GA T 756-2021 法庭科学 电子数据收集提取技术规范.pdf

1、 ICS 35.220.20 CCS A 90 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA GA/T 756 代替 GA/T 756-2008 法庭科学 电子数据 收集提取 技术规范 Forensic sciences Technical specifications for collection and acquisition of digital evidence 中华人民 共和国 公安部 发 布 - - 发布 - - 实施 GA/T 756 I 前 言 本文件 按照GB/T 1.1 2020 标 准化 工作 导则 第1 部 分：标 准化 文件 的结 构和 起草规 则

2、 的规 定起草 。 本 文件 代替GA/T 756 2008 数 字化 设备 证据 数据 发 现提取 固定 方法 ， 与GA/T 756 2008 相 比，除 编辑 性修 改外 ，主 要技术 变化 如下 ： 更 改了 范围 （见 第1 章 ，2008 年版 的 第1章 ）； 更 改了 规范 性引 用文 件（见 第2 章，2008 年版 的 第2章 ）； 删 除了 “数 字化 设备”、 “本地 数 字化 设备 ” 、 “远程 数字 化设 备 ” 、 “ 证据数 据 ” 、 “证 据数据 发现 提取”、 “固定 证 据数 据 ” 、 “ 逐 比特 一致 ”、 “含 义一 致 ” 、 “可 再 现数

3、据 ”、 “不可 再现 数据 ” 、 “ 证 据数据 原始 性 ” 、 “证 据 数据 完 整性 ” 、 “ 哈希 值 ”、 “原 始电 子数据 存储 介质 ”、 “检 验用例 ”（ 见2008 年版 的3.1、3.1.1 、3.1.2，3.23.13 ）； 增加 了 “ 计算 机信 息系 统 ”、 “ 本 地计 算机 信息 系 统 ” 、“ 电子 数据 收集 提 取 ” 、 “ 冻 结”（ 见3.13.4）； 增 加了 记录 检材 情况 内容（ 见4.1.1 、4.1.2 ）； 更 改了 “设计 检 验用 例 ”， 标题 名称 改为 “收集 提取 方法 ” ， 并 更 改了 部分内容 （见4

4、.2 、 4.2.14.2.11，2008 年版 的4.2 、4.2 a ） c ） ； 更改 了“ 发现 提 取固定 证 据数 据 ” ，标 题名 称改 为 “收集 提 取电 子 数据的 步 骤 ” ， 并 更 改了部 分内 容（见4.3 、4.3.14.3.9 ，2008 年版 的4.3 、4.3 a ） k ）； 更改 了“ 检验 记录 ”， 标 题名 称改 为“ 记录 ”， 并 更改 了 部 分内 容（见5、5.15.6，2008 年版的4.4 、4.4.14.4.4 ）； 增 加了 “收 集提 取 结 果表述 ”（见 第6章 ）。 请注意 本文 件的 某些 内容 可能涉 及专 利。

5、本文 件的 发布机 构不 承担 识别 专利 的责任 。 本文件 由 全 国刑 事 技 术标 准 化 技 术 委 员会 电 子 物证检 验 分 技 术 委员 会 （SAC/TC179/SC7 ） 提出 并归口 。 本 文件 起草 单位 ： 公安 部 网络安 全保 卫局 、 大连 市 公安局 、 天津 市公 安刑 事 侦查局 、 司法 鉴定 科学研 究院 、厦 门市 美亚 柏科信 息股 份有 限公 司。 本 文件 主要 起草 人： 许剑 卓、 刘 晓宇 、 何 星、 翟晓 飞、 侯 钧雷 、 刘 浩阳 、 范 玮、 田 钊、 万江 山 、 吴倩、 王艺 筱、 姚伟 、 姜 有亮 、 朱国 锋、 郭

