其他

一起经典的“口水油”火锅案电子证据审查纪实

2018-01-10 时不我待、项志念 信息时代的犯罪侦查


故事随笔案例声音其他


编者按

久前,本号曾经推送过一篇文章,《电子数据的技术性证据审查怎么搞?》,今天给大家讲一个真实的案例。检察官发挥电子数据的实质审查职能,将“口水油”火锅店的销售数据从一个月扩大到八个月,销售金额从十几万扩大到一百五十余万,成功抗诉,效果那是杠杠的!

特别提示,刘二能再次发力,小编也在文中客串过了把瘾。



检察官的疑问,公安机关都固定了啥?


2017年3月,一起“口水油”火锅案移送到浙江省温州市某基层检察院。查看公安移送的电子账单数据,仅涵盖2016年11月16日至11月23日案发前一个礼拜好味道火锅店的营业详单数据。该店营业时间有一年多,消费流水记录肯定不只这么多!


2017年3月9日,赵新月检察官向本院技术专家小项寻求支援,因公安机关移送的关于好味道火锅店生产、销售有毒有害食品案的账单数据太少,希望通过技术协助从扣押的前台收银电脑中找出更多的账单数据。


此案是轰动一时的天瑞火锅店“口水油”系列案件,而好味道火锅店便是涉案的其中一家。赵新月希望能够从每日的营业数据中统计出好味道火锅店一共卖出去多少份锅底,从而计算出一共卖出去多少数量的“口水油”。


电子证据实质审查现在开始


一般来讲,餐饮机构都有点餐软件,能够详细记录每一桌所点的菜品名称、价格、时间、金额等信息。这些数据通常保存在本地,也有一些会上传到云端。


对收银电脑初步分析后,这家火锅店使用了两款点餐软件:“林氏软件”、“屏芯餐饮”,接下来的目标很明显,——分析这两款软件的数据!


顺着“屏芯餐饮”继续在本地文件中查找线索。通过数据恢复、数据搜索、人工查找等手段并没有发现有效数据库。那么,数据会不会存在于云服务器上?通过上网搜索,“屏芯餐饮”这款软件确实支持云服务器存储数据功能,但软件连接的云数据库具体信息很难确认,于是咨询该软件公司查询有关信息。


像不像自行补充侦查?


拨打“屏芯餐饮”公司客服电话,对其表明身份希望得到配合,无果。虽然可以由单位发函要求公司配合获取好味道火锅店的云端数据,但是这样发函、复函将浪费很多时间。于是我们便想了个“歪招”,“伪装”成好味道火锅店的工作人员,告诉“屏芯餐饮”公司客服,该软件安装的主机故障。在简单的信息确认之后,我们得到了一些有用消息:数据存在于云服务器并且得到了云后台登陆地址。


打开云服务器后台登陆地址,却不知道账号与密码,经办人也糊里糊涂说不清楚,尝试了很多次常用的账号与密码都无效。此时取证过程陷入了僵局。


能否通过 “忘记密码”功能找回密码呢?


根据“忘记密码”功能的提示,尝试换着输入几个好味道火锅店老板的手机号码后,果不其然出现了账号信息:xiao****ian ,尝试用弱口令登陆后台成功!但意外的是后台居然没有任何数据。



在取证过程又一次走入死胡同时。我们转变思路,搜索本地所有的“*.db”文件,打开其中一个大小为11.9M的“ServerData.db”文件,显示为乱码,但我们发现了此文件中IP地址后总跟着“jcxyra”。这一细节引起了我们的注意,难道好味道火锅店存在两个云端账号?回到“忘记密码”功能,输入“jcxyra”时,提示对应的手机号为18785326337。经查,该号码为好味道火锅店总公司一位经理的号码。


我们向“屏芯餐饮”软件客服确认了用户无权限删除云端数据之后,放心的要求该经理提供短信验证码,并修改了此账号的云端密码。登陆后,查询到了10月20日至11月23日期间详细的锅底销售记录。下图为云端数据库提取到的部分数据。



工作得到了初步的进展,只是这“屏芯餐饮”软件只有1个多月的账单数据。


“林氏软件”会不会存储销售记录?


