- 您的位置:
- 标准下载网 >>
- 标准分类 >>
- 公共安全行业标准(GA) >>
- GA/T 1070-2013 法庭科学计算机开关机时间检验技术规范
【GA公共安全标准】 法庭科学计算机开关机时间检验技术规范
本网站 发布时间:
2024-11-17 11:30:12
- GA/T1070-2013
- 现行
标准号:
GA/T 1070-2013
标准名称:
法庭科学计算机开关机时间检验技术规范
标准类别:
公共安全行业标准(GA)
标准状态:
现行出版语种:
简体中文下载格式:
.zip .pdf下载大小:
1.92 MB
标准简介/下载点击下载
标准简介:
GA/T 1070-2013.Technical specifications for computer switch time examination in forensics.
1范围
GA/T 1070规定了电子物证检验中操作系统为Windows2000、WindowsXP、Windows2003、Windows Vista、Windows 7的计算机开关机时间的检验方法。
GA/T 1070适用于法庭科学领城中的电子物证检验。
2术语和定义
下列术语和定义适用于本文件。
2.1计算机开机时间time of switch on computer
计算机开机进人操作系统时的系统时间。
2.2计算机关机时间time of switch off computer
计算机关机退出操作系统时的系统时间。
3检验工具
3.1硬件
存储介质保全备份设备、具有只读接口的电子物证检验工作站。
3.2软件
3.2.1操作系 统: Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7
3.2.2工具软件:具有日志查看功能的软件、Windows操作系统提供的事件查看器、具有解析注册表功能的软件以及文本编辑器。
4操作步骤
4.1检材及样本编号
对送检的检材(样本)进行唯一编号。
4.2检材及样本拍照
对送检的检材(样本)加上唯一性编号进行拍照。
4.3检材及样本保全
对具备保全条件的检材(样本)进行保全备份。
4.4检验工作站杀毒
启动杀毒软件对电子物证检验工作站系统进行杀毒。
4.5检材连接方法
将检材(若已保全,使用保全的存储设备)通过只读方式连接到电子物证检验工作站。
标准内容部分标准内容:
ICS13.310
中华人民共和国公共安全行业标准GA/T1070—2013
法庭科学计算机开关机时间检验技术规范Technical specifications for computer switch time examination in forensics2013-09-30发布
中华人民共和国公安部
2013-09-30实施
本标准按照GB/T1.1-2009给出的规则起草。GA/T1070—2013
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国刑事技术标准化技术委员会归口。本标准起草单位:中国人民公安大学刑事科学技术系、公安部物证鉴定中心。本标准起草人:丁锰、郭威、邢桂东。1范围
法庭科学计算机开关机时间检验技术规范GA/T1070-—2013
本标准规定了电子物证检验中操作系统为Windows2000、WindowsXP、Windows2003、WindowsVista、Windows7的计算机开关机时间的检验方法,本标准适用于法庭科学领域中的电子物证检验。2术语和定义
下列术语和定义适用于本文件。2.1
timeofswitchoncomputer
计算机开机时间
计算机开机进人操作系统时的系统时间。2.2
计算机关机时间
timeof switchoff computer
计算机关机退出操作系统时的系统时间。3检验工具
3.1硬件
存储介质保全备份设备、具有只读接口的电子物证检验工作站。3.2软件
3.2.1操作系统:Windows2000,WindowsXP.Windows2003.WindowsVista、Windows7。3.2.2工具软件:具有日志查看功能的软件、Windows操作系统提供的事件查看器、具有解析注册表功能的软件以及文本编辑器。
4操作步骤
检材及样本编号
对送检的检材(样本)进行唯一编号。检材及样本拍照
对送检的检材(样本)加上唯一性编号进行拍照。4.3检材及样本保全
对具备保全条件的检材(样本)进行保全备份。1
GA/T1070-—2013
4.4检验工作站杀毒
启动杀毒软件对电子物证检验工作站系统进行杀毒。4.5检材连接方法
将检材(若已保全,使用保全的存储设备)通过只读方式连接到电子物证检验工作站。4.6系统时区检验
4.6.1查找系统注册表CurrentControlSet键的数据源使用具有解析注册表功能的工具软件加载%SYSTEMROOT%system32\\config路径下的system文件,查找文件包含注册表的HKEY_LOCAL_MACHINE\\SYSTEMISelect子键,记录该键中的Current值,根据Current值确定注册表中HKEY_LOCAL_MACHINEISYSTEM\\CurrentControlSet子键的数据源。当Current值为“1\时,CurrentControlSet键的数据源为HKEY_LOCAL_MACHINESYSTEMControlSetool;当Current值为“2”时,CurrentControlSet键的数据源为HKEY_LOCALMACHINEISYSTEMControlSeto02,以此类推。4.6.2检验系统时区信息
