25破坏性程序检验操作规范.docxVIP

司法鉴定技术规范SF/Z JD0403002——2015破坏性程序检验操作规范2015-11-20 发布2015-11-20 实施中华人民共和国司法部司法鉴定管理局发 布SF/Z JD0403002——2015目次前言I1 目的和范围12 规范性引用文件13 术语和定义14 检验步骤15 检验记录36 检验结果3SF/Z JD0403002——2015前言本技术规范按照 GB/T 1.1-2009 给出的规则起草。 本技术规范由上海辰星电子数据司法鉴定中心提出。 本技术规范由司法部司法鉴定管理局归口。 本技术规范起草单位：上海辰星电子数据司法鉴定中心。 本技术规范主要起草人：蔡立明、郭弘、杨涛、沙晶、崔宇寅、张云集。 本技术规范为首次发布。ISF/Z JD0403002——2015破坏性程序检验操作规范1 范围本技术规范规定了对计算机信息系统中的破坏性程序进行检验、分析的操作规范和步骤。本技术规范适用于计算机信息系统中的破坏性程序的检验鉴定。2 规范性引用文件下列文件对于本技术规范的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于 本技术规范。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本技术规范。SF/Z JD0100000－2012电子数据司法鉴定通用实施规范3 术语和定义SF/Z JD0100000－2012 电子数据司法鉴定通用实施规范所确立的以及下列术语和定义适用于本 技术规范。3.1计算机信息系统 computer information system指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。3.2破坏性程序 destructive programs对计算机信息系统的功能或计算机信息系统中存储、处理或者传输的数据等进行未授权地获取、删除、增加、修改、干扰及破坏等的应用程序。3.3程序行为 program behavior程序在运行期间与计算机信息系统的交互及其对计算机信息系统产生的影响。3.4静态分析 static analysis在没有真正执行程序的情况下，对可执行程序进行的分析。3.5动态分析 dynamic analysis在程序运行过程中，对可执行程序的程序行为进行的分析。3.6逆向分析 reversing analysis对可执行程序进行反编译，通过分析反编译代码获知可执行程序的程序行为及其实现过程。4 检验步骤待检破坏性程序的固定保全当检材为电子文件时，对电子文件进行备份，并计算哈希值。1SF/Z JD0403002——2015当检材为数字化设备时：对检材进行唯一性标识，并贴上标签；对检材进行拍照或录像，记录其特征。 4.1.2.1 当检材为开机状态时：对检材屏幕的显示内容进行拍照或录像；在条件允许的情况下，获取检材内存镜像并计算哈希值；对检材存储介质中的待检破坏性程序进行备份，并计算哈希值。 4.1.2.2 当检材为关机状态时：对于具有写保护条件的，应将检材中的存储介质通过写保护设备连接至检验设备上；关闭检验设备上的各种安全防护软件，防止安全防护软件自动将待检破坏性程序删除；对待检破坏性程序进行固定保全时，应将待检破坏性程序与检验设备上的其它程序及文件等进 行隔离，防止待检破坏性程序对检验设备上的系统、程序、文件等造成破坏；计算待检破坏性程序的哈希值。待检破坏性程序检验环境的搭建根据待检破坏性程序的运行环境，搭建相应的检验环境，搭建的检验环境应确保其具备触发待 检破坏性程序运行的条件，并确保待检破坏性程序能够正常运行。在检验环境中安装必要的系统监控、网络监控和程序分析等工具。避免安装与待检破坏性程序检验无关的软件程序等，以免影响待检破坏性程序的正常运行。在条件允许的情况下，可搭建虚拟检验环境对待检破坏性程序进行实验分析。待检破坏性程序的检验分析待检破坏性程序的静态分析根据待检破坏性程序的具体情况，对待检破坏性程序进行静态分析，分析内容可包括：待检破坏性程序的基本信息，包括文件的大小、创建时间、修改时间和版本号等；检验待检破坏性程序文件的文件类型，以帮助了解待检破坏性程序的本质和意图；将待检破坏性程序与已知样本破坏性程序进行相似性比对，或使用反病毒软件和反间谍软件 扫描待检破坏性程序文件，以确定待检破坏性程序文件是否具有已知恶意代码的特征码；检测待检破坏性程序是否具有防检测分析的保护工具，如加壳、加密等情况。若存在防检测分 析的保护工具，可根据需要先去除保护工具。待检破坏性程序的动态分析根据待检破坏性程序的具体情况，对待检破坏性程序进行动态分析，分析内容可包括：待检破坏性程序行为监控a）执行待检破坏性程序，在待检破坏性程序运行过程中，通过观察屏显等方法检验计算机信息系 统中是否发生异常情况，若存在异常情况，应分析异常情况的产生是否与待检