上海辰星电子数据司法鉴定中心对数据库数据进行分析、固定的司法鉴定案
案例内容
【案情简介】
委托人通过侦查发现,自2016年8月起,****(上海)投资发展有限公司涉嫌非法吸收公众存款,现委托上海辰星电子数据司法鉴定中心对相关涉案数据进行司法鉴定。
【鉴定过程】
(一) 检验方法
本次鉴定依据中华人民共和国公共安全行业标准GA/T 756-2008《数字化设备证据数据发现提取固定方法》进行检验。
(二) 检验过程
2017年4月28日,在鉴定工作站1上打开浏览器Google Chrome v57,在地址栏中输入委托人提供的网址“www.aliyun.com”,点击页面右上角“登录”链接进入登录页面,在登录页面输入委托人提供的登录名“ally201608**”和密码,并通过号码为“157268775**”的手机进行短信身份验证后进入“阿里云后台”管理页面。
在“阿里云后台”管理页面点击“云数据库管理”,发现账号“ally20160808”下有一个实例名称为“ali_laicaijie”的云数据库管理系统,数据库类型为“MySQL5.6”,创建时间显示为2016年8月25日。
点击页面左侧菜单“备份恢复”进入数据备份页面,发现该数据库管理系统显示于2017年4月28日03点28分进行过数据库全量备份。
点击该备份的“下载”链接进行下载,下载的备份文件名为“hins1729505_data_20170428031921.tar.gz”,保存至鉴定工作站上的“D:case20172017-73涉案数据”目录下。计算备份文件“hins1729505_data_20170428031921.tar.gz”的SHA256校验码为“24CF2A8F2528752ED480B2C2DA57AA06FD253890D581706B9203AACF500F4755”。
使用Camtasia 9录制了上述固定保全的过程,导出的录像文件保存为“2017-73-data.avi”,录像时间为2017年4月28日14:48至2017年4月28日15:48。
1.阿里云数据库备份文件恢复
在鉴定工作站2上搭建Ubuntu 14.04操作系统,并安装MySQL 5.6数据库管理系统和数据库恢复工具Percona-XtraBackup 2.2.9。随后解压数据库备份文件“hins1729505_data_20170428031921.tar.gz”至目录“/home/mysql/data”下。使用Percona-XtraBackup 2.2.9恢复目录“/home/mysql/data”下的数据文件。将恢复后的数据文件加载至MySQL 5.6数据库管理系统中,重新启动MySQL 5.6数据库管理系统。
2.数据库相关数据检验
(1)数据表中字段信息检验
在鉴定工作站1上打开navicat for mysql10.0.11并连接上述数据库“ali_laicaijie”。根据委托人提供的信息,对恢复后的MySQL数据库进行检验。
经检验,数据库中的数据表“lcj_user”、表“lcj_rechage”和表“fp_order”存储了数据表中字段的相关注释。部分字段注释信息如表1至表3所示。
表1数据表“lcj_user”
|
序号 |
字段名 |
数据表字段注释 |
|
1. |
user_id |
/ |
|
2. |
user_name |
用户登录名 |
|
3. |
user_truename |
真实姓名 |
|
4. |
user_mobile |
用户手机 |
表2数据表“fp_order”
|
序号 |
字段名 |
数据表字段注释 |
|
1. |
rechage_id |
充值提现记录表ID |
|
2. |
rechage_type |
类型:1充值,2提现 |
|
3. |
rechage_money |
值充提现金额 |
|
4. |
adduser |
提交人ID |
|
5. |
adddate |
提交时间 |
|
6. |
sign |
状态1未审核,2审核失败,3审核确认成功 |
|
7. |
rechage_number |
充值订单号 |
|
8. |
rechage_bak |
注备,如充值平台等 |
|
9. |
rechage_moneyserver |
服务费 |
|
10. |
user_bank |
用户银行 |
|
11. |
user_bankarea |
/ |
|
12. |
user_banknumber |
/ |
|
13. |
rechang_moneynow |
实际到账金额 |
|
14. |
rechang_moneybt |
/ |
表3数据表“lcj_rechage”
|
序号 |
字段名 |
数据表字段注释 |
|
1. |
orderId |
充值提现记录表ID |
|
2. |
fpidType |
产品类型:1来定存,2福利宝,3新手,4积蓄宝,5稳赢宝 |
|
3. |
orderMoney |
单订金额 |
|
4. |
reMoney |
已收益金额 |
|
5. |
PRODUCT_NAME |
理财产品名称 |
|
6. |
product_number |
理财产品发布编号 |
|
7. |
orderNumber |
订单号 |
|
8. |
