1、 ICS 13.310 CCS A 92 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T 1071 代替GA/T 1071 2013 法庭科学 电子物证Windows 操作系统 日 志 检验技 术规范 Forensic sciences Technical specifications for Windows operating system log examination 中华人民 共和国 公安部 发 布 GA - - 发布 - - 实施 GA/T 1071 I 前 言 本文件按照GB/T 1.1 2020标准化工作导则 第1部分:标准化文件的结构和起草规则的规 定起草
2、 。 本文件代替GA/T 1071 2013法庭科学 电子物证Windows 操 作 系 统 日 志 检 验 技 术 规 范 , 与 GA/T 1071 2013 相比 ,除 编辑性 修改 外, 主要 技术 变化如 下: 更改了范 围 , 增 加 了 操 作 系 统 类 型 ( 见 第1 章 ,2013 年版的第1 章 ); 增加了 规 范 性 引 用 文 件 ( 见 第2章); 更改了硬件设备(见4.1 ,2013 年版的3.1 ); 更改了软件设备,将2013 年 版的3.2.1 和3.2.2 内容重新整合为4.2 (见4.2 ,2013 年版的3.2); 更改了检验对象 , 增 加 了
3、样本(见5.15.4 ,2013 年版的4.14.4 ); 更 改哈希值为数据完整性校验值(见5.4.3 ,2013 年版的4.4.3 ); 更改了日 志 检 验 步 骤 ( 见5.4.45.4.8 ,2013 年 版的4.4.4-4.4.7 ); 更改了检出数据 的 保存方法及要求(见5.5 ,2013 年 版的4.5 ); 更改了检 验 结 果 表 述 ( 见 第6 章 ,2013 年 版的第5 章 ); 更改了附则(见第7 章 ,2013 年 版的第6 章 )。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件 由 全 国 刑 事 技 术 标 准 化 技
4、 术 委 员 会 电 子 物 证 检 验 分 技 术 委 员 会 (SAC/TC179/SC7 )提 出 并归口。 本文件 起 草 单 位 : 中 国 刑 事 警 察 学 院 、 公 安 部 物 证 鉴 定 中 心 、 公 安 部 网 络 安 全 保 卫 局 。 本文件 主 要 起 草 人 : 汤 艳 君 、 秦 玉 海 、 楚 川 红 、 郭 丽 莉 、 高 洪 涛 、 刘 奇 志 、 罗 文 华 、 吴倩、高 杨。 本文件 所代 替文件 的 历次 版本发 布情 况为 : GA/T 1071 2013 。 GA/T 1071 1 法庭科学 电 子物 证Windows 操作 系统日志 检验技
5、术规范 1 范围 本 文件规 定 了 法 庭 科 学 领 域 中 电 子 物 证Windows 操 作 系 统 , 包 括Windows 2000 、Windows XP 、 Windows 2003 、 Windows Vista 、 Windows 7 、 Windows 8 、 Windows 10 和 Windows Server 2000/2003/2008/2012/2016 等日志 检验 的 术 语和 定义 、仪器 设备 、操 作步 骤、 检验结 果表 述及 附则 。 本 文件 适用 于法 庭科 学领 域 中电 子物 证Windows 操 作系统 日志 的检 验。 2 规范性 引
6、用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款 。 其 中 , 注日 期的 引用 文件, 仅该日 期对 应的 版本 适用 于本文 件; 不注 日期 的引 用文件 , 其 最新 版本 (包 括所有 的修 改单 ) 适 用于 本 文件。 GB/T 29360 电 子物 证数 据 恢复检 验规 程 GB/T 29362 电 子物 证数 据 搜索检 验规 程 3 术语和 定义 GB/T 29360 、GB/T 29362 界定的 以及 下列 术语 和定 义适用 于本 文件 。 3.1 Windows 操 作系 统日 志 Windows operati
