ImageVerifierCode 换一换
格式:PDF , 页数:5 ,大小:338.48KB ,
资源ID:1528688      下载积分:5000 积分
快捷下载
登录下载
邮箱/手机:
温馨提示:
如需开发票,请勿充值!快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝扫码支付 微信扫码支付   
注意:如需开发票,请勿充值!
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【http://www.mydoc123.com/d-1528688.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(GA T 1071-2021 法庭科学 电子物证Windows操作系统日志检验技术规范.pdf)为本站会员(周芸)主动上传,麦多课文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知麦多课文库(发送邮件至master@mydoc123.com或直接QQ联系客服),我们立即给予删除!

GA T 1071-2021 法庭科学 电子物证Windows操作系统日志检验技术规范.pdf

1、 ICS 13.310 CCS A 92 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T 1071 代替GA/T 1071 2013 法庭科学 电子物证Windows 操作系统 日 志 检验技 术规范 Forensic sciences Technical specifications for Windows operating system log examination 中华人民 共和国 公安部 发 布 GA - - 发布 - - 实施 GA/T 1071 I 前 言 本文件按照GB/T 1.1 2020标准化工作导则 第1部分:标准化文件的结构和起草规则的规 定起草

2、 。 本文件代替GA/T 1071 2013法庭科学 电子物证Windows 操 作 系 统 日 志 检 验 技 术 规 范 , 与 GA/T 1071 2013 相比 ,除 编辑性 修改 外, 主要 技术 变化如 下: 更改了范 围 , 增 加 了 操 作 系 统 类 型 ( 见 第1 章 ,2013 年版的第1 章 ); 增加了 规 范 性 引 用 文 件 ( 见 第2章); 更改了硬件设备(见4.1 ,2013 年版的3.1 ); 更改了软件设备,将2013 年 版的3.2.1 和3.2.2 内容重新整合为4.2 (见4.2 ,2013 年版的3.2); 更改了检验对象 , 增 加 了

3、样本(见5.15.4 ,2013 年版的4.14.4 ); 更 改哈希值为数据完整性校验值(见5.4.3 ,2013 年版的4.4.3 ); 更改了日 志 检 验 步 骤 ( 见5.4.45.4.8 ,2013 年 版的4.4.4-4.4.7 ); 更改了检出数据 的 保存方法及要求(见5.5 ,2013 年 版的4.5 ); 更改了检 验 结 果 表 述 ( 见 第6 章 ,2013 年 版的第5 章 ); 更改了附则(见第7 章 ,2013 年 版的第6 章 )。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件 由 全 国 刑 事 技 术 标 准 化 技

4、 术 委 员 会 电 子 物 证 检 验 分 技 术 委 员 会 (SAC/TC179/SC7 )提 出 并归口。 本文件 起 草 单 位 : 中 国 刑 事 警 察 学 院 、 公 安 部 物 证 鉴 定 中 心 、 公 安 部 网 络 安 全 保 卫 局 。 本文件 主 要 起 草 人 : 汤 艳 君 、 秦 玉 海 、 楚 川 红 、 郭 丽 莉 、 高 洪 涛 、 刘 奇 志 、 罗 文 华 、 吴倩、高 杨。 本文件 所代 替文件 的 历次 版本发 布情 况为 : GA/T 1071 2013 。 GA/T 1071 1 法庭科学 电 子物 证Windows 操作 系统日志 检验技

5、术规范 1 范围 本 文件规 定 了 法 庭 科 学 领 域 中 电 子 物 证Windows 操 作 系 统 , 包 括Windows 2000 、Windows XP 、 Windows 2003 、 Windows Vista 、 Windows 7 、 Windows 8 、 Windows 10 和 Windows Server 2000/2003/2008/2012/2016 等日志 检验 的 术 语和 定义 、仪器 设备 、操 作步 骤、 检验结 果表 述及 附则 。 本 文件 适用 于法 庭科 学领 域 中电 子物 证Windows 操 作系统 日志 的检 验。 2 规范性 引

6、用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款 。 其 中 , 注日 期的 引用 文件, 仅该日 期对 应的 版本 适用 于本文 件; 不注 日期 的引 用文件 , 其 最新 版本 (包 括所有 的修 改单 ) 适 用于 本 文件。 GB/T 29360 电 子物 证数 据 恢复检 验规 程 GB/T 29362 电 子物 证数 据 搜索检 验规 程 3 术语和 定义 GB/T 29360 、GB/T 29362 界定的 以及 下列 术语 和定 义适用 于本 文件 。 3.1 Windows 操 作系 统日 志 Windows operati

