GA_T 1173-2014即时通信记录检验技术方法.pdf

ICS 35.240.01GAA 92中华人民共和国公共安全行业标准GA/T时通讯记录检验技术方法Technical methods for examination of instant messaging data2014-07-09 发布2014-07-09 实施中华人民共和国公安部发布 中华人民共和国公共安全行业标准即时通讯记录检验技术方法GA/T 1173--2014中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号（100045)网址 总编室：（010行中心：010者服务部：（010国标准出版社秦皇岛印刷厂印刷各地新华书店经销*开本880×12301/16　印张0.5　字数10千字2014年9月第一版　2014年9月第一次印刷书号：155066·2-27343如有印装差错由本社发行中心调换版权专有1侵权必究举报电话：(010 GA/T 1173—2014前言本标准按照 GB/T1.1—2009给出的规则起草。本标准由公安部第三研究所提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部第三研究所、北京市公安局刑侦总队。本标准主要起草人：高峰、郭弘、金波、徐隽、姚波、邱敏。1 GA/T 1173-—2014即时通讯记录检验技术方法范围本标准规定了电子数据检验时，即时通讯记录获取、呈现和分析的检验方法。本标准适用于电子数据检验中，获取、呈现和分析即时通讯记录。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。GA/T756－2008数字化设备证据数据发现提取固定方法3术语和定义GA/T756--2008界定的以及下列术语和定义适用于本文件。3.1即时通讯instant messaging-种使用网络进行实时交谈和互传信息的集声音、文字、图像的综合性交流方式。3.2即时通讯客户端instant messaging client与即时通讯服务器配合运行并且安装在本地操作系统或智能终端中用于接受即时通讯服务的应用程序。3.3易失性即时通讯 volatile instant messaging无需在本地操作系统或者智能终端中安装任何应用程序，仅使用浏览器进行即时通讯，并由服务器提供并维持整个即时通讯网络服务的一种通讯方式。3.4即时通讯协议 instant messaging protocol对即时通讯中对通讯记录内容等数据进行通讯传输控制的规则。3.5即时通讯中所传递的文字消息、传输的文件和语音通话记录等。3.6即时通讯记录文件 instant messaging data file存储即时通讯记录的数据文件。 GA/T 1173—20144检验步骤4.11即时通讯记录文件的固定保全4.1.1确定检材确定检材的步骤：a）对可能存在即时通讯记录的检材进行唯一性标识,并贴上标签;b）对检材拍照,并记录检材的特征。4.1.2获取即时通讯记录文件根据检材，应选用适当的仪器设备，按照GA/T756-2008的要求获取即时通讯记录文件：a）获取即时通讯记录文件的步骤：1）检验即时通讯客户端查找检材中即时通讯中客户端的安装路径和相关用户目录存放路径，获取客户端的版本、用户相关信息和即时通讯记录文件；2）检验易失性即时通讯查找并获取检材中浏览器的版本和浏览器缓存中即时通讯记录文件；服务器端即时通讯记录的检出即时通讯记录。b）计算并校验获取的即时通讯记录文件。4.2即时通讯记录的呈现4.2.1搭建检验环境检验环境应包括：a）针对即时通讯客户端软件版本搭建检验环境；b)l即时通讯记录文件为加密文件时需搭建解密环境。4.2.2客户端即时通讯记录的检出根据搭建的环境将即时通讯记录检出至特定文件，检出的内容应包括：即时通讯客户端的名称、安装路径；a)b）用户目录存放路径；用户即时通讯账号、即时通讯中的昵称和即时通讯账号中关联的邮件、手机等相关信息；c)d)即时通讯历史记录和即时通讯中传递的文件、图片等；e)检出的文件的哈希值。4.3即时通讯记录的真实性分析4.3.1*客户端与服务器端即时通讯记录的验证验证客户端与服务器端即时通讯记录，包括以下内容：a）将客户端即时通讯记录与服务器端即时通讯记录的内容进行比对；b）将两者内容不符的部分进行分析阐述。2 GA/T 1173-20144.3.2即时通讯记录文件的环境分析即时通讯记录文件的环境分析，包括以下内容：a）即时通讯记录文件等的存放路径；b）即时通讯客户端或者浏览器的配置信息；c）即时通讯客户端或者浏览器涉及的