【GA公共安全标准】 移动终端取证检验方法

ICS35.240.01
中华人民共和国公共安全行业标准GA/T1170—2014
移动终端取证检验方法
Examination methods for evidence collection from mobile terminals2014-07-09发布
中华人民共和国公安部
2014-07-09实施
中华人民共和国公共安全
行业标准
移动终端取证检验方法
GA/T1170—2014
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号（100029）北京市西城区三里河北街16号（100045）网址spc.net.cn此内容来自标准下载网
总编室：（010)64275323发行中心：（010)51780235读者服务部：（010)68523946
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
开本880×12301/16印张0.5字数8千字2014年9月第一版2014年9月第一次印刷光
书号：155066·2-27340定价
由本社发行中心调换
如有印装差错
版权专有侵权必究
举报电话：（010)68510107
本标准按照GB/T1.1一2009给出的规则起草。本标准由公安部第三研究所提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部第三研究所。本标准主要起草人：郭弘、黄道丽、金波、赵戈、杭强伟、徐隽。GA/T1170—2014
1目的和范围
移动终端取证检验方法
GA/T1170—2014
本标准规定了电子数据检验时，从移动终端（不包括具有无线上网功能的笔记本电脑）获取、分析与呈现证据数据的检验方法。
本标准适用于电子数据检验工作中，从移动终端（不包括具有无线上网功能的笔记本电脑）获取、分析与呈现证据数据。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GA/T756—2008数字化设备证据数据发现提取固定方法GA/T976—2012电子数据法庭科学鉴定通用方法3术语和定义
GA/T756—2008和GA/T976—2012界定的以及下列术语和定义适用于本文件。3.1
移动终端mobileterminal
基于移动网络应用的设备，包括但不限于手机、无线上网卡等通讯终端、具有无线上网功能的笔记本电脑、平板电脑、游戏机、PDA，MP4等设备，以及无线定位、无线监控等终端。3.2
蓝牙bluetooth
一种无线数据和语音传输技术，将各种通信设备、计算机及其终端设备、各种数字数据系统，甚至家用电器采用无线方式连接起来，传输距离为10cm至10m。采用分散式网络结构以及快跳频和短包技术，支持点对点及点对多点通信，工作在全球通用的2.4GHzISM频段。3.3
无线保真Wi-Fi
-种无线局域网通讯技术，基于IEEE802.11标准，属于在办公室和家庭中使用的短距离无线技术。
红外通信infaredcommunication一种无线通讯技术，利用红外线进行点对点数据传输。3.5
底座cradle
种对接站，使用户的计算机和移动终端能够端连接进行通信和充电。3.6
文件系统filesystem
操作系统的一个组成部分，是实现数据的存储、分级组织、访问和获取等操作的抽象数据类型。GA/T1170—2014
4现场证据的获取
4.1评估现场
确定对移动终端中的证据数据进行现场获取的人员和需携带的必要设备，人员应具备识别不同类型的移动终端并熟悉其特性和相关配件的能力。对移动终端中的证据数据进行现场获取前，需对现场情况进行评估，根据现场情况制定计划，包：a）现场获取的目的和范围；
b）现场获取采用的标准规范；
c）现场获取的顺序。
4.2获取和保护证据设备
4.2.1获取
按照所制定的计划，获取移动终端及相关附件设备和资料。如需获取证据数据的移动终端正连接计算机进行同步，应采取以下措施：a）关闭计算机电源，防止数据传输或同步覆盖；b）同时获取移动终端和连接的电缆，底座和与其同步的计算机，以便从计算机的硬盘中获取移动终端中未获取的同步数据；
c）不可取出移动终端中的数据存储卡和SIM卡；d）获取移动终端的相关附件设备和资料，如：电源、电缆、底座、产品说明书和软件等。4.2.2隔离
为防止移动终端中的证据数据被破坏，应将移动终端从无线网络隔离，方法包括：a）立即关闭移动终端，不得再次打开，以免破坏数据。如电池可拆卸，取出电池；b）紧急情况下，可保持移动终端开机状态作紧急处理。如果移动终端需保持开机，需在供电状态下将其从网络上隔离，方法包括：1）射频屏蔽；
2）将移动终端设置为“飞行”模式；3）禁用Wi-Fi、蓝牙和红外通信。4.2.3包装
对移动终端的包装应满足以下要求：a）将移动终端密封在防静电袋中，并予以标记：b）正确保护移动终端，防止无意触碰按键，如放置在专门设计的硬质容器中使用射频隔离袋屏蔽移动终端的无线电信号。4.2.4运输
对移动终端的运输应满足以下要求：a）谨慎处理、充分保护移动终端，防止震动、湿度和极端温度对移动终端造成影响；移动终端保持开机状态时，应使用独立的外部电源进行充电；b)
如电源适配器与无线频率隔离袋一起使用，应妥善保护电缆，防止隔离袋失效。2
5实验室检验
5.1识别
通过查看品牌、型号、服务提供商和设备标识，识别送检移动终端。准备检验用的设备
用于移动终端检验的实验室设备应满足以下要求：a）进行定期验证，确保性能稳定；GA/T1170—2014
b）定期审查设备的当前信息（如用户手册）以及其他相关文件，确保可随时获取；c）确保检验用的应用程序是最新的稳定版本，并在使用前进行验证。5.3数据的检验分析
5.3.1移动终端的检验分析
移动终端中数据的检验和分析应分层次进行，根据情况选择以下的一项或多项进行检验：a）手工分析：通过移动终端键盘和移动终端显示屏查看并记录移动终端内存中的数据：b）逻辑分析：使用数据电缆连接到移动终端采集数据，不包括访问已被删除的数据；镜像备份（物理分析）：对移动终端文件系统进行物理镜像备份，对备份数据进行分析，恢复未被覆盖的被删除数据；
卸载内存芯片分析（物理分析）：卸载移动终端的存储芯片，读取芯片中的数据；d)
微读（物理分析）：使用高倍电子显微镜检验存储器的电子电路以采集数据。e)
2记忆卡的检验分析
记忆卡中数据的检验分析按照GA/T756—2008的要求进行。5.3.3SIM卡的检验分析
SIM卡中数据的检验分析使用专用的SIM卡读取设备进行。5.3.4注意事项
检验分析过程应注意以下事项：记录移动终端的状况
采取预防措施隔离移动终端连接网络：b）
检验过程中，确保移动终端被持续供电；d)
如移动终端能进行多项检验，先进行物理分析，后进行逻辑分析；根据以下顺序，使用一种或多种方式获取数据：e)
1）电缆；
拍照/录像；
红外线；
蓝牙：
单独分析移动终端的内存、SIM卡和存储卡等证据介质，以免破坏数据；f
所有含SIM卡的移动终端需检验两次：安装SIM卡检验和卸载SIM卡检验。GA/T1170—2014
6检出数据
计算检出数据的哈希值，并复制到专用的存储介质中。7记录
检验时需做好检验记录，记录应贯穿整个检验过程，记录应包括：a)
检验开始的时间和日期；
送检移动终端的物理状况；
送检移动终端和其部件的照片；送检移动终端接受时的状态（关闭或开启）；送检移动终端的品牌、型号、服务提供商等信息；检验过程中所使用的软、硬件工具。GA/T1170-2014
打印日期：2014年9月26日F009A版权专有侵权必究
书号：155066·2-27340
定价：
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。