【GA公共安全标准】 电子证据数据现场获取通用方法

ICS35.240.01
中华人民共和国公共安全行业标准GA/T1174—-2014
电子证据数据现场获取通用方法General methods for capture of live electronic evidence data2014-07-09发布
中华人民共和国公安部
2014-07-09实施
本标准按照GB/T1.1—2009给出的规则起草。本标准由公安部第三研究所提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部第三研究所。本标准主要起草人：张颖、金波、郭弘、黄道丽、崔宇寅、雷云婷。GA/T1174—2014
1目的和范围
电子证据数据现场获取通用方法本标准规定了电子证据数据现场搜索、获取、固定和保存的通用方法。GA/T 1174—2014
本标准适用于在电子数据现场取证的工作中，搜索、获取、固定和保存电子证据数据。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。GA/T756—2008数字化设备证据数据发现提取固定方法GA/T976—2012电子数据法庭科学鉴定通用方法3术语和定义
GA/T756—2008和GA/T976—2012界定的以及下列术语和定义适用于本文件。3.1
随机存取内存转储randomaccessmemorydump（RAMdump）将随机存取内存(RAM)中的部分或者全部内容传送到某种类型的存储介质上。3.2
逻辑文件logicalfile
用户所观察到的文件组织形式，是可以直接处理的数据及结构。4步骤
4.1制定证据获取方案
在进行电子证据数据现场获取之前，需制定详细的计划，包括：a）现场获取的目的和范围；
参加电子证据数据现场获取的人员，需明确分工，落实责任；c
进行电子证据数据现场获取需携带的移动仪器设备；d)
现场获取采用的方法和步骤；
e）电子证据数据现场获取的顺序；现场获取操作可能造成的影响。f）
4.2记录现场状况
对现场状况应通过拍照和录像的方式进行记录，并予以编号保存。4.3电子设备和存储介质的封存
对于已经关闭的系统，在法律充许的范围内并在获得授权的情况下，应对相关电子设备和存储介质1
GA/T1174—2014
进行封存，方法如下：
a）采用的封存方法应当保证在不解除封存状态的情况下，无法使用被封存的存储介质和启动被封存电子设备；
封存前后应当拍摄或者录像被封存电子设备和存储介质并进行记录，照片或者录像应当从各b)
个角度反映设备封存前后的状况，清晰反映封口或张贴封条处的状况；c）对系统附带的电子设备和存储介质也应实施封存。4.4电子证据数据的动态获取
4.4.1概述
对于运行中的系统，应进行电子证据数据的动态获取，其中又分为易丢失数据的提取和固定、在线获取以及电子设备和存储介质的封存三个部分。电子设备和存储介质的封存见4.3。4.4.2
2遵循原则
易丢失数据的提取、固定和在线获取应遵照以下原则：a）不得将生成、提取的数据存储在原始存储介质中；b）不得在目标系统中安装新的应用程序。如果因为特殊原因，需要在目标系统中安装新的应用程序的，应当记录所安装的程序及其目的；c）应当详细、准确记录实施的操作以及对目标系统可能造成的影响。4.4.3易丢失数据的提取和固定
易丢失数据的提取和固定应遵照以下步骤：a）优先搜索并固定保全随机存取内存转储中的以下数据：1）打开并未保存的文档；
2）最近的聊天记录；
用户密码；
其他取证活动相关的文件信息。4）
b）获取系统中相关电子证据数据的信息，包括：1）存储介质的状态，确认是否存在异常状况等；2）正在运行的进程；
操作系统信息，包括打开的文件，使用的网络端口，网络连接（其中包括IP信息，防火墙配3）
置等)；
尚未存储的数据；
共享的网络驱动和文件夹；
连接的网络用户；
其他取证活动相关的电子数据信息。7）bzxZ.net
确保证据数据独立于电子数据存储介质的软硬件；逻辑备份证据数据以及所有权、时间等相关c)
信息。
4.4.4在线获取
需要进行在线获取的情况如下所示：a）案件情况紧急，且证据数据具有时效性或者易丢失性，在现场不实施数据获取可能会造成严重后果的；
b）情况特殊，不允许关闭电子设备或扣押电子设备的；c）现场获取不会损害目标设备中重要电子数据的完整性、真实性的。GA/T1174-2014
如果确实存在上述情况，则应在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据，包括：
打开的聊天工具中的聊天记录；b)
打开的网页；
打开的邮件客户端中的邮件；
其他取证活动相关的电子数据信息。5电子证据数据的固定保全
从现场获取的上述所有电子证据数据需遵照以下几个方式进行固定保全：完整性校验方式。计算电子数据和存储介质的完整性校验值，并进行记录：a）
备份方式。复制、制作原始存储介质的备份，并依照4.3规定的方法封存原始存储介质；b)
c）封存方式。对于无法计算存储介质完整性校验值或制作备份的情形，应当依照4.3规定的方法封存原始存储介质，并记录不计算完整性校验值或制作备份的理由。4.6记录
电子证据数据现场获取的过程中，记录应贯穿整个鉴定过程，包含以下要求a）记录可以用摄像、截屏、照片、文档等方式存放于任何一种存储介质中：对可能存在证据数据的电子数据存储介质进行拍照，编号并贴上标签标识；b
1）对现场状况以及提取数据、保存数据的关键步骤进行录像；2）对电子证据数据信息的属性、状态以及其他信息进行详细记录；从现场获取的电子证据数据，应记录该电子数据的来源和提取方法；c
d）现场勘验检查结束后，应及时记录整个工作过程。GA/T 1174-2014
打印日期：2014年11月11HF009A中华人民共和国公共安全
行业标准
电子证据数据现场获取通用方法GA/T1174-2014
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号（100029)北京市西城区三里河北街16号（100045）网址spc.net.cn
总编室：（010）64275323
发行中心：（010)51780235
读者服务部：（010)68523946
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
开本880×12301/16
印张0.5字数8千字
2014年9月第一版
2014年9月第一次印刷
书号：155066·2-27344定价14.00元如有印装差错
由本社发行中心调换
版权专有侵权必究
举报电话：（010)68510107
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。