GA_T 1477-2018法庭科学计算机系统接入外部设备使用痕迹检验技术规范.pdf

ICS_13.310A 92GA中华人民共和国公共安全行业标准GA/T 1477—2018法庭科学计算机系统接入外部设备使用痕迹检验技术规范Technical specifications for examination of traces of using externalequipment in computer systems in forensics2018-04-17发布2018-04-17实施中华人民共和国公安部发布 GA/T 1477—2018前言本标准按照GB/T1.1—2009给出的规则起草，请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会（SAC/TC179/SC7)提出并妇口，本标准起草单位：中国刑事警察学院物证鉴定中心、公安部物证鉴定中心。本标准主要起草人：罗文华、汤艳君、段严兵、秦玉海、高洪涛、彭丽娟、王强、张国臣。- GA/T 1477—2018法庭科学计算机系统接入外部设备使用痕迹检验技术规范1范围本标准规定了典型计算机系统环境下外部接入设备使用痕迹检验的方法。本标准适用于法庭科学领域中的电子物证检验。2规性引用文件下列文件对于本文件的应用是必不可少的，凡是生日期的引用文件，仅注日期的版本透用于本文件，凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单)适用于本文件。GB/T29360—2012电子物证数据炭复检验规程GA/T756—2008数字化设备证据数据发现提取固定方法GA/T1071—2013法庭科学电子物证Windows操作系统日志检验技术规范3术语和定文GB/T29360—2012.GA/T756—2008、GA/T1071—2013界定的以及下列术语和定义适用于本文件。3.1外部设备external equipment在计算机主机处理数据前后，负责数据的传输、转送及存储的设备。3.2系统文件system file用于存放操作系统重要信息的文件，一般在操作系统启动或运行过程中自动创建及维护，3.3用户文件user file用于存放用户信息的文件，一般通过用户行为创建与维护。4仪器设备4.1硬件存储介质、保全备份设备、只读设备和专用电子物证检验设备。4.2软件4.2.1操作系统：Windows、Unix/Linux、MacOS等。4.2.2软件工具：电子物证检验综合分析软件、系统文件专用查看类工具、用户文件专用查看类工具。1 GA/T 1477—20185操作步骤5.1检材编号对送检的检材进行唯一性编号。5.2检材拍照对送检的检材加上唯一性编号进行拍照，5.3检材保全备份对具备保全条件的检材进行保全备份。5.4检验5.4.1启动杀毒软件对电子物证检验工作站系统进行杀毒。5.4.2对检材（若已保全，使用保全的存储设备）通过只读设备接到电子物证检验工作站。5.4.3使用电子物证检验综合分析软件或专用工具针对计算机系统中的系统文件进行检验，获取外部接人设备使用痕迹，包括设备序列号、设备制造厂商、设备类型、首次接入时间、最近接入时间等信息。对于Windows系列操作系统，重点检验注册表中与设备相关的表项信息；在注册表证据源被破坏的情况下，可依次检验设备安装文件及系统事件日志，对于Unix/Linux，主要检验设备管理文件，MacOS则检验设备树文件。5.4.4在未能够基于系统文件获取到关键信息的情况下，可通过用户文件分析源文件存放路径，进而判断其是否来自外部设备；也可通过用户自行安装的客户端或服务器管理软件挖掘外部设备的接入记录。5.4.5对于已被删除的系统文件及用户文件，依据GB/T29360—2012进行数据恢复后，再按步骤5.4.3与5.4.4所述方法开展检验，5.5检出数据保存将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中，并计算检出数据的哈希值。6检验结果表述检验结果表速应符合以下规定：a)检验结果分为检出、未检出、不具备检验条件3种；检验结果应根据检验要求对检验对象、检验范围、检验所得进行客观、概括、有针对性的措述；c)结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据介质哈希值、保存检出数据介质编号等必要信息。7附则7.1在检验过程中应做检验记录。 GA/T 1477—20187.2在检验过程中，不宜改变检验对象中的数据。7.33在检验过程中，检验出的数据应存储到专用的存储介质中，7.44应对送检的检验对象做好防水、防磁、防静电和防震保护， GA/T 1477—2018中华人民共和国公共安全行业标准法庭科学计算机系统接入外部设备使用痕迹检验技术规范GA/T 1477—2018-中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100029)