addDate |
购买时间 |
(2)数据表“lcj_rechage”和“lcj_user”的相关信息查询
在navicat的查询窗口中新建查询语句“select b.user_truename , b.user_mobile , a.rechage_money , rechang_moneynow , a.rechang_moneybt , a.user_bank , a.user_bankarea ,a.adddate , a.rechage_number from lcj_rechage a left join lcj_user b on a.adduser = b.user_id where a.rechage_type = 1 and a.sign=3 and b.user_mobile is not null and b.user_mobile <> ''''''''''''''''”以查看该数据库里表“lcj_rechage”和“lcj_user”的相关信息(即数据表字段注释所定义的充值信息),点击“运行”开始查询。
查询结果数据的总数为23896条。将查询结果数据导出至文件“充值记录.xls”,保存鉴定工作站上的“D:case20172017-73报表”目录下。
在navicat的查询窗口中新建查询语句“select b.user_truename , b.user_mobile , a.rechage_money , rechang_moneynow , a.rechang_moneybt , a.user_bank , a.user_bankarea , a.adddate , a.rechage_number from lcj_rechage a left join lcj_user b on a.adduser = b.user_id where a.rechage_type = 2 and a.sign=3 and b.user_mobile is not null and b.user_mobile <> ''''''''''''''''”以查看该数据库里表“lcj_rechage”和“lcj_user”的相关信息(即数据表字段注释所定义的提现信息),点击“运行”开始查询。
查询结果数据的总数为27440条。将查询结果数据导出至文件“提现记录.xls”,保存鉴定工作站上的“D:case20172017-73报表”目录下。
(3)数据表“fp_order”和“lcj_user”的相关信息查询
在navicat的查询窗口中新建查询语句“select b.user_truename , b.user_mobile , a.orderMoney , a.adddate, a.reMoney, a.reMoneyData, a.PRODUCT_NAME, a.product_number ,a.orderNumber from fp_order a left join lcj_user b on a.adduser = b.user_id where a.fpidType = 5 and b.user_mobile is not null and b.user_mobile <> ''''''''''''''''”以查看该数据库里表“fp_order”和“lcj_user”的相关信息(即数据表字段注释所定义的票据宝理财产品信息),点击“运行”开始查询。
查询结果数据的总数为24901条。将查询结果数据导出至文件“票据宝.xls”,保存鉴定工作站上的“D:case20172017-73报表”目录下。
在navicat的查询窗口中新建查询语句“select b.user_truename , b.user_mobile , a.orderMoney , a.adddate, a.reMoney, a.reMoneyData, a.PRODUCT_NAME, a.product_number ,a.orderNumber from fp_order a left join lcj_user b on a.adduser = b.user_id where a.fpidType <> 5 and b.user_mobile is not null and b.user_mobile <> ''''''''''''''''”以查看该数据库里表“fp_order”和“lcj_user”的相关信息(即数据表字段注释所定义的其他理财产品信息),点击“运行”开始查询。
查询结果数据的总数为14801条。将查询结果数据导出至文件“其他产品.xls”,保存鉴定工作站上的“D:case20172017-73报表”目录下。
计算上述所有涉案文件的SHA256校验码,并将其保存至鉴定工作站上的“D:case20172017-73校验码”目录下的“2017-73-SHA256.txt”文件中,文件“2017-73-SHA256.txt”的SHA256校验码为“B751E0E39B8A77C7A1CA82ABA0AFC32015E19886F4BE4582A923556CD0E65C62”。
【分析说明】
(一) 检验方法
本次鉴定依据中华人民共和国公共安全行业标准GA/T 756-2008《数字化设备证据数据发现提取固定方法》进行检验。
