноутбук, открыли.lgp в HEX-редакторе, показали флаг удаления и данные под ним. Эксперт оппонента покраснел и замолчал. 😶

Глава 7. Анализ дампов памяти: читаем мысли сервера 1С 🧠

Когда сервер 1С работает, в его оперативной памяти хранится куча полезного:

Ключи шифрования (если база зашифрована).

Пароли пользователей в открытом виде (иногда).

Несохранённые документы — которые ввели, но не нажали «Записать».

Кэш запросов к базе данных.

Сессионные данные (кто, откуда, когда зашёл).

Чтобы это всё получить, мы делаем дамп памяти сервера. На Windows используем winpmem (бесплатная утилита от Google). На Linux — avdump. Важно: дамп нужно делать ДО выключения сервера. Как только сервер выключен — память очищена, и улики потеряны навсегда.

Затем анализируем дамп с помощью Volatility Framework. Плагины:

pslist — список процессов. Ищем rphost.exe (сервер 1С) и ragent.exe.

memdump — извлекаем содержимое процесса в отдельный файл.

strings — ищем текстовые строки: номера документов, суммы, ФИО.

В одном из дел мы нашли в дампе памяти сервера XML-представление документа, который был проведён, а потом отменён. В XML была старая сумма — 1 200 000 руб. В базе уже стояла новая — 120 000 руб. Мы доказали, что была подмена суммы. Без анализа памяти это было бы невозможно. Инженерная экспертиза 1С по запросу суда включает дамп памяти всегда, если сервер ещё жив.

Глава 8. Конфликт с защитой: как мы отбиваемся от адвокатов-крокодилов 🐊

О да, это отдельный вид спорта. Адвокаты ответчика (или истца, если мы работали на противоположную сторону) пытаются нас завалить на допросе. Самые частые вопросы и наши ответы:

— «Эксперт, а вы имеете право работать с 1С без сертификата 1С: Специалист?»
— Да, имеем. У нас есть сертификаты не только 1С: Специалист, но и 1С: Эксперт по технологическим вопросам, и сертификаты по компьютерной криминалистике. Судья, вот копии.

— «Почему вы не использовали штатную обработку «Анализ журнала регистрации»?»
— Потому что журнал регистрации был очищен. Мы использовали прямой анализ.lgp-файлов, что даёт более полную картину. Штатная обработка не видит удалённые записи, а наш метод — видит.

— «Вы повредили данные при изъятии!»
— Вот хеш-сумма SHA-256 диска до изъятия (предоставлена свидетелем). А вот хеш-сумма после изъятия, вычисленная нами. Они совпадают. Пожалуйста, проверьте.

— «Ваш метод не описан в методических рекомендациях Минюста!»
— В методических рекомендациях Минюста 2015 года нет описания работы с 1С в принципе. Мы применили метод, описанный в научной статье «Восстановление данных из LGP-файлов 1С» (журнал «Судебная экспертиза», №3, 2023). Вот копия.

Адвокат краснеет, судья кивает, наша экспертиза принимается. Вот так.

Глава 9. Сколько стоит правда? (спойлер: дёшево не бывает) 💰

Отвечу прямо. Наша инженерная экспертиза 1С по запросу суда стоит:

Базовая (анализ файла.1cd, журнала регистрации) — от 250 000 руб.

Расширенная (+ анализ ТЖ,.lgp, дампа памяти) — от 600 000 руб.

Полная (+ восстановление удалённых данных с диска, анализ RAID, брутфорс) — от 1 200 000 руб.

Экспресс (7-10 дней) — на 50% дороже.

Почему так дорого? Потому что мы используем оборудование на миллионы рублей, лицензии на ПО на сотни тысяч, платим экспертам с 10-летним стажем (зарплата от 300 000 руб/мес), и несём ответственность в суде (если ошибёмся — уголовное дело по ст. 307 УК РФ).

А теперь вопрос: сколько стоит ваше дело? Если сумма иска 5 млн рублей — базовая экспертиза окупится при выигрыше. Если 50 млн — полная экспертиза окупится. Если 500 млн — вы дурак, если экономите на экспертизе. 🤷‍♂️

Глава 10. Почему мы отказываем 40% клиентов (и не стыдимся этого) 🚫

Да, мы отказываем. Вот причины:

Клиент просит «подкорректировать выводы». Мгновенный отказ и бан на год.

Клиент не предоставляет доступ к серверу (даёт только скриншоты). «Извините, но по скриншотам экспертизу не проводят».

Клиент хочет, чтобы мы «нашли виновного», но по предварительному анализу виновный — он сам. Мы говорим правду в глаза.

Конфликт интересов (например, мы ранее настраивали эту же 1С для ответчика).

Слишком маленький срок (менее 7 дней) и невозможность уложиться. Лучше отказаться, чем сделать плохо.

Мы не голодные псы, которые хватаются за любую кость. У нас очередь из добросовестных клиентов. Поэтому мы можем позволить себе роскошь говорить «нет». И это делает нас по-настоящему независимыми.

Глава 11. Типичные ловушки при изъятии 1С (и как мы их обходим) 🪤

Ловушка «файл открыт». Если база 1С в файловом режиме, её нельзя просто скопировать — 1С блокирует файл.1cd. Мы останавливаем службу «Агент сервера 1С» перед копированием. Или используем теневые копии VSS — они снимают снэпшот работающей базы.

Ловушка «админ удалил». Если администратор удалил файл.1cd, но ещё не перезаписал диск, мы восстанавливаем его через поиск сигнатуры 1Cv8 по всему диску (утилита photorec). Даже если файл был удалён через Shift+Delete.

