1.篡改程序的常见手法分析
篡改程序是指对程序做非法改动,以便达到某种舞弊的目的。常见的手法有“陷门”和“特洛伊木马”。
(1)陷门。
从CPU、操作系统到应用程序,任何一个环节都有可能被开发者留下“后门”,即“陷门”。陷门是一个模块的秘密入口,这个秘密入口并没有记入文档,因此,用户并不知道了陷门的存在。在程序开发期间陷门是为了测试这个模块或是为了更改和增强模场面的功能而设定的。在软件交付使用时,有的程序员没有去掉它,这样居心不良的人就可以隐蔽地访问它了。
(2)特洛伊木马。
在系统中秘密编入指令,使之能够执行未经授权的功能,这种行为叫特洛伊木马。典型的特洛伊木马是窃取别人在网络上的账号和口令,它有时在合法用户登陆前伪造登陆现场,提示用户输入账号和口令,然后将账号和口令保存到一个文件中,显示登陆错误,退出特洛伊木马程序。用户以为自己输错了,再试一次时,已经是正常的登陆了,用户也就不会怀疑。而特洛伊木马已经获得了有价值的信息躲到一边去了。
可能的舞弊者绝大部分是计算机高手,包括系统管理员、网络管理员、系统操作员、网络黑客等。
可能的证据包括:源文件、数据库文件。
2.篡改程序的审查
(1)程序编码检查法。
检查全部或可疑部分源程序,分析是否有非法的源程序,以确定程序员是否留下“陷门”,同时应注意程序的设计逻辑和处理功能是否恰当。这种方法的具体步骤如下:
①审计人员应根据自身的经验,编写测试程序必要的控制措施。
②分析源程序码,检查是否有必要的控制措施。
③对源程序调用的子程序进行测试,由于一些程序设计人员会在源程序中暗藏子程序,而这些子程序往往用作不合规的会计业务。
(2)程序比较法。
将实际应用中应用软件的目标代码或源代码与经过审计的相应备份软件相比较,以确定是否有未经授权的程序改动。具体实施时,可以借助一些系统工具。
(3)测试数据法。
它是一种模拟某些业务数据,并将测试数据输入系统,通过系统的处理来检查系统对实际业务中同类数据处理的正确性以及对错误数据的鉴别能力的方法。它主要是对各种共同的细节处理的有效性的测试,例如合理性检查、溢位检查、负号检查、校验法检查记录顺序等。审计人员要根据测试的目的确定系统中必须包括的控制措施,应用模拟数据或真实数据测试被审系统,检查处理结果是否正确。
(4)程序追踪法。
使用审计程序或审计软件包,对系统处理过程进行全方位或某一范围内的跟踪处理,得出的结果与系统处理的结果相比较,以判断系统是否完全可靠。运用该方法可以方便地找到那些潜在的可能被不法分子利用的编码段。