6、弘 、张 辉极。 本 文件 所代 替文件 的 历次 版本发 布情 况为 ： GA/T 756 2008 。 GA/T 756 1 法庭科学 电 子数 据 收集提 取 技术 规范 1 范围 本 文件 规定 了 法 庭科 学领 域中 电 子数 据 收 集提 取 的 术语和 定义 、 通用 要求 、 收集提 取步骤、收 集提取 记录 、结 果表 述 。 本 文件 适用 于法 庭科 学领域 中电 子数 据 的 收集 提取 。 2 规范性 引用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款 。 其 中， 注 日期 的引 用 文件 ， 仅 该日 期对 应的

7、 版 本适用 于本 文件 ； 不注 日 期的引 用文 件 ， 其 最新 版 本 （ 包括 所有 的修 改单） 适用于 本文 件 。 GB/T 31167 信 息安 全技 术 云计 算服 务安 全指 南 GA/T 754 电 子数 据存 储 介质复 制工 具要 求及 检测 方法 GA/T 755 电 子数 据存 储 介质写 保护 设备 要求 及检 测方法 GA/T 1069 法 庭科 学 电 子物证 手机 检验 技术 规范 GA/T 1174 电 子证 据数 据 现场获 取通 用方 法 GA/T 1476 法 庭科 学远 程 主机数 据获 取技 术规 范 GA/T 1478 法 庭科 学网 站

8、数据获 取技 术规 范 GA/T 1568 法 庭科 学 电 子物证 检验 术语 3 术语和 定义 GB/T 31167 和GA/T 1568 界 定的以 及下 列术 语和 定义 适用于 本文 件。 3.1 计算机 信息 系统 computer information system 具备自 动处 理数 据功 能的 系统 ，包 括计 算机 、 网络 设备 、通 信设 备 、自 动化 控制设 备及其 包含 的软件 系统 等。 3.2 本地 计 算机 信息 系统 local computer information system 收集提 取 人 员能 物理 接触 、操作 的 计 算机 信息 系统 。

9、 3.3 电子数 据 收 集提 取 collection and acquisition of digital evidence 对 计算 机信 息系 统 中 存储 、处 理、 传输 的电子 数 据 进行搜 索 、分 析 、 截获 ， 并对 收 集提 取的电 子数据 进行 完整 性校 验的 过程。 3.4 GA/T 756 2 冻结 freeze 将 计算 机信 息系 统 中 的数 据在特 定时 间以 特定 状态 进行固 定 ， 保证 其不 再 改 变的措 施。 3.5 屏幕录 像软 件 screen capture software 用于截 获计 算机 屏幕 上显 示的内 容， 并生 成视

10、频文 件的软 件。 4 电子数 据 收 集提 取 通 用要 求 4.1 记录检 材情 况 4.1.1 对于 本地 计算 机信 息系统 、原始 存 储介 质 等 检材， 应记 录： a） 如 检材 为封 存状 态， 应 对拆封 过程 进行 录像 ； b） 对 检材 进行 唯一 性编 号 ； c） 对 检材 逐一 拍照 ，并 记 录其特 征。 4.1.2 对于 通过 远 程 方式访问的计 算机 信 息系 统 （适用时 ）, 应查询 并 记录 计算 机 信息 系统 的IP 地 址、域 名 、 登录 用户 名、 密码 等 相关 内容 。 4.2 收集提 取方法 4.2.1 对于 开机 状态 下的 计算

11、机 信息 系统 ，应 优先 收集提 取 易 失性 数据， 包 括但不 限于 内存 数据 、 解密状 态的 数据 和正 在运 行的程 序数 据， 提取 易失 性数据 后， 在确 保关 机不 会造成 潜在 证据 丢失 的 情况下 ， 应 将设 备关 机， 按照步 骤4.2.2 再次 收集 提 取 。 4.2.2 对于 具备 复制 条件 的 本地 计算 机信 息系 统、 原始存 储介 质 ， 应使 用符 合GA/T 754 要 求的 复 制 工具复制 本地 计 算机 信息 系统 、原始 存 储介 质 ，并 校验本地 计 算机 信息 系统 、原始 存 储介 质 与 复制 生成 的 克隆 存储 介质 或

