Stats
Actions
Tags
From forensic-audit
执行电子数据取证分析——从系统日志、数据库记录、服务器备份、 邮件归档等电子来源中提取、分析和保存可用作证据的数字信息。 适用于舞弊调查中的证据固定、合规审查中的访问记录追踪、 以及内部调查中的数据复原。
How this skill is triggered — by the user, by Claude, or both
Slash command
/forensic-audit:data-forensics [描述要分析的数据来源类型和调查范围][描述要分析的数据来源类型和调查范围]The summary Claude sees in its skill listing — used to decide when to auto-load this skill
读取 `~/.claude/plugins/config/claude-for-audit/forensic-audit/CLAUDE.md` → 方法论:
读取 ~/.claude/plugins/config/claude-for-audit/forensic-audit/CLAUDE.md → 方法论:
┌─ 取证范围界定 ──────────────────────────────────────────┐
│ 调查案件编号:[编号] │
│ 被调查对象:[个人/部门] │
│ 调查期间:[YYYY-MM-DD 至 YYYY-MM-DD] │
│ 怀疑线索:[具体行为描述] │
│ │
│ 授权范围:[调查授权书编号/范围描述] │
│ 取证权限:[只读 / 全量 / 受限] │
└───────────────────────────────────────────────────────────┘
| 取证类型 | 数据来源 | 分析目标 |
|---|---|---|
| 系统日志取证 | 服务器日志、安全事件日志 | 登录记录、权限变更、文件访问 |
| 数据库取证 | 财务系统 DB、CRM | 数据修改记录、异常时间操作 |
| 邮件取证 | 邮件服务器归档 | 敏感通信、附件传输 |
| 文件系统取证 | 共享文件夹、个人工作区 | 文件删除恢复、隐藏文件 |
| 即时通讯取证 | 企业微信/飞书/钉钉 | 沟通记录、文件分享、群聊 |
| 浏览器取证 | 浏览器历史、缓存 | 访问记录、搜索记录 |
┌─ 系统登录日志分析 ─────────────────────────────────────────┐
│ 日期与时间 │ 用户 │ 操作 │ 源 IP │ 结果 │
│ 2024-12-31 22:15 │ zhang.san │ 登录财务服务器 │ 192.168.1.105 │ 成功 │
│ 2024-12-31 22:16 │ zhang.san │ 导出科目余额表 │ 192.168.1.105 │ 成功 │
│ 2024-12-31 22:30 │ zhang.san │ 修改凭证 P-2401-0022 │ … │ 成功 │
│ 2024-12-31 23:05 │ zhang.san │ 删除导入记录 │ 192.168.1.105 │ 成功 │
│ │
│ ⚠ 标记: │
│ 1. 22:15 登录 — 非工作时间,该用户通常 18:00 前下班 │
│ 2. 该用户无财务系统导出权限,但当晚拥有 │
│ 3. 导出的数据涉及年末关键调整分录 │
│ → 建议检查该用户的权限变更记录 │
└──────────────────────────────────────────────────────────────┘
┌─ 数据库修改日志分析 ───────────────────────────────────────┐
│ 时间戳 │ 用户 │ 表 │ 操作类型 │ 影响行数 │
│ 2024-12-31 22:18:23 │ zhang.s │ GL_Journal │ UPDATE │ 3 │
│ 2024-12-31 22:18:31 │ zhang.s │ GL_JournalItem │ UPDATE │ 6 │
│ │
│ 修改的凭证:P-2401-0022 │
│ 修改前:借:银行存款 1,000,000 / 贷:主营业务收入 1,000,000 │
│ 修改后:借:银行存款 1,200,000 / 贷:主营业务收入 1,200,000 │
│ 修改时间:距离资产负债表日 1 天 │
│ │
│ ⚠ 标记: │
│ - 修改人为非记账人员(系统管理员直接操作数据库) │
│ - 修改时间在结账后的非工作时间 │
│ - 金额变化 20%,无对应合同支持 │
└──────────────────────────────────────────────────────────────┘
┌─ 文件系统分析 ──────────────────────────────────────────────┐
│ 扫描路径:\\server\share\finance\... │
│ 发现的异常文件: │
│ │
│ 文件路径 │ 大小 │ 最后修改日 │ 创建者 │
│ ...\Deal_Records\...\合同补充协议.pdf │ 2.3MB │ 2024-12-30│ zhang.s │
│ ...\Personal\...\bonus_calc.xlsx │ 15KB │ 2024-12-28│ zhang.s │
│ │
│ ⚠ 标记: │
│ - 合同补充协议未在合同管理系统中登记 │
│ - bonus_calc.xlsx 存放在个人文件夹,非共享文件夹 │
│ - bonus_calc.xlsx 中记录的奖金分配与 HR 系统数据不一致 │
└──────────────────────────────────────────────────────────────┘
┌─ 证据固定记录 ─────────────────────────────────────────────┐
│ 证据编号:E-001 │
│ 证据描述:2024-12-31 数据库日志—凭证 P-2401-0022 修改记录 │
│ 来源:财务系统数据库审计日志(表:GL_Journal_Audit) │
│ 获取方式:只读查询,导出为 CSV │
│ 获取时间:2025-01-15 10:30 │
│ 获取人:[姓名] │
│ 哈希值(SHA-256):A3F2C8... │
│ 保管人:[姓名] │
│ 移交记录: │
│ [日期] 从 [姓名] 移交至 [姓名] — 目的:[分析] │
│ │
│ ⚠️ 证据链要求:未经哈希验证的副本不应作为证据。 │
└──────────────────────────────────────────────────────────────┘
┌─ 调查时间线 ───────────────────────────────────────────────┐
│ 2024-12-28 17:30 │ zhang.s 创建 bonus_calc.xlsx │
│ 2024-12-30 14:00 │ zhang.s 将"合同补充协议.pdf"保存至共享目录 │
│ 2024-12-31 10:00 │ zhang.s 被临时授予财务系统管理员权限 │
│ 2024-12-31 22:15 │ zhang.s 登录财务服务器 │
│ 2024-12-31 22:18 │ zhang.s 修改凭证 P-2401-0022(增额 20 万)│
│ 2024-12-31 22:30 │ zhang.s 导出修改后的科目余额表 │
│ 2024-12-31 23:05 │ zhang.s 删除系统操作日志(部分) │
│ 2024-12-31 23:30 │ zhang.s 退出登录 │
│ 2025-01-02 09:00 │ 财务部发现年末凭证异常 │
└──────────────────────────────────────────────────────────────┘
[案件编号]_DF_[日期]_[数据源].md — 电子数据取证报告
├── 一、取证范围与授权
├── 二、取证方法说明
├── 三、发现(按数据源分组)
│ ├── 系统日志分析
│ ├── 数据库审计日志
│ └── 文件系统分析
├── 四、证据清单(含哈希值)
├── 五、调查时间线
├── 六、初步结论与建议后续步骤
└── ⚠️ 调查工作记录 — 保密
/forensic-audit:transaction-analysis — 对取证发现的异常交易深入分析/forensic-audit:benford-analysis — 对提取的交易数据进行数字分布检验/forensic-audit:red-flags — 用取证发现的线索更新红旗评估Creates, edits, and optimizes skills for Claude Code, including drafting, evaluating with test prompts, iterating on performance, and improving skill descriptions for better triggering accuracy.
npx claudepluginhub lm93129/claude-for-audit --plugin forensic-audit