【GA公共安全标准】法庭科学计算机开关机时间检验技术规范

本网站发布时间： 2024-11-17 11:30:12

GA/T1070-2013
现行

基本信息

标准号：
GA/T 1070-2013
标准名称：
法庭科学计算机开关机时间检验技术规范
标准类别：
公共安全行业标准(GA)
标准状态：
现行
出版语种：
简体中文
下载格式：
.zip .pdf
下载大小：
1.92 MB

标准分类号

关联标准

出版信息

其他信息

相关标签：
法庭科学计算机时间检验技术规范

标准简介/下载

点击下载

标准简介：

GA/T 1070-2013.Technical specifications for computer switch time examination in forensics.
1范围
GA/T 1070规定了电子物证检验中操作系统为Windows2000、WindowsXP、Windows2003、Windows Vista、Windows 7的计算机开关机时间的检验方法。
GA/T 1070适用于法庭科学领城中的电子物证检验。
2术语和定义
下列术语和定义适用于本文件。
2.1计算机开机时间time of switch on computer
计算机开机进人操作系统时的系统时间。
2.2计算机关机时间time of switch off computer
计算机关机退出操作系统时的系统时间。
3检验工具
3.1硬件
存储介质保全备份设备、具有只读接口的电子物证检验工作站。
3.2软件
3.2.1操作系统: Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7
3.2.2工具软件:具有日志查看功能的软件、Windows操作系统提供的事件查看器、具有解析注册表功能的软件以及文本编辑器。
4操作步骤
4.1检材及样本编号
对送检的检材(样本)进行唯一编号。
4.2检材及样本拍照
对送检的检材(样本)加上唯一性编号进行拍照。
4.3检材及样本保全
对具备保全条件的检材(样本)进行保全备份。
4.4检验工作站杀毒
启动杀毒软件对电子物证检验工作站系统进行杀毒。
4.5检材连接方法
将检材(若已保全,使用保全的存储设备)通过只读方式连接到电子物证检验工作站。

标准内容

部分标准内容：

ICS13.310
中华人民共和国公共安全行业标准GA/T1070—2013
法庭科学计算机开关机时间检验技术规范Technical specifications for computer switch time examination in forensics2013-09-30发布
中华人民共和国公安部
2013-09-30实施
本标准按照GB/T1.1-2009给出的规则起草。GA/T1070—2013
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国刑事技术标准化技术委员会归口。本标准起草单位：中国人民公安大学刑事科学技术系、公安部物证鉴定中心。本标准起草人：丁锰、郭威、邢桂东。1范围
法庭科学计算机开关机时间检验技术规范GA/T1070-—2013
本标准规定了电子物证检验中操作系统为Windows2000、WindowsXP、Windows2003、WindowsVista、Windows7的计算机开关机时间的检验方法，本标准适用于法庭科学领域中的电子物证检验。2术语和定义
下列术语和定义适用于本文件。2.1
timeofswitchoncomputer
计算机开机时间
计算机开机进人操作系统时的系统时间。2.2
计算机关机时间
timeof switchoff computer
计算机关机退出操作系统时的系统时间。3检验工具
3.1硬件
存储介质保全备份设备、具有只读接口的电子物证检验工作站。3.2软件
3.2.1操作系统：Windows2000，WindowsXP.Windows2003.WindowsVista、Windows7。3.2.2工具软件：具有日志查看功能的软件、Windows操作系统提供的事件查看器、具有解析注册表功能的软件以及文本编辑器。
4操作步骤
检材及样本编号
对送检的检材（样本）进行唯一编号。检材及样本拍照
对送检的检材（样本）加上唯一性编号进行拍照。4.3检材及样本保全
对具备保全条件的检材（样本）进行保全备份。1
GA/T1070-—2013
4.4检验工作站杀毒bZxz.net
启动杀毒软件对电子物证检验工作站系统进行杀毒。4.5检材连接方法
将检材（若已保全，使用保全的存储设备）通过只读方式连接到电子物证检验工作站。4.6系统时区检验
4.6.1查找系统注册表CurrentControlSet键的数据源使用具有解析注册表功能的工具软件加载%SYSTEMROOT%system32\\config路径下的system文件，查找文件包含注册表的HKEY_LOCAL_MACHINE\\SYSTEMISelect子键，记录该键中的Current值，根据Current值确定注册表中HKEY_LOCAL_MACHINEISYSTEM\\CurrentControlSet子键的数据源。当Current值为“1\时，CurrentControlSet键的数据源为HKEY_LOCAL_MACHINESYSTEMControlSetool；当Current值为“2”时，CurrentControlSet键的数据源为HKEY_LOCALMACHINEISYSTEMControlSeto02，以此类推。4.6.2检验系统时区信息
查找HKEY_LOCAL_MACHINEISYSTEMIControlSetooX（X为4.6.1中的Current值））Control\\TimeZoneInformation子键，记录该键中StandardName的值为系统的时区信息。4.7系统开关机时间检验
4.7.1检验与任务计划程序服务有关的时间信息以“SchedLgU.Txt”为关键字在检材中进行搜索，搜索结果记为W1。该文件中“已启动于”字符串后的时间为开机时间、“已退出于”字符串后的时间为关机时间。4.7.2检验与系统日志有关的时间信息在Windows2000、Windows XP或Windows2003中以“SysEvent,evt”为关键字、在WindowsVista或Windows7中以“System,evtx”为关键字进行搜索。使用具有日志查看功能的软件导出事件记录，筛选记录中ID为6005的事件为开机时间，ID为6006的事件为关机时间，筛选后的文件记为W2。
4.7.3时间信息分析和对比
对比W1文件和W2文件中的开关机时间。如果两个文件中的开关机时间相同，取W1文件中的开关机时间作为检出结果。如果两个文件中的开关机时间不同，合并两个文件中的开关机时间作为检出结果。5检验结论的表述
经对编号为\a”～“a,”的检材使用rr软件工具进行技术检验，检验结果如下：检出与yy有关的开关机时间时，表述为：a)
在检材a，中检出与yy有关的开关机时间为：依次列出所有检出的开机和关机时间；系统时区为tt。
b）未检出与yy有关的开关机时间时，表述为在检材a中未检出与yy有关的开关机时间。GA/T1070—2013
注：代表检材编号代表检材个数代表检材序号：rr代表使用软件工具的名称及版本号：yy代表检验要求或样本t为系统时间信息。
6附测
在检验过程中应做检验记录。
6.2在检验过程中，不应改变送检检验对象中的数据。6.3对送检的检材和样本应做好防水、防磁、防震及防静电保护。GA/T1070-2013
中华人民共和国公共安全
行业标准
法庭科学计算机开关机时间检验技术规范GA/T1070—2013
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号（100013）北京市西城区三里河北街16号（100045）网址spc.net.cn
总编室：（010)64275323发行中心：（010)51780235读者服务部：（010）68523946
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
开本880×12301/16印张0.5字数8千字2013年12月第一版
2013年12月第一次印刷
书号：155066·2-26235
如有印装差错由本社发行中心调换版权专有
侵权必究
举报电话：(010)68510107
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。

标准图片预览