【GA公共安全标准】 即时通讯记录检验技术方法

ICS35.240.01
中华人民共和国公共安全行业标准GA/T1173—2014
即时通讯记录检验技术方法
Technical methods for examination of instant messaging data2014-07-09发布
中华人民共和国公安部
2014-07-09实施
中华人民共和国公共安全
行业标准
即时通讯记录检验技术方法
GA/T 1173-2014
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号（100029）北京市西城区三里河北街16号（100045）网址spc.net.cn
总编室：(010)64275323
发行中心：（010)51780235bZxz.net
读者服务部：(010)68523946
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
开本880×12301/16
印张0.5字数10千字
2014年9月第一版
2014年9月第一次印刷
书号：155066·2-27343定价
由本社发行中心调换
如有印装差错
版权专有
侵权必究
举报电话：（010)68510107
本标准按照GB/T1.1—2009给出的规则起草。本标准由公安部第三研究所提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部第三研究所、北京市公安局刑侦总队。本标准主要起草人：高峰、郭弘、金波、徐隽、姚波、邱敏。GA/T1173—2014
1范围
即时通讯记录检验技术方法
本标准规定了电子数据检验时，即时通讯记录获取、呈现和分析的检验方法。本标准适用于电子数据检验中，获取、呈现和分析即时通讯记录。2规范性引用文件
GA/T1173—2014
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GA/T756—2008数字化设备证据数据发现提取固定方法3术语和定义
GA/T756—2008界定的以及下列术语和定义适用于本文件。3.1
即时通讯 instantmessaging
一种使用网络进行实时交谈和互传信息的集声音、文字、图像的综合性交流方式。3.2
即时通讯客户端
instant messaging client
与即时通讯服务器配合运行并且安装在本地操作系统或智能终端中用于接受即时通讯服务的应用程序。
易失性即时通讯volatileinstantmessaging无需在本地操作系统或者智能终端中安装任何应用程序，仅使用浏览器进行即时通讯，并由服务器提供并维持整个即时通讯网络服务的一种通讯方式。3.4
instant messaging protocol
即时通讯协设
对即时通讯中对通讯记录内容等数据进行通讯传输控制的规则。3.5
即时通讯记录instantmessagingdata即时通讯中所传递的文字消息、传输的文件和语音通话记录等。3.6
instant messaging data file
即时通讯记录文件
存储即时通讯记录的数据文件。1
GA/T1173—2014
4检验步骤
4.1即时通讯记录文件的固定保全4.1.1确定检材
确定检材的步骤：
a）对可能存在即时通讯记录的检材进行唯一性标识，并贴上标签；b）对检材拍照，并记录检材的特征。4.1.2获取即时通讯记录文件
根据检材，应选用适当的仪器设备，按照GA/T756一2008的要求获取即时通讯记录文件：获取即时通讯记录文件的步骤：a）
1）检验即时通讯客户端
查找检材中即时通讯中客户端的安装路径和相关用户目录存放路径，获取客户端的版本、用户相关信息和即时通讯记录文件；2）检验易失性即时通讯
查找并获取检材中浏览器的版本和浏览器缓存中即时通讯记录文件；服务器端即时通讯记录的检出
根据检材中检出的用户即时通讯账号，在有条件的情况下获取该用户在服务器端存储的即时通讯记录。
b）计算并校验获取的即时通讯记录文件。4.2即时通讯记录的呈现
4.2.1搭建检验环境
检验环境应包括：
a）针对即时通讯客户端软件版本搭建检验环境：b）即时通讯记录文件为加密文件时需搭建解密环境。4.2.2客户端即时通讯记录的检出根据搭建的环境将即时通讯记录检出至特定文件，检出的内容应包括：即时通讯客户端的名称、安装路径；a)
用户自录存放路径；
）用户即时通讯账号、即时通讯中的昵称和即时通讯账号中关联的邮件，手机等相关信息；d)
即时通讯历史记录和即时通讯中传递的文件、图片等；e）检出的文件的哈希值。
即时通讯记录的真实性分析
4.3.1客户端与服务器端即时通讯记录的验证验证客户端与服务器端即时通讯记录，包括以下内容：a）将客户端即时通讯记录与服务器端即时通讯记录的内容进行比对；b）将两者内容不符的部分进行分析阐述。2
4.3.2即时通讯记录文件的环境分析即时通讯记录文件的环境分析，包括以下内容：即时通讯记录文件等的存放路径；a）
即时通讯客户端或者浏览器的配置信息；即时通讯客户端或者浏览器涉及的日志文件。c
即时通讯记录文件的属性信息分析即时通讯记录文件的属性信息分析，包括以下内容：包括文件名、文件格式、创建时间和修改时间等；a)1
即时通讯记录文件属性与其他文件属性的关联；c)
即时通讯记录文件属性与即时通讯内容是否存在矛盾。4.3.4即时通讯记录的文件结构分析即时通讯记录的文件结构分析，包括以下内容：a）文件呈现的拼接痕迹；
b）文件结构的完整性；
c）文件结构的规范性。
4.3.5即时通讯记录的上下文语义环境分析即时通讯记录的上下文语义环境分析，包括以下内容：a）语义的连续性和一性；
b）语义的关联性和逻辑性；
c）语义的自然度与话题的匹配性。结论表述
根据即时通讯记录的检验步骤阐述检验结果，可以包括以下内容：即时通讯记录文件固定保全的实现情况；a)
即时通讯记录的检出结果；
客户端与服务器端即时通讯记录的验证结果；针对即时通讯记录的真实性分析，结论可以是以下四种之一：d)
发现修改；
没有发现修改；
没有修改；
不能判定。
检材记录
记录检材相关信息
应记录检材的以下信息：
a）类别；
b）型号；
出厂时唯一性编号（如果适用）；GA/T1173—2014
GA/T1173—2014
d）照片。
检验过程记录
即时通讯记录检验中，记录应贯穿整个检验过程，记录应包括：a)
检验过程中所使用的软、硬件工具；在搭建环境的过程中检出的检验内容、操作条件、原始观察结果、计算和取得的数据等；根据获取的即时通讯记录文件计算出的哈希值。版权专有侵权必究
书号：155066·2-27343
GA/T1173-2014
打印H期：2014年11月11HF009A
定价：
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。