(二) 检验过程
2017年4月28日,在鉴定工作站1上打开浏览器Google Chrome v57,在地址栏中输入委托人提供的网址“www.aliyun.com”,点击页面右上角“登录”链接进入登录页面,在登录页面输入委托人提供的登录名“ally201608**”和密码,并通过号码为“157268775**”的手机进行短信身份验证后进入“阿里云后台”管理页面。
在“阿里云后台”管理页面点击“云数据库管理”,发现账号“ally20160808”下有一个实例名称为“ali_laicaijie”的云数据库管理系统,数据库类型为“MySQL5.6”,创建时间显示为2016年8月25日。将该网页内容截屏保全为“图1.jpg”。
点击页面左侧菜单“备份恢复”进入数据备份页面,发现该数据库管理系统显示于2017年4月28日03点28分进行过数据库全量备份。将该网页内容截屏保全为“图2.jpg”。
点击该备份的“下载”链接进行下载,下载的备份文件名为“hins1729505_data_20170428031921.tar.gz”,保存至鉴定工作站上的“D:case20172017-73涉案数据”目录下。计算备份文件“hins1729505_data_20170428031921.tar.gz”的SHA256校验码为“24CF2A8F2528752ED480B2C2DA57AA06FD253890D581706B9203AACF500F4755”。
使用Camtasia 9录制了上述固定保全的过程,导出的录像文件保存为“2017-73-data.avi”,录像时间为2017年4月28日14:48至2017年4月28日15:48。
1.阿里云数据库备份文件恢复
在鉴定工作站2上搭建Ubuntu 14.04操作系统,并安装MySQL 5.6数据库管理系统和数据库恢复工具Percona-XtraBackup 2.2.9。随后解压数据库备份文件“hins1729505_data_20170428031921.tar.gz”至目录“/home/mysql/data”下。使用Percona-XtraBackup 2.2.9恢复目录“/home/mysql/data”下的数据文件。将恢复后的数据文件加载至MySQL 5.6数据库管理系统中,重新启动MySQL 5.6数据库管理系统。
2.数据库相关数据检验
(1)数据表中字段信息检验
在鉴定工作站1上打开navicat for mysql10.0.11并连接上述数据库“ali_laicaijie”。根据委托人提供的信息,对恢复后的MySQL数据库进行检验。
经检验,数据库中的数据表“lcj_user”、表“lcj_rechage”和表“fp_order”存储了数据表中字段的相关注释。部分字段注释信息如表1至表3所示。
表1 数据表“lcj_user”
|
序号 |
字段名 |
数据表字段注释 |
|
1. |
user_id |
/ |
|
2. |
user_name |
用户登录名 |
|
3. |
user_truename |
真实姓名 |
|
4. |
user_mobile |
用户手机 |
表2 数据表“fp_order”
|
序号 |
字段名 |
数据表字段注释 |
|
1. |
rechage_id |
充值提现记录表ID |
|
2. |
rechage_type |
类型:1充值,2提现 |
|
3. |
rechage_money |
值充提现金额 |
|
4. |
adduser |
提交人ID |
|
5. |
adddate |
提交时间 |
|
6. |
sign |
状态 1未审核,2审核失败,3审核确认成功 |
|
7. |
rechage_number |
充值订单号 |
|
8. |
rechage_bak |
注备,如充值平台等 |
|
9. |
rechage_moneyserver |
服务费 |
|
10. |
user_bank |
用户银行 |
|
11. |
user_bankarea |
/ |
|
12. |
user_banknumber |
/ |
|
13. |
rechang_moneynow |
实际到账金额 |
|
14. |
rechang_moneybt |
/ |
表3 数据表“lcj_rechage”
|
序号 |
字段名 |
数据表字段注释 |
|
1. |
orderId |
充值提现记录表ID |
|
2. |
fpidType |
产品类型:1来定存,2福利宝,3新手,4积蓄宝,5稳赢宝 |
|
3. |
orderMoney |
单订金额 |
|
4. |
reMoney |
已收益金额 |
|
5. |
PRODUCT_NAME |
理财产品名称 |
|
6. |
product_number |
理财产品发布编号 |
|
7. |
orderNumber |
订单号 |
|
8. |
addDate |
购买时间 |
(2)数据表“lcj_rechage”和“lcj_user”的相关信息查询