12、镜 像文 件 的一 致性 ， 将复 制 生成的 克隆 存储 介质 或镜 像文件 作为 收集 提取 对 象。 4.2.3 对于 具备 写保 护条 件的本地 计 算机 信息 系统 、 原始 存储 介质 ，应 使用 符合GA/T 755 要 求的 写 保护设 备， 将本地 计 算机 信息系 统、 原始 存储 介质 通过写 保护 设备 接入 到 收 集提取 设备 上 。 4.2.4 对 于不 启动 计算 机信 息 系统 能收 集 提取 的电子 数 据， 宜优先选择 在不启 动 计算 机信 息 系统 的条件 下 收 集提 取 电 子数 据 。 4.2.5 对于 不具 备写 保护 条件的 手机 等智 能终

13、 端 ， 宜按照GA/T 1069 规 定进 行 收集提 取 电 子数 据 。 4.2.6 对 于 计算 机 内存 数据 、 网 络传 输 数据 等 易失性 数据， 宜 按 照GA/T 1174规定进行 收 集 提取 电 子数据 。 4.2.7 对于 以下 情形 可 采 取打印 、拍 照或 者录像 等 方式固 定相 关 电 子数 据 ： a）无 法扣 押 计 算机 信息 系 统 并且 无法 收集 提取 电子 数据的 ； b）无 法扣 押 原 始存 储介 质 并且无 法 收 集提 取 电 子数 据的； c）存 在电子 数 据自 毁功 能 或装置 ，需 要及 时固 定相 关证据 的； d）需 现场

14、 展示 、查 看相 关 电子数 据的 。 注： 根据采取打印 、拍照或 者录像 等方式固定相 关证据后 ，能够 扣押计算机信 息系统、 原始存 储介质的， 扣押 计算机信息系统 、原始存储 介 质； 不能扣押计 算机信息系 统 、原始存储介质 但能够收集 提 取电子数据的 ， 收集提取电子数据。 4.2.8 对于 远程 访问 的方 式 收集 提取 远程 主机 数据 ， 宜按 照GA/T 1476 规定 进 行 收集 提 取 电子 数据 。 4.2.9 对于 网站 数据 的 收 集提取 ，宜 按照GA/T 1478 规定进 行 收 集提 取 电 子数 据 。 4.2.10 对于 云 计算 平台

15、的 数据， 根据 不同 的 云 计算 环境， 选择 对应 的方 式进 行数据 收集 提取 。 4.2.11 对 于以 下情 形可 以 对电子 数据 进行 冻结 ： GA/T 756 3 a）数 据量 大， 无法 或者 不 便 收集 提取 的； b） 收 集提 取 时 间长 ，可 能 造成电 子数 据被 篡改 或者 灭失的 ； c）通 过网 络应 用可 以更 为 直观地 展示 电子 数据 的； d）其 他需 要冻 结的 情形 。 4.3 收集提 取 电 子数 据 的 步骤 4.3.1 根据 不同 的收 集提 取 方法 ， 准备 所需 软、 硬 件 环境 条件 、 数字 照相 机 、数 字摄 像机

16、 。如 收集 提取设备 为 计算 机的 ， 应 安装屏 幕 录 像软 件， 并使 用杀毒 软件 查杀 病毒 程序 。 4.3.2 对于 以下 情形， 应 启动数 字摄 像机 或屏 幕录 像软件， 记录 计算 机信 息 系统 屏 幕上 显示 的内 容： a） 不 具备 复制 、 不 具备 写 保护条 件的 本地 计算 机信 息系统 、原 始存 储介 质 ； b） 收 集提 取 过 程中 需启动 计算机 信息 系统 的操 作系 统且 不 具备 复制 、不 具备 写保护 条件 的 ； c ） 采用 远程 访问 方式 收 集提 取 电子 数据 时， 对可 能无 法 重复 收集 提取 或者 可能 会 出