7、ng system log Windows 操 作系 统所 指定 对象的 操作 和其 操作 结果 按时间 排列 有序 的集 合 。 包括 应 用程 序日 志 、 安 全日志 和系 统日 志 。 3.2 应用程 序日 志application log 应用程 序产 生的 事件 记录 。 3.3 安全日 志security log 安全相 关 的 事件 记录 ,包 括成功 和不 成功 的登 录或 退出、 系统 资源 使用 等 。 3.4 系统日 志system log Windows 操 作系 统组 件产 生的事 件记录, 主 要包 括 驱动程 序 、 系 统组 件和 应 用软件 的崩 溃以 及数
8、 据 丢失错 误等 。 4 仪器设 备 4.1 硬件 存储介 质、 保全 备份 设备 、具有 只读 接口 的电 子物 证检验 工作 站、照 相 录像 设备。 GA/T 1071 2 4.2 软件 Windows 操 作系 统日志 检验 软件 、Windows 操 作系 统提供 的事 件查 看器 、数 据恢复 软件 。 5 操作步 骤 5.1 检材 及 样本 编号 对送检 的检 材 ( 样本 ) 进 行唯一 性编 号。 5.2 检材 及 样本 拍照 将 送检 的检 材 ( 样本 ) 加 上唯一 性编 号进 行拍 照。 5.3 检材 及 样本 保全 备份 对具备 保全 条件 的检 材 ( 样本)
9、进行 保全 备份 。 5.4 检验 5.4.1 启动杀 毒软 件对 电子 物证 检验工 作站 系统 进行 杀毒 。 5.4.2 将检材 (若 已保 全, 使用 保全的 存储 设备 )通 过只 读方式 连接 到电 子物 证检 验工作 站。 5.4.3 计算检 材 ( 样本 ) 的 数据 完整性 校验 值。 5.4.4 按照 GB/T 29360 和 GB/T 29362 对检 材 进 行数 据恢 复 、搜 索 Windows 操 作系 统 日志 文件 。 5.4.5 Windows 2000 、Windows XP 、Windows 2003 、Windows Server 2000/2003
10、操 作 系统日 志 默 认存 储路径是%systemroot%System32config , 应 用 程 序 日 志 、 安 全 日 志 和 系 统 日 志 对 应 的 文 件 名 分 别 为 AppEvent.evt 、SecEvent.evt 和 SysEvent.evt 。 5.4.6 Windows Vista 、Windows 7、Windows 8、Windows 10 、Windows Server 2008/2012/2016 操作 系 统 日志 默认 存储 路径 是%systemroot%System32winevtlogs , 应 用程 序日 志、安 全日 志 和 系统
11、日志 对应 的文件 名分 别 为 Application.evtx 、Security.evtx 和 System.evtx 。 5.4.7 使用检验 工 具对 日志 文件 内容进 行检 验。 5.4.8 将检出 的日 志文 件 按 检验 要求筛 选后 复制 到检 验专 用存储 介质 中 并 计算 数据 完整性 校验 值 。 5.5 检 验结 果保存 将检出 数据 采用 封盘 刻录 方式刻 录 在 不可 擦写 的空 白光盘 上或者 保 存在 专用 存储介 质中 , 并 计算 检 出数据 的完 整性 校验 值 。 6 检验 结 果表述 检验结 果表 述应 符合 以下 规定: a) 检验结 果分 为检 出、 未检 出、不 具备 检验 条件 三种 ; b) 检验结 果应 根据 检验 要求 对 检材 、检 验范 围、 检验 所得进 行客 观、 概括 、有 针对性 的描 述; c) 结果表 述应 包含 检材 编号 、 检 出情 况、 检出 数据 文 件或保 存检 出数 据介 质 完 整性校 验值 、 保存 检出数 据介 质编 号等 必要 信息。 7 附则 GA/T 1071 3 7.1 在检验 过程 中应 做检 验记 录。 7.2 在检验 过程 中, 不应 改变 检材中 的数 据。 7.3 应对送 检检材 做 好防 水、 防磁、 防静 电和 防震 保护 。
copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1