在navicat的查询窗口中新建查询语句“select b.user_truename , b.user_mobile , a.rechage_money , rechang_moneynow , a.rechang_moneybt , a.user_bank , a.user_bankarea ,a.adddate , a.rechage_number from lcj_rechage a left join lcj_user b on a.adduser = b.user_id where a.rechage_type = 1 and a.sign=3 and b.user_mobile is not null and b.user_mobile <> ''''''''''''''''”以查看该数据库里表“lcj_rechage”和“lcj_user”的相关信息(即数据表字段注释所定义的充值信息),点击“运行”开始查询,结果截屏保存为“图3.jpg”。
由图3可知,查询结果数据的总数为23896条。将查询结果数据导出至文件“充值记录.xls”,保存鉴定工作站上的“D:case20172017-73报表”目录下。
在navicat的查询窗口中新建查询语句“select b.user_truename , b.user_mobile , a.rechage_money , rechang_moneynow , a.rechang_moneybt , a.user_bank , a.user_bankarea , a.adddate , a.rechage_number from lcj_rechage a left join lcj_user b on a.adduser = b.user_id where a.rechage_type = 2 and a.sign=3 and b.user_mobile is not null and b.user_mobile <> ''''''''''''''''”以查看该数据库里表“lcj_rechage”和“lcj_user”的相关信息(即数据表字段注释所定义的提现信息),点击“运行”开始查询,结果截屏保存为“图4.jpg”。
由图4可知,查询结果数据的总数为27440条。将查询结果数据导出至文件“提现记录.xls”,保存鉴定工作站上的“D:case20172017-73报表”目录下。
(3)数据表“fp_order”和“lcj_user”的相关信息查询
在navicat的查询窗口中新建查询语句“select b.user_truename , b.user_mobile , a.orderMoney , a.adddate, a.reMoney, a.reMoneyData, a.PRODUCT_NAME, a.product_number ,a.orderNumber from fp_order a left join lcj_user b on a.adduser = b.user_id where a.fpidType = 5 and b.user_mobile is not null and b.user_mobile <> ''''''''''''''''”以查看该数据库里表“fp_order”和“lcj_user”的相关信息(即数据表字段注释所定义的票据宝理财产品信息),点击“运行”开始查询。
查询结果数据的总数为24901条。将查询结果数据导出至文件“票据宝.xls”,保存鉴定工作站上的“D:case20172017-73报表”目录下。
在navicat的查询窗口中新建查询语句“select b.user_truename , b.user_mobile , a.orderMoney , a.adddate, a.reMoney, a.reMoneyData, a.PRODUCT_NAME, a.product_number ,a.orderNumber from fp_order a left join lcj_user b on a.adduser = b.user_id where a.fpidType <> 5 and b.user_mobile is not null and b.user_mobile <> ''''''''''''''''”以查看该数据库里表“fp_order”和“lcj_user”的相关信息(即数据表字段注释所定义的其他理财产品信息),点击“运行”开始查询。
查询结果数据的总数为14801条。将查询结果数据导出至文件“其他产品.xls”,保存鉴定工作站上的“D:case20172017-73报表”目录下。
计算上述所有涉案文件的SHA256校验码,并将其保存至鉴定工作站上的“D:case20172017-73校验码”目录下的“2017-73-SHA256.txt”文件中,文件“2017-73-SHA256.txt”的SHA256校验码为“B751E0E39B8A77C7A1CA82ABA0AFC32015E19886F4BE4582A923556CD0E65C62”。
【鉴定意见】
根据委托人的要求,本次鉴定对送检检材中的涉案数据进行了数据恢复和固定保全,结果如下:
1.对阿里云平台指定账号“ally201608**”下的实例名称为“ali_lai***jie”的MySQL数据库进行了固定保全;
2.对MySQL数据库中数据表字段注释所定义的充值、提现和理财产品相关信息进行查询和固定保全