查找HKEY_LOCAL_MACHINEISYSTEMIControlSetooX(X为4.6.1中的Current值))Control\\TimeZoneInformation子键,记录该键中StandardName的值为系统的时区信息。4.7系统开关机时间检验
4.7.1检验与任务计划程序服务有关的时间信息以“SchedLgU.Txt”为关键字在检材中进行搜索,搜索结果记为W1。该文件中“已启动于”字符串后的时间为开机时间、“已退出于”字符串后的时间为关机时间。4.7.2检验与系统日志有关的时间信息在Windows2000、Windows XP或Windows2003中以“SysEvent,evt”为关键字、在WindowsVista或Windows7中以“System,evtx”为关键字进行搜索。使用具有日志查看功能的软件导出事件记录,筛选记录中ID为6005的事件为开机时间,ID为6006的事件为关机时间,筛选后的文件记为W2。
4.7.3时间信息分析和对比
对比W1文件和W2文件中的开关机时间。如果两个文件中的开关机时间相同,取W1文件中的开关机时间作为检出结果。如果两个文件中的开关机时间不同,合并两个文件中的开关机时间作为检出结果。5检验结论的表述
经对编号为\a”~“a,”的检材使用rr软件工具进行技术检验,检验结果如下:检出与yy有关的开关机时间时,表述为:a)
在检材a,中检出与yy有关的开关机时间为:依次列出所有检出的开机和关机时间;系统时区为tt。
b)未检出与yy有关的开关机时间时,表述为在检材a中未检出与yy有关的开关机时间。GA/T1070—2013
注:代表检材编号代表检材个数代表检材序号:rr代表使用软件工具的名称及版本号:yy代表检验要求或样本t为系统时间信息。
6附测
在检验过程中应做检验记录。
6.2在检验过程中,不应改变送检检验对象中的数据。6.3对送检的检材和样本应做好防水、防磁、防震及防静电保护。GA/T1070-2013
中华人民共和国公共安全
行业标准
法庭科学计算机开关机时间检验技术规范GA/T1070—2013
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号(100013)北京市西城区三里河北街16号(100045)网址spc.net.cn
总编室:(010)64275323发行中心:(010)51780235读者服务部:(010)68523946
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
开本880×12301/16印张0.5字数8千字2013年12月第一版
2013年12月第一次印刷
书号:155066·2-26235
如有印装差错由本社发行中心调换版权专有Www.bzxZ.net
侵权必究
举报电话:(010)68510107
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T1070—2013
法庭科学计算机开关机时间检验技术规范Technical specifications for computer switch time examination in forensics2013-09-30发布
中华人民共和国公安部
2013-09-30实施
本标准按照GB/T1.1-2009给出的规则起草。GA/T1070—2013
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国刑事技术标准化技术委员会归口。本标准起草单位:中国人民公安大学刑事科学技术系、公安部物证鉴定中心。本标准起草人:丁锰、郭威、邢桂东。1范围
法庭科学计算机开关机时间检验技术规范GA/T1070-—2013
本标准规定了电子物证检验中操作系统为Windows2000、WindowsXP、Windows2003、WindowsVista、Windows7的计算机开关机时间的检验方法,本标准适用于法庭科学领域中的电子物证检验。2术语和定义
下列术语和定义适用于本文件。2.1
timeofswitchoncomputer
计算机开机时间
计算机开机进人操作系统时的系统时间。2.2
计算机关机时间
timeof switchoff computer
计算机关机退出操作系统时的系统时间。3检验工具
3.1硬件
存储介质保全备份设备、具有只读接口的电子物证检验工作站。3.2软件
3.2.1操作系统:Windows2000,WindowsXP.Windows2003.WindowsVista、Windows7。3.2.2工具软件:具有日志查看功能的软件、Windows操作系统提供的事件查看器、具有解析注册表功能的软件以及文本编辑器。
4操作步骤
检材及样本编号
对送检的检材(样本)进行唯一编号。检材及样本拍照
对送检的检材(样本)加上唯一性编号进行拍照。4.3检材及样本保全
对具备保全条件的检材(样本)进行保全备份。1
GA/T1070-—2013
4.4检验工作站杀毒
启动杀毒软件对电子物证检验工作站系统进行杀毒。4.5检材连接方法
将检材(若已保全,使用保全的存储设备)通过只读方式连接到电子物证检验工作站。4.6系统时区检验
