1、 ICS 13.310 A 92 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T 法庭科学 Linux 操作系统日志检验技术 规范 Forensic sciences Technical specifications for examination of Linux operating system logs - -发布 - -实施 中华人民共和国公安部 发布 GA GA /T I 前 言 本标准按照 GB/T 1.1 2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本 标准 由全国刑事技术标准化技术委员会 电子物
2、证检验 分技术委员会 ( SAC/TC 179/SC 7) 提 出 。 本标准 由全国刑事技术标准化技术委员会 ( SAC/TC 179) 归口 。 本 标准 起草单位: 中国刑事警察学院 物证 鉴定中心 、公安部物证鉴定中心。 本 标准 主要起草人: 罗文华、汤艳君、秦玉海、徐国天、高扬、马贺男、楚川红。 GA/T 1 法庭科学 Linux 操作系统 日志 检验技术规范 1 范围 本 标准 规定了 Linux操作系统 日志 检验 的 方法 。 本 标准 适用于 法庭科学 领域 中的电子 物证 检验 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的
3、版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 29360-2012 电子物证数据恢复检验规程 GA/T 1071-2013 法庭科学 电子物证 Windows操作系统检验技术规范 3 术 语和 定义 GB/T 29360-2012、 GA/T 1071-2013界 定的以及下列术语和定义适用于本文件。 3.1 Linux操作 系统日志 Linux operating system log 由 Linux操作系统 进程 syslog记录的 事件信息 。 3.2 日志配置文件 log configuration file 用于记录日志信息来源、
4、信息级别及存储位置的文件 。 3.3 日志管理文件 log management file 用于说明 系统管理日志文件方式 的文件。 4 仪器设备 4.1 硬件 存储 介质 、 保全 备份 设备、电子物证检验工作站。 4.2 软件 4.2.1 操作系统: Windows、 Linux 等 。 4.2.2 软件工具 : 电子 数据 取证 综合分析软件 、 Linux 操作系统 命令 行 。 5 操作步骤 5.1 检材 编号 对送检的检材 进行 唯一性 编号。 5.2 检材 拍照 对 送检的检材 加上唯一性编号进行 拍照。 5.3 检材 保全备份 对具备保全条件的检材 进行保全 备份 。 GA /
5、T 2 5.4 检验 5.4.1 启动杀毒软件对电子物证检验工作站系统进行杀毒。 5.4.2 对 检材(若已保全,使用保全的存储设备) 通过只读接口 接到电子 数据 检验工作站。 5.4.3 对 Linux 操作系统 中的 日志配置 文件进行检验, 确定该系统记录的系统事件信息以及事件信息 存放位置 。 5.4.4 对 Linux 操作系统中的日志管理文件进行检验,确定系统管理日志文件的方式。依据日志管 理 文 件中的内容,确定现有日志与周期备份日志的时间关系。结合检验要求,选择相应日志文件予以分析 。 5.4.5 根据 步骤 5.4.3、 5.4.4 的检验结果,确定检材中需要检验的 Lin
6、ux 操作系统日志文件,使用 电子 数据 检验综合分析软件 或 Linux 操作系统命令 对其 进行检验 。对于明文格式日志,可直接查看;对于二 进制格式日志,使用相应的工具或命令予以解析查看 。 5.4.6 解码后包含有时间信息的日志文件,需结合操作系统所属时区进行时间转换 。 5.4.7 对于已被删除的日志文 件,依据 GB/T 29360-2012 进行数据恢复后,再按步骤 5.4.5、 5.4.6 进行 检验 。 5.4.8 将检出数据存储在专用存储介质中并计算哈希值。 6 检验结 果 的表述 检验结 果 表述符合以下规定: a) 检验结果分为检出、未检出、不具备检验条件三种 ; b) 检验结果应根据检验要求对检验对象、检验范围、检验所得进行客观、概括、有针对性的描述 ; c) 结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据介质哈希值、保存检出数 据介 质编号等必要信息 。 7 附则 7.1 在检验过程中 应做检验记录 。 7.2 在检验 过程中 ,不 应 改变检 材 中的数据。 7.3 应 对送检的检 验 对象 做好防水 、 防磁 、 防静电 和 防震 保护。