7、ng system log Windows 操 作系 统所 指定 对象的 操作 和其 操作 结果 按时间 排列 有序 的集 合 。 包括 应 用程 序日 志 、 安 全日志 和系 统日 志 。 3.2 应用程 序日 志application log 应用程 序产 生的 事件 记录 。 3.3 安全日 志security log 安全相 关 的 事件 记录 ,包 括成功 和不 成功 的登 录或 退出、 系统 资源 使用 等 。 3.4 系统日 志system log Windows 操 作系 统组 件产 生的事 件记录, 主 要包 括 驱动程 序 、 系 统组 件和 应 用软件 的崩 溃以 及数

8、 据 丢失错 误等 。 4 仪器设 备 4.1 硬件 存储介 质、 保全 备份 设备 、具有 只读 接口 的电 子物 证检验 工作 站、照 相 录像 设备。 GA/T 1071 2 4.2 软件 Windows 操 作系 统日志 检验 软件 、Windows 操 作系 统提供 的事 件查 看器 、数 据恢复 软件 。 5 操作步 骤 5.1 检材 及 样本 编号 对送检 的检 材 ( 样本 ) 进 行唯一 性编 号。 5.2 检材 及 样本 拍照 将 送检 的检 材 ( 样本 ) 加 上唯一 性编 号进 行拍 照。 5.3 检材 及 样本 保全 备份 对具备 保全 条件 的检 材 ( 样本)

9、进行 保全 备份 。 5.4 检验 5.4.1 启动杀 毒软 件对 电子 物证 检验工 作站 系统 进行 杀毒 。 5.4.2 将检材 (若 已保 全, 使用 保全的 存储 设备 )通 过只 读方式 连接 到电 子物 证检 验工作 站。 5.4.3 计算检 材 ( 样本 ) 的 数据 完整性 校验 值。 5.4.4 按照 GB/T 29360 和 GB/T 29362 对检 材 进 行数 据恢 复 、搜 索 Windows 操 作系 统 日志 文件 。 5.4.5 Windows 2000 、Windows XP 、Windows 2003 、Windows Server 2000/2003

10、操 作 系统日 志 默 认存 储路径是%systemroot%System32config , 应 用 程 序 日 志 、 安 全 日 志 和 系 统 日 志 对 应 的 文 件 名 分 别 为 AppEvent.evt 、SecEvent.evt 和 SysEvent.evt 。 5.4.6 Windows Vista 、Windows 7、Windows 8、Windows 10 、Windows Server 2008/2012/2016 操作 系 统 日志 默认 存储 路径 是%systemroot%System32winevtlogs , 应 用程 序日 志、安 全日 志 和 系统

11、日志 对应 的文件 名分 别 为 Application.evtx 、Security.evtx 和 System.evtx 。 5.4.7 使用检验 工 具对 日志 文件 内容进 行检 验。 5.4.8 将检出 的日 志文 件 按 检验 要求筛 选后 复制 到检 验专 用存储 介质 中 并 计算 数据 完整性 校验 值 。 5.5 检 验结 果保存 将检出 数据 采用 封盘 刻录 方式刻 录 在 不可 擦写 的空 白光盘 上或者 保 存在 专用 存储介 质中 , 并 计算 检 出数据 的完 整性 校验 值 。 6 检验 结 果表述 检验结 果表 述应 符合 以下 规定: a) 检验结 果分 为检 出、 未检 出、不 具备 检验 条件 三种 ; b) 检验结 果应 根据 检验 要求 对 检材 、检 验范 围、 检验 所得进 行客 观、 概括 、有 针对性 的描 述; c) 结果表 述应 包含 检材 编号 、 检 出情 况、 检出 数据 文 件或保 存检 出数 据介 质 完 整性校 验值 、 保存 检出数 据介 质编 号等 必要 信息。 7 附则 GA/T 1071 3 7.1 在检验 过程 中应 做检 验记 录。 7.2 在检验 过程 中, 不应 改变 检材中 的数 据。 7.3 应对送 检检材 做 好防 水、 防磁、 防静 电和 防震 保护 。

copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1