编者按
小编在前面若干期文章中,曾经数次提到过关于在数据库中提取和固定电子数据的话题。今天我们来聊一个非常另类的话题:数据库中根本未做记录,还能不能取证?
有人可能会问,小编你脑袋烧糊涂了吧?根本就没向数据库中写数据,你怎么做电子证据的提取和固定!
当然,一般情况下,肯定是不能,但在有些情况下,确实可以的。
汉东省的一座高级中学
2010年,汉东省某高级中学,食堂收银员张颖(化名),利用其为学生餐卡充值的职务便利,侵吞充值款项。
仔细想一想,应该不难了解到,张颖不可能在学生的餐卡上做文章,穷学生们对自己餐卡上的钱是非常在意的,少了几块、几十块钱,不去拼命才怪!
事实上,张颖在给学生的餐卡上写入充值金额以后,便拔掉网线,使这一笔充值金额无法写入学校的后台充值数据库。然后执行一个“小程序”,把缓存的数据清理干净。插上网线,继续工作。
如何确定张颖侵吞的金额呢?
当时,有人提出来,请专业会计进行财务审计。经查,后台的餐卡充值、消费、圈存等数据记录高达600万条,让专业会计审计无疑不太现实。
小编再一次受命突破案件
经过对该食堂充值软件详细分析,并向有关人员核实。小编发现,学生在使用餐卡进行充值和消费的时候,餐卡IC卡内都会保存一个“操作次数”的数据,后台数据库中也会记录这个数据。
比如:当学生使用餐卡进行消费的时候,消费数据表中将增加一行记录,如下图所示(示意图)。
当学生进行充值的时候,充值数据表中将增加一行记录,如下图所示。
从上面的示意图,我们应该能够看明白,餐卡(1003号)第98次操作是一个消费行为,消费后卡上余额为1020元;第100次操作也是一个消费行为,消费后卡上余额为1110元。此时,在充值数据表中,有一条充值记录,即:餐卡(1003号)第99次操作是一个充值操作,充值金额为什么是100元呢?
因为第100次操作记录中,能看到他买了10元的一份菜。
如果充值数据表中找不到这条记录(即:卡号=1003,操作次数=99),是否就意味着张颖侵吞了这笔充值款呢?答案是肯定的。
从这个关键的“次数”出发,我们制定了如下思路:当某餐卡在消费数据表中出现“操作次数”跳变,且跳变后“卡总额”增加时,到充值数据表中,看看因跳变而缺失的“操作次数”是否存在?
我们跟办案人员对这个思路进行沟通,并设计了实验,证明是可行的。
后面的过程就很简单了,经过近三个小时的运行,我们从后台数据库中发现了因“跳变”而消失的存款记录高达35万。
上图是检验结果中截取的一小部分
后台数据库并没有存储这部分数据,为什么还能够准确进行确定呢?说白了,业务逻辑都是人为设计的,符合逻辑的数据就应该是正常的,换句话说,当不符合逻辑的时候,就肯定是不正常的,因为人会骗人,而机器不会骗人。
请长按选择识别图中的二维码并关注【信息时代的犯罪侦查】公众号,了解犯罪手段、侦查技术、办案心得,做到自我提升、自我救赎!
领取专属 10元无门槛券
私享最新 技术干货