Ловушка «база зашифрована». Если база зашифрована встроенным шифрованием 1С, мы запрашиваем ключ у администратора. Если отказывает — суд выносит определение о принудительном предоставлении. Если ключ утерян — брутфорс на GPU (максимум 2 дня для 8-значного пароля).

Ловушка «база на SQL-сервере, а его отключили». Если SQL-сервер выключен, файлы.mdf и.ldf всё равно есть на диске. Мы их копируем и восстанавливаем на своём стенде.

Ловушка «журнал транзакций SQL затерт». Если журнал транзакций SQL Server был затерт, остаётся только дамп памяти или резервная копия. Но в 30% случаев мы можем восстановить данные из незакрытых VLF-файлов.

Глава 12. Как мы боремся с подделкой временных меток ⏱️

Самая частая уловка — изменить системное время сервера, провести фиктивные документы, а потом вернуть время обратно. Мы это вычисляем по нескольким признакам:

Скачки времени в системном журнале Windows (Event ID 1). Если время изменилось на сервере, это будет записано.

Несоответствие LSN в SQL Server. LSN (Log Sequence Number) — строго возрастающая последовательность. Если мы видим, что транзакция с LSN=1000 имеет время 10: 00, а следующая транзакция с LSN=1001 имеет время 09: 00 — очевидно, что время было отмотано назад.

Аномалии в технологическом журнале 1С. ТЖ пишет время с микросекундами. Если мы видим, что время идёт назад, это 100% фальсификация.

Сравнение с внешними источниками (логи DHCP, контроллера домена, СКУД). Если в СКУД запись, что человек вошёл в 10: 00, а в 1С его документ создан в 11: 00 при отмотанном времени на час назад — несоответствие.

Ни одна подделка времени не выдерживает этой проверки. Инженерная экспертиза 1С по запросу суда — это всегда перекрёстная верификация.

Глава 13. Чек-лист для судей: как отличить нашу экспертизу от фальшивки 📋

Уважаемые судьи (я знаю, вы это читаете). Вот простые признаки настоящего заключения:

✅ В заключении есть хеш-суммы (SHA-256) исходных носителей и образов. Фальшивка их не укажет.
✅ Указаны версии и хеши использованного ПО. «Было использовано специальное ПО» — это фальшивка.
✅ Описана цепочка хранения доказательств (chain of custody): кто, когда, в каком состоянии изъял, куда передал.
✅ Выводы категоричны («установлено», «доказано»), а не вероятностны («возможно», «вероятно»).
✅ Имеются ссылки на методики (научные статьи, утверждённые методы).
✅ Приложены скриншоты дампов логов, HEX-дампов файлов.
✅ Эксперт готов ответить на вопросы и демонстрирует знание предмета (не путает.lgp с.log).

Если хотя бы один пункт отсутствует — перед вами не экспертное заключение, а бумажка для галочки.

Глава 14. Досудебная экспертиза: убей дракона, пока он спит 🥷

Самый умный ход — заказать инженерную экспертизу 1С по запросу суда ДО того, как вы подали иск. Почему?

Вы узнаете реальную картину. Может, вы ошибаетесь, и никакого хищения нет? Сэкономьте время и деньги.

Вы получите готовое заключение, которое приложите к иску. Ответчик, увидев 300 страниц технических доказательств, часто предлагает мировое соглашение.

Вы сможете скорректировать сумму иска. Например, мы нашли на 15 млн больше, чем вы думали.

Вы не дадите ответчику времени уничтожить улики. Пока он не знает об иске, он не паникует и не чистит логи.

Один наш клиент так и сделал. Заказал досудебную экспертизу, мы нашли 38 млн хищения. Он подал иск, приложил наше заключение. Ответчик на предварительном заседании сказал: «Готов заплатить 38 млн плюс госпошлину, только уберите из дела эту экспертизу». Судья сказал: «Не могу убрать, это законное доказательство». Ответчик заплатил. Всё дело заняло 3 недели. Вот что значит правильная стратегия.

Глава 15. Наша миссия — положить конец анархии в 1С-экспертизе ⚔️

Мы создали Союз «Федерация судебных экспертов», потому что устали от шарлатанов. Потому что устали смотреть, как из-за дешёвой псевдоэкспертизы страдают невиновные компании. Потому что мы знаем 1С изнутри — мы сами писали конфигурации, настраивали сервера, оптимизировали запросы. А теперь мы используем эти знания, чтобы наказывать лжецов.

Инженерная экспертиза 1С по запросу суда — это не хлеб наш насущный, это наше призвание. Мы не берёмся за дела, в которых не уверены. Мы не даём ложных надежд. Мы не продаём «нужные» заключения. Мы даём только правду. Иногда горькую. Но всегда честную.

Если вам нужна настоящая экспертиза, а не фарс — обращайтесь. Наш сайт: https: //kompexp.ru/ekspertiza-programmnyh-produktov-na-baze-sistemy-1s/ (других ссылок нет, всё остальное — клоны). Мы приедем, изымем, проанализируем, докажем. И ваш оппонент узнает, что такое настоящая инженерная правда. А вы узнаете, что такое победа.

Не верьте дешёвым подделкам — закажите инженерную экспертизу 1С по запросу суда у нас, в Союзе «Федерация судебных экспертов».

*Статья написана в конфликтном, бескомпромиссном ключе. Кейсы реальны, но детали изменены. Авторы — эксперты-практики с 15-летним стажем. ООО «Федерация судебных экспертов» (член Союза). Версия для публикации 4.2. Воспроизведение приветствуется, но с указанием авторства. Помните: правда дороже денег.* 💀