17、现 变化的 电子数 据。 4.3.3 根据4.2 规定 的方 法 步骤进 行电 子数 据的 收集 提取。 4.3.4 对于 能复 制导 出成 为数据 文件 的电 子数 据， 将数据 文件 复制 导出 ，并 计算其 完整 性校 验值 。 4.3.5 对于 在 计 算机 信息 系统 屏 幕上 显示 的， 无法 截获转 换成 数据 文件 的信 息， 使用 数字照 相机 或 数字摄 像机 拍摄 屏幕 显示 内容， 将拍 摄获 得的 图像 文件 或 视频 文件 导出 ，并 计算其 完整 性校 验值 。 4.3.6 对于 具备 封存 条件 的本地 计算 机信 息系 统 、 原始存 储介 质 ， 应 在数据

18、 收集提 取 结 束后 ， 重新 封存。 4.3.7 对于需要 启 动 数 字 摄 像 机 或 屏 幕 录 像 软 件 的 ， 应 录 像 记 录 导出文件的 文 件 名 和 完 整 性 校 验 值。 4.3.8 对于 启动 屏幕 录像 软件的 ， 应在 停 止屏 幕录 像软件 后， 导出 生成 的录像 文件 并计 算其 完整 性 校验值 。 4.3.9 对于 使用 数字 摄像 机录像 的 ，应在 停 止录 像 后，将 录 像文 件 的 存储 介 质 封存 并编 号 ，或 将录 像结果 导出 成 录 像视 频 文 件并计 算其 完整 性校 验值 。 5 记录 5.1 对于本 地 计 算机 信息

19、 系统 、存储 介质 等检材 ， 宜记 录以下 内容 ： a） 检 材类 别； b） 检 材型 号； c） 检 材出 厂时 唯一 性编 号 ； d） 检 材的 照片 。 5.2 对于通过 远 程方 式访问 的 计算机 信息 系统 ， 宜 记录 以下内 容 （ 适用 时 ） ： a）计 算机 信息 系统IP 地址； b）域名 ； c） 登 录用 户名 、密 码 。 5.3 对于电 子数 据 的 收集 提取 过程， 宜记 录以 下内 容： a）收集 提取 目 的； b） 设 备和 软件 ； c） 电 子数 据发 现 收 集提 取 操作步 骤； d） 环 境条 件； GA/T 756 4 e） 导

20、出的 电子 数据 文件 的 存储位 置、 文件 名、 文件 格式 、 文件 完整 性校 验值 ； f） 收 集提 取 时 间； g） 人 员。 5.4 对于电 子数 据 的 冻结 ， 宜 记录以 下内 容 ： a）冻结 目 的； b）冻结 账 号； c）冻 结时 间； d）人 员 。 5.5 对于导 出的 录像 文件 ，宜 记录以 下内 容 ： a） 文 件名 ； b） 开 始时 间 ； c） 结 束时 间 ； d） 完 整性 校验 值 ； e）人 员 。 5.6 对于录 像文 件 的 存储 介质 ，宜记 录以 下内 容（ 适用 时）： a） 存 储介 质 编 号； b）录 像开 始时 间； c） 录 像结 束时 间； d） 人 员。 6 收集提 取 结 果表 述 收集提 取 结 果表 述应 符合 以下规 定： a） 结 果分 为提出 、未 提 出 、不具 备 收 集提 取条件3 种 ； b） 收 集提 取结 果根据 收 集 提取要求 对 收集 提取 对象 、 收集 提取 范围 、 收 集提 取 所得 进行 客观 、 概括、 有针 对性 的描 述； c ） 结果 表述 包含 检 材编 号、 收 集提 取 情 况、 提出 数据 文 件或 保存 提出 数据 介质 的 完整 性校验 值、保 存 提 出数 据介 质编 号等必 要信 息。