【GA公共安全标准】 法庭科学计算机系统接入外部设备使用痕迹检验技术规范

ICS13.310
中华人民共和国公共安全行业标准GA/T1477—2018
法庭科学计算机系统接入外部
设备使用痕迹检验技术规范
Technical specifications for examination of traces of using externalequipment in computer systems in forensics2018-04-17发布
中华人民共和国公安部
2018-04-17实施
本标准按照GB/T1.1一2009给出的规则起草。GA/T1477—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会（SAC/TC179/SC7）提出并归口。
本标准起草单位：中国刑事警察学院物证鉴定中心、公安部物证鉴定中心。本标准主要起草人：罗文华、汤艳君、段严兵、秦玉海、高洪涛、彭丽娟、王强、张国臣。1范围bzxZ.net
法庭科学计算机系统接入外部
设备使用痕迹检验技术规范
本标准规定了典型计算机系统环境下外部接人设备使用痕迹检验的方法。本标准适用于法庭科学领域中的电子物证检验。2规范性引用文件
GA/T1477—2018
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T29360-2012电子物证数据恢复检验规程GA/T756—2008数字化设备证据数据发现提取固定方法GA/T1071一2013法庭科学电子物证Windows操作系统日志检验技术规范3术语和定义
GB/T29360—2012，GA/T756—2008，GA/T1071—2013界定的以及下列术语和定义适用于本文件。
外部设备externalequipment
在计算机主机处理数据前后，负责数据的传输、转送及存储的设备。3.2
系统文件
systemfile
用于存放操作系统重要信息的文件，一般在操作系统启动或运行过程中自动创建及维护。3.3
用户文件
user file
用于存放用户信息的文件，一般通过用户行为创建与维护。4仪器设备
4.1硬件
存储介质、保全备份设备、只读设备和专用电子物证检验设备。4.2软件
4.2.1操作系统：Windows.Unix/Linux、MacOS等。4.2.2软件工具：电子物证检验综合分析软件、系统文件专用查看类工具、用户文件专用查看类工具。1
GA/T1477—2018
5操作步骤
5.1检材编号
对送检的检材进行唯一性编号。5.2检材拍照
对送检的检材加上唯一性编号进行拍照。5.3检材保全备份
对具备保全条件的检材进行保全备份。5.4检验
5.4.1启动杀毒软件对电子物证检验工作站系统进行杀毒。5.4.2对检材（若已保全，使用保全的存储设备）通过只读设备接到电子物证检验工作站。5.4.3使用电子物证检验综合分析软件或专用工具针对计算机系统中的系统文件进行检验，获取外部接人设备使用痕迹，包括设备序列号、设备制造厂商、设备类型，首次接人时间、最近接人时间等信息对于Windows系列操作系统，重点检验注册表中与设备相关的表项信息；在注册表证据源被破坏的情况下，可依次检验设备安装文件及系统事件日志。对于Unix/Linux，主要检验设备管理文件，MacOS则检验设备树文件。
5.4.4在未能够基于系统文件获取到关键信息的情况下，可通过用户文件分析源文件存放路径，进而判断其是否来自外部设备；也可通过用户自行安装的客户端或服务器管理软件挖掘外部设备的接人记录。
对于已被删除的系统文件及用户文件，依据GB/T29360一2012进行数据恢复后，再按步骤5.4.5
5.4.3与5.4.4所述方法开展检验。5.5检出数据保存
将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中，并计算检出数据的哈希值。
6检验结果表述
检验结果表述应符合以下规定：检验结果分为检出、未检出、不具备检验条件3种：a)
检验结果应根据检验要求对检验对象、检验范围、检验所得进行客观、概括、有针对性的描述：b)
结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据介质哈希值、保存检出数据介质编号等必要信息。
7附则
7.1在检验过程中应做检验记录。2
在检验过程中，不宜改变检验对象中的数据。2
7.3在检验过程中，检验出的数据应存储到专用的存储介质中。7.4应对送检的检验对象做好防水、防磁、防静电和防震保护。GA/T1477—2018
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。