GA_T 1070-2021CN法庭科学 计算机开关机时间检验技术规范.pdf

ICS 13.310CCS A 92GA中华人民共和国公共安全行业标准GA/T 1070—2021代替 GA/T 1070—2013法庭科学计算机开关机时间检验技术规范Forensic sciences—Technical specifications for computer switch time examination2021-10-14发布2022-05-01实施中华人民共和国公安部发布 GA/T 1070—2021前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草，本文件代替GA/T1070—2013(法庭科学计算机开关机时间检验技术规范》，与GA/T1070—2013相比，除编辑性修改外，主要技术变化如下，更改了范国（见第1章，2013年版的第1章）；更改了检验方法（见5.6，2013年版的4.6、4,7)，更改了检验结果的表述（见第7章，2013年版的第5章）；增加了对于时间差的记录要求（见8.1)。请注意本文件的某些内可能涉及专利。本文件的发布机构不承担识别专利的费任。本文件由全国刑事技术标准化技术委员会电子物证分技术委员会(SAC/TC179/SC7)提出并归口。本文件起章单位，中国人民公安大学、公安部物证鉴定中心、公安部网络安全保卫局、山西省公安厅、吉林省公安厅物证鉴定中心、福建中证司法鉴定中心。本文件主要起草人：丁锰、邢桂东、郭圃莉、梁宝生、陈维娜、沈尧、郭威、胡壮、许晓宇、万江山。本文件所代替文件的历次版本发布情况为：GA/T 1070—2013,I GA/T 1070—2021法庭科学计算机开关机时间检验技术规范1慈围本文件规定了法庭科学领域中计算机开关机时间检验的术语和定义、检验工具、操作步骤、检验、检验结果保存和检验结果的表速，适用的计算机操作系统为Windows2000、WindowsXP、Windows2003, Windows Vista, Windows 7,Windows 8, Windows 8.1, Windows 10本文件适用于法庭科学领域中的计算机开关机时间检验。2规范性引用文件下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单)适用于本文件。GB/T 29360电子物证数据恢复检验规程GB/T 29362电子物证数据有哪些信誉好的足球投注网站检验规程3术语和定义下列术语和定义适用于本文件。3.1计算机开机时间time of switching on the computer计算机开机后操作系统启动完毕时的系统时间。3.2计算机关机时间time of switching off the computer计算机关机退出操作系统时的系统时间。4检险工具4.1硬件照录像设备、存储介质保全备份设备、具有只读接口的电子物证检验工作站（或只读设备）。4.2软件具有解析Windows系统目惠功能、检验Windows系统开关机时间功能等检验软件。5操作步骤5.1检材及样本编号对送检的检材及样本进行唯一编号。1 GA/T 1070—20215.2检材及样本拍照对送检的检材及样本拍照，5.3检验工作站杀毒启动杀毒软件对电子物证检验工作站进行杀毒。5.4检材及样本保全对具备保全条件的检材及样本进行保全备份，并计算检材及样本数据完整性校验值。5.5检材连接方法将检材及样本(若已保全备份，应使用备份）通过只读方式连接到电子物证检验工作站。5.6检验5.6.1数据检验5.6.1.1采用GB/T29360和GB/T29362检验方法恢复有哪些信誉好的足球投注网站“SysEvent.evt或“System.evtx文件，使用具有解析Windows系统日志功能的软件工具解析查看SysEvent.evt或“System.evtx文件，查找并导出以下时间信息：a)来源为Eventlog、事件ID为6005的事件日志服务启动时间信息；b)来源为Eventlog、事件ID为6006的事件日志服务停止时间信息；c)来源为Eventlog、事件ID为6008的系统意外关闭时间信息；d)来源为Eventlog、事件ID为6013的系统启动时长信息；e)来源为Kernel-General、事件ID为12的操作系统启动时间信息；f)来源为Kernel-General、事件ID为13的操作系统关闭时间信息；g)来源为Kernel-Power、事件ID为41的操作系统在非正常关机情况下启动时间信息；h)来源为Kernel-Power、事件ID为42的操作系镜进人睡眠状态时间信息；i)来源为Kernel-Power、事件ID为107的操作系统从避眠状态恢复时间信息；j)来源为Power-Troublesh