在上级单位的指导下,我们使用数据恢复技术,获得了名为“LostFile_MS-SQL_536856.mdf”、大小为99.0M的sqlserver数据库文件。此数据库正是“林氏软件”自2015年12月27日至2016年1月20日期间的营业数据。


查看“林氏软件”本地文件目录时,注意到该目录下有log日志文件夹,里面包含了完整的软件操作记录及收银记录,时间从2015年12月27日至2016年10月20日。与“林氏软件”供应商沟通得知,好味道火锅店老板曾在10月20日要求他们将“林氏软件”更换成“屏芯餐饮”,从而确定10月20日之前用“林氏软件”,10月21日起用“屏芯餐饮”软件,与“林氏软件”本地文件目录下log日志文件夹里的日志文件相对应。但这些日志文件只详细记录了每一单的收银、找零记录,并不包含具体销售的火锅锅底信息,对案件没有帮助。


至此我们分析:


1、日志文件证明该火锅店自开业至2016年10月20日使用的是“林氏软件”,在10月20日以后更换使用“屏芯餐饮”。

2、林氏软件在1月20日因为软件维护更换了数据库。

3、恢复出了1月20日之前的数据库得到了具体销售数据,但更换数据库后更大的数据库可能因为中间多次装机却未能成功恢复。


检察技术一体化优势凸显出来


其实,到目前来看,案件有一些进展,但并不大。焦灼之际,该案件中涉及到的专门问题引起了高检院司法鉴定中心领导的高度重视。


我们将此案检材克隆一份加密寄到最高检。时不我待听取了我们前期的取证工作后认为,不能将思路局限于“林氏软件”的数据库上,要打破现有的思路局限,找到新的突破方向。随后,指派取证专家刘二能同志一起研究此案,将研究思路从餐饮管理软件转向了一个叫“简易付.银盒子”的支付宝代收款软件。


几个人组建了一个微信群讨论,平时我们话不多,但一讨论起工作和研究思路大家都是兴奋不已,加班加点废寝忘食,“新晋奶爸”刘二能更是哄孩子入睡后起来继续研究。


功夫不负有心人,经过5天4夜的连续奋战,刘二能发现,一个大小为92.2MB的“box.o2o”文件,其实质上是一个sqlite数据库文件,从中成功提取到自2016年4月20日至10月20日详细的锅底销售记录,案件有了重要突破。


销售数据从2个月,扩大到了8个月。


后经大家一起分析,将案件涉及的有关情况梳理如下:


1、从“简易付.银盒子”软件4月20日的日志记录里看,该时间应该为当日初次安装此软件并启用。


2、数据库里包含的两种表“结账单”(打印给顾客的小票)和“付款回执单”(支付宝代收凭证)。在“林氏软件”使用期间,通过支付宝支付的账单也有打印出详 56 31220 56 17569 0 0 8484 0 0:00:03 0:00:02 0:00:01 8483的锅底销售记录,但是10月20日之后,“简易付.银盒子”软件里“付款回执单”就只有通过支付宝收款记录,并无详细的锅底销售记录。因此“简易付.银盒子”软件与“林氏软件”配合使用。


3、“屏芯软件”并未通过“简易付.银盒子”软件收款。


至此,我们得到了除了1月21日至4月19日期间的所有锅底销售数据。


下图为好味道火锅店软件使用时间分析:

下图为提取的部分销售数据截图:



下图为消费者点餐的详细记录截图:







请长按选择识别图中的二维码并关注【信息时代的犯罪侦查】公众号,了解犯罪手段、侦查技术、办案心得,做到自我提升、自我救赎!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存