【GA公共安全标准】 法庭科学计算机操作系统仿真检验技术规范

ICS13.310
中华人民共和国公共安全行业标准GA/T1480—2018
法庭科学计算机操作系统仿真检验技术规范
Technical specifications for computer operating system emulationexaminationinForensics
2018-04-17发布
中华人民共和国公安部
2018-04-17实施
本标准按照GB/T1.1—2009给出的规则起草。GA/T1480—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会（SAC/TC179/SC7）提出并归口。
本标准起草单位：公安部网络侦察技术研发中心、盘石软件（上海）有限公司、厦门美亚柏科信息股份有限公司、上海弘连网络科技有限公司。本标准主要起草人：刘晓宇、翟晓飞、宋庆飞、李毅、陆道宏、赵庸。I
1范围
法庭科学计算机操作系统仿真检验技术规范
本标准规定了Windows、Linux以及MacOS操作系统仿真检验的技术方法。本标准适用于法庭科学领域电子物证检验中的计算机操作系统仿真检验。2规范性引用文件
GA/T1480—2018
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T5271.1一2000信息技术词汇第1部分：基本术语GA/T755—2008电子数据存储介质写保护设备要求及检测方法GA/T756—2008数字化设备证据数据发现提取固定方法GA/T976—2012电子数据法庭科学鉴定通用方法3术语和定义
GB/T5271.1—2000.GA/T755—2008，GA/T756—2008和GA/T976—2012界定的以及下列术语和定义适用于本文件。
系统仿真systememulation
利用虚拟化技术、重新定向技术对计算机操作系统的内核、硬件设备、用户环境、各种网络协议、应用程序、数据记录等信息进行动态模拟。3.2
emulationobject
仿真对象
用于系统仿真的存储介质，镜像文件及虚拟机文件等。4仿真检验步骤
4.1检验准备
4.1.1检材编号
对送检的检材进行唯一性编号。4.1.2检材拍照wwW.bzxz.Net
对送检的检材加上唯一性编号并拍照。4.1.3检材保全备份
按照GA/T756一2008的要求对具备保全条件的检材进行固定保全。1
GA/T1480—2018
4.2仿真对象接入
使用符合GA/T755一2008要求的写保护设备接人检材（若已保全，使用保全的存储设备或文件），对仿真对象进行加载。
4.3仿真检验步骤
4.3.1运行环境设置
对仿真对象的运行环境进行设置，包括内存，硬盘类型，网络配置等。4.3.2检验环境设置
设定仿真对象适用的检验环境，包括设定检验工具集、检验目标介质等。3仿真启动设置
必要时，在仿真对象启动过程中，进行选择和替换启动自动加载的驱动和程序、规避登录密码等系统安全措施等处理。
4.4仿真对象数据提取固定
4.4.1数据获取
按照GA/T756一2008要求获取仿真对象中的静态数据和易失性数据，以及处于开机或联网状态下的仿真对象的网络活动数据、数据传输交互等产生的系统外部数据等。4.4.2数据保存
将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中，并计算检出数据的哈希值。
5检验记录
按照GA/T756—2008的要求记录检验过程。6检验结果表述
检验结果表述应符合以下规定：a）检验结果分为检出、未检出、不具备检验条件3种；检验结果应根据检验要求对检验对象、检验范围、检验所得进行客观、概括、有针对性的描述；b）质
检验结果表述应包含检材编号，检出情况，检出数据文件或保存检出数据介质哈希值，保存检出数据介质编号等必要信息。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。