1、 ICS 13.310 CCS A 92 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA GA/T 1070 代替GA/T 1070 2013 法庭科学 计算机开 关机时间 检验技术 规范 Forensic sciences Technical specifications for computer switch time examination 中华人民 共和国 公安部 发 布 - - 发布 - - 实施 GA/T 1070 I 前 言 本文件 按 照 GB/T 1.1 2020 标 准化 工作 导则 第 1 部分: 标准 化文 件的 结构 和起草 规则 的 规定 起草。
2、本 文件 代替GA/T 1070 2013 法 庭科 学计 算机 开关 机时间 检验 技术 规范 , 与GA/T 1070 2013 相 比,除 编辑 性修 改外 ,主 要技术 变化 如下 : 更改 了 范围 (见 第1 章 ,2013 年版 的 第1章 ); 增 加了 规范 性引 用文 件(见 第2 章); 更改 了 检验 方法 (见5.6 ,2013 年 版的4.6、4.7 ); 更改 了 检验 结果 的表 述(见 第7 章,2013 年版 的 第5章 ); 增 加了 对于 时间 差的 记录要 求( 见8.1 ) 。 请注意 本文 件的 某些 内容 可能涉 及专 利。 本文 件的 发布机
3、构不 承担 识别 专利 的责任 。 本 文件 由全 国刑 事技 术标 准化技 术委 员会 电子 物证 分技术 委员 会 (SAC/TC 179/SC 7 ) 提 出并 归口。 本 文件 起草 单位 : 中 国人 民公安 大学 、 公 安部 物证 鉴定中 心、 公安 部网 络安 全保卫 局、 山西 省公 安 厅、吉 林省 公安 厅物 证鉴 定中心 、福 建中 证司 法鉴 定中心 。 本 文件 主要 起草 人: 丁锰 、 邢桂 东、 郭丽 莉、 梁宝 生、 陈 维娜 、 沈 尧、 郭威 、 胡壮 、 许 晓宇 、 万江 山。 本 文件 所代 替文件 的 历次 版本发 布情 况为 : GA/T 10
4、70 2013 。 GA/T 1070 1 法庭科学 计 算机 开关机时 间检验 技术规范 1 范围 本 文件 规定 了 法 庭科 学领 域中计 算机 开关 机时 间检 验的术 语和 定义 、 检验 工 具、 操作 步骤 、 检 验、 检验结果保存 和检验结果 的表 述,适用 的计算机 操 作系统为Windows 2000 、Windows XP 、Windows 2003、Windows Vista 、Windows 7 、Windows 8 、Windows 8.1 、Windows 10 。 本 文件 适用 于 法 庭科 学领 域中的 计算 机开 关机 时间 检验 。 2 规 范性 引
5、用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款 。 其 中, 注日 期的 引用 文 件, 仅该 日期 对应 的版 本 适用于 本文 件 ; 不 注日 期 的引用 文件 , 其最 新版 本 (包 括所 有的 修改 单) 适 用于本 文件 。 GB/T 29360 电 子物 证数 据 恢复检 验规 程 GB/T 29362 电 子物 证数 据 搜索检 验规 程 3 术 语和 定义 下列术 语和 定义 适用 于本 文件。 3.1 计算机 开机 时间 time of switching on the computer 计算机 开机 后操 作系 统启
6、动完毕 时的 系统 时间 。 3.2 计算机关 机时间 time of switching off the computer 计算机 关机 退出 操作 系统 时的系 统时 间。 4 检 验工 具 4.1 硬件 照录像 设备 、存 储介 质保 全备份 设备 、具 有只 读接 口的电 子物 证检 验工 作站 (或只 读设 备) 。 4.2 软件 具有解 析Windows 系 统日 志功能 、检 验Windows 系 统开关 机时 间功 能等 检验 软件。 5 操 作步 骤 5.1 检材及 样本 编号 GA/T 1070 2 对送检 的检 材及 样本 进行 唯一编 号。 5.2 检材及 样本 拍照
7、对送检 的检 材及 样本 拍照 。 5.3 检验工 作站 杀毒 启动杀 毒软 件对 电子 物证 检验工 作站 进行 杀毒 。 5.4 检材及 样本 保全 对具备 保全 条 件 的检 材及 样本进 行保 全备 份, 并计 算检材 及样 本数 据完 整性 校验值 。 5.5 检材连 接方 法 将检材 及样 本( 若已 保全 备份, 应使 用备 份) 通过 只读方 式连 接到 电子 物证 检验工 作站 。 5.6 检验 5.6.1 数 据检 验 5.6.1.1 采用GB/T 29360 和GB/T 29362 检 验方 法恢 复搜索 “SysEvent.evt ” 或“System.evtx ” 文
8、件 , 使用具 有解 析Windows 系 统日志 功能 的软 件工 具解 析查看 “SysEvent.evt”或“System.evtx ” 文件 , 查 找并导 出以 下时 间信 息: a) 来 源为Eventlog 、事件ID 为6005 的 事件 日 志服务 启动 时间 信息 ; b) 来源 为Eventlog 、 事件ID 为6006 的事 件日 志服 务 停止时 间信 息; c) 来 源为Eventlog 、事件ID 为6008 的 系统 意 外关闭 时间 信息 ; d) 来 源为Eventlog 、事件ID 为6013 的 系统 启 动时长 信息 ; e) 来 源为Kernel-
9、General 、事 件ID 为12 的操 作 系统启 动时 间信 息; f) 来源 为Kernel-General 、事 件ID 为13 的操 作 系统关 闭时 间信 息; g) 来 源为Kernel-Power 、 事件ID 为41的 操作 系 统在非 正常 关机 情况 下启 动时间 信息 ; h) 来 源为Kernel-Power 、 事件ID 为42的 操作 系 统进入 睡眠 状态 时间 信息 ; i) 来源 为Kernel-Power 、 事件ID 为107 的操 作 系统从 睡眠 状态 恢复 时间 信息; j) 来源 为Power-Troubleshooter 、 事件ID 为1
10、的 操作系 统从 低功 耗状 态恢 复时间 信息 。 5.6.1.2 使 用具有Windows 系统开关 机时 间检验 功能 的软件 工具进 行检 验,导 出检材 中检出 的开 关机 时间信 息。 5.6.2 数 据分 析 综 合分 析检 出 的 时间 信息 是否 存在 矛盾 或错误, 判 断计算 机 开 关机 时间 。 6 检验结 果保 存 将检出 数据 采用 封盘 刻录 方式刻 录在 不可 擦写 的空 白光盘 上或 者保 存在 专用 存储介 质中 , 并 计 算 检出数 据的 完整 性校 验值 。 7 检验结 果的 表述 检验结 果表 述应 符合 以下 规定: a) 检验结 果分 为检 出
11、、 未检 出、不 具备 检验 条件 三种 ; GA/T 1070 3 b) 检验结 果应 根据 检验 要求 对检验 对象 、 检 验范 围、 检 验所得 进行 客观 、 概 括、 有 针对性 的描 述; c) 结果表 述应 包含 检材 编号 、 检出 情况、 检出 数据 文件 或保存 检出 数据 完整 性校 验值、 保存 检出 数据介 质编 号等 必要 信息 。 8 附则 8.1 检验前 应记 录系 统时 间与 北京标 准时 间的 时间 差。 8.2 在检验 过程 中应 做检 验记 录,导 出的 数据 应使 用专 用 存储介 质存 储。 8.3 在检验 过程 中不 应 改 变送 检检材 中的 数据 。 8.4 对送检 检材 和样 本应 做好 防水、 防磁 、防 震及 防静 电保护 。