4.6.1查找系统注册表CurrentControlSet键的数据源使用具有解析注册表功能的工具软件加载%SYSTEMROOT%system32\\config路径下的system文件,查找文件包含注册表的HKEY_LOCAL_MACHINE\\SYSTEMISelect子键,记录该键中的Current值,根据Current值确定注册表中HKEY_LOCAL_MACHINEISYSTEM\\CurrentControlSet子键的数据源。当Current值为“1\时,CurrentControlSet键的数据源为HKEY_LOCAL_MACHINESYSTEMControlSetool;当Current值为“2”时,CurrentControlSet键的数据源为HKEY_LOCALMACHINEISYSTEMControlSeto02,以此类推。4.6.2检验系统时区信息
查找HKEY_LOCAL_MACHINEISYSTEMIControlSetooX(X为4.6.1中的Current值))Control\\TimeZoneInformation子键,记录该键中StandardName的值为系统的时区信息。4.7系统开关机时间检验
4.7.1检验与任务计划程序服务有关的时间信息以“SchedLgU.Txt”为关键字在检材中进行搜索,搜索结果记为W1。该文件中“已启动于”字符串后的时间为开机时间、“已退出于”字符串后的时间为关机时间。4.7.2检验与系统日志有关的时间信息在Windows2000、Windows XP或Windows2003中以“SysEvent,evt”为关键字、在WindowsVista或Windows7中以“System,evtx”为关键字进行搜索。使用具有日志查看功能的软件导出事件记录,筛选记录中ID为6005的事件为开机时间,ID为6006的事件为关机时间,筛选后的文件记为W2。
4.7.3时间信息分析和对比
对比W1文件和W2文件中的开关机时间。如果两个文件中的开关机时间相同,取W1文件中的开关机时间作为检出结果。如果两个文件中的开关机时间不同,合并两个文件中的开关机时间作为检出结果。5检验结论的表述
经对编号为\a”~“a,”的检材使用rr软件工具进行技术检验,检验结果如下:检出与yy有关的开关机时间时,表述为:a)
在检材a,中检出与yy有关的开关机时间为:依次列出所有检出的开机和关机时间;系统时区为tt。
b)未检出与yy有关的开关机时间时,表述为在检材a中未检出与yy有关的开关机时间。GA/T1070—2013
注:代表检材编号代表检材个数代表检材序号:rr代表使用软件工具的名称及版本号:yy代表检验要求或样本t为系统时间信息。
6附测
在检验过程中应做检验记录。
6.2在检验过程中,不应改变送检检验对象中的数据。6.3对送检的检材和样本应做好防水、防磁、防震及防静电保护。GA/T1070-2013
中华人民共和国公共安全
行业标准
法庭科学计算机开关机时间检验技术规范GA/T1070—2013
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号(100013)北京市西城区三里河北街16号(100045)网址spc.net.cn
总编室:(010)64275323发行中心:(010)51780235读者服务部:(010)68523946
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
开本880×12301/16印张0.5字数8千字2013年12月第一版
2013年12月第一次印刷
书号:155066·2-26235
如有印装差错由本社发行中心调换版权专有Www.bzxZ.net
侵权必究
举报电话:(010)68510107
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
标准图片预览 标准图片预览:
- 热门标准
- GA公共安全标准标准计划
- GA380-2002 全国公安机关机构代码编制规则
- GA/T974.80-2015 消防信息代码第80部分:装备事故等级代码
- GA426.2-2008 指纹数据交换格式第2部分:任务描述类记录格式
- GA777.6-2008 指纹数据代码第6部分:指纹协查级别代码
- GA/T1031-2012 泄漏电缆入侵探测装置通用技术要求
- GA30.4-2008 固定消防给水设备的性能要求和试验方法第4部分:气体顶压消防给水设备
- GA/T669.8-2009 城市监控报警联网系统技术标准第8部分:传输网络技术要求
- GA788-2008 指纹图像数据压缩倍数
- GA774.1-2008 指纹特征规范 第1部分:指纹方向
- GA245-2000 自行车隐形防盗锁
- GA114-1995 消防车产品型号编制方法
- GA126-1996 轻质薄型非透明防火隔墙技术条件
- GA777.7-2008 指纹数据代码 第7部分:指纹比对状态代码
- GA/T496-2009 闯红灯自动记录系统通用技术条件
- GA398.1-2002 经济犯罪案件管理信息代码第1部分:案件编号
请牢记:“bzxz.net”即是“标准下载”四个汉字汉语拼音首字母与国际顶级域名“.net”的组合。 ©2009 标准下载网 www.bzxz.net 本站邮件:[email protected]
网站备案号:湘ICP备2023016450号-1
网站备案号:湘ICP备2023016450号-1