【GA公共安全标准】 数字化设备证据数据发现提取固定方法

ICS 35. 220. 20
中华人民共和国公共安全行业标准GA/T756—-2008
数字化设备证据数据发现提取固定方法Discovering, extraction and prcservation method ofcvidence data on digital device2008-03-24发布
中华人民共和国公安部
2008-03-24实施
本标消户公安游公共信息网安全监察局提出，本标准由公安部信息系统安全标准化技术委员会。本标准起享单位：公安部公共信息网络安全监察层、福建厦门美亚柏科公司。本标雅主要起草人：许剑卓、黄春健、戚涛、何屋。GA/T 756--20C8
1范围
数字化设备证据数据发现提取固定方法GA/T 755—2008
本标雅规定了从数字化设备发现提取固定证据数据，并保证证游数据原始性和证据数据完整性的方法。
本标消适用于在电子数势检验整定工你中获举数能化设备或运程数疗化设售发现提取医定证据数据。
2规范性引用文件
下列文件中的条款避
灌的引用而成为本标推的条款，的修政单(不包括勘误离内载修订版均不适用于本标泄是否可使用这些文件
GA/T 752
GA/T755-
3术语和定义
最本。凡是不注日期的
子数据存借介
子数据在
下列术诉和提适用于本标滩。
数字化设管iital device
存储、处理
二进制数据的设备
本地数字化设备
locai digital des
检验人员能单最触，操作的数
远程数字化设型
能通过网络访问
证据数据evidenc
作为证据使用的良了
notedigita
化设备。
是注勘的引用文件，其随后所有标准达成协议的各方研究
厕银据本
新版季适用靠本标准。
及检测方法
络设备、电手数据存储设备等。证据数据发现提取eviuencelatadiscoveringartraction对数字化设备存储、处理、传输的数好进行搜索、分析、戴装获褐证据数握的过程。固定证据数据
preserve evidence data
在证据数据发现提取过程中，采取术措施或记录相关信息，保护证据数据完整性逐比特一致bit-based identiciness两组数据每一比特位数值相同。含义一致content-bztsed identicalness就检验鉴监定结论所下断言雨言，两组数据所表示的含义相同。1
GA/T 756--2008
示例：满张图产双示相同的文字信息，民然其数据并非逐特一致，但如果检验验定绝论所下断言评价的是其包合的文字信息，则其效据含义一致。3.7
可再现数据reprodncibledata
如果重复证帮数据发现提取过程，可重薪获得逐比特一致或含义一致的证据数据，则称该证据数据为可再现数据。
不再现数据irreprodueibledala如票运据数据发现提取过程元法重复，或证据数握发现提取相关环境条件无法复原，意复证据效据发现提夜过穆无法重新获得逐比特一致或含义一致的证据数据，则称该证据数据为不可再现数据，3.9
证据数据原始性evidencedataoriginality证据数据是按照所描述的步源从被检验数字化设备中发现提取获得的，注：保护证据数据原始性是措采取技术措施，保证迎过晨示相关记录信息或三新实施证据数据发现缇取过程，能证3. 10
实证据数据是按照所推述的发现摄取步骤从被检验数字化设备中发现提取联得的。证据数据完警性evidencedata integrity证据数据在发现旋取后未被修改。这：保护证据数据完整性是捐买取技术措施，保证延过展示相关记录信息，能证实证据数据在发现提或后足咨被修改。
哈希值 has dala
用MD5等哈希算法对数据进行计算获得的数值3.12
原始电子数据存储介质original digital datastorage被检验数字化设备巾包含的电了数据存储介质。3. 13
检验月例inspertion case
规定如何发现证君数摘的文档化的细则。包括：a）目标证据数据：
：b）检验设备和软件；
c）证据数措发现提取操作步骤；a）检验环境条件。
屏录像软件computerscruencapture于截获计算机屏幕上显示的内容，并生成视频文件的软件。4证据数据发现提取国定步骠
4.1记录检材情况
a）对检材进行编号；
）对送检数字化设备逐一拍照，并运录检的特征。4.2设计检验用例
根据目标证据数据设计检验用例，检验用例应符合以下要求：GA/T 755-2008
a）对具备复制条件的，应使用符合GA/T754—2008要求的电子数据存储介质复制工具复制原始电子数据存储介质，将复制生成的克隆或靠像文件作为检验对象；b）对于具备写保护条件的，应使用符合GA/T755一20C8要求的写保护设备，将电子数据存储介质适过写保扩设备接人到检验设备上；对于不完动被检验数字化设备的操作系统，能发现提收回定的证据数据，应优先选择在不启动c)www.bzxz.net
被检验数序化设备的操作系统的条件下发现提取固定证据数据。4.3发现提取固定证据数据
a）根据检验用例准备检验坏境条件、数字照机粘数宇摄像机。b）对于检验设备为计算机的，在检验设备上安装房幕录像软件，使用茶毒软件查杀计算机上的病毒穆序。
对于以下情形，启动数字摄像！或屏幕录像软件，记录检验设备屏幕上显示的内容：c)
1）国标证据数据为不可再现数据的：检验对象为远程数字化设备的：2
检验对象为读始电子数据存偿介质且不真备写保护条件的；3
4）检验过挥中启动被检验数字化设备的操作系统互不具各写保护条件的。l）对于目标证据数据为可再现数据的，而不启动数宇摄像机或屏幕录像欲件。根据检验斥例规定的证据数据发现提取操作步骤：搜索、分析、戴获证据数据。）对于能复制导出应为数据文件的证据数据：将数据文件复制导出作为证据数据：对于在被检验设备尿幕上显示的，无法截获转换成数站义件的信息，使月数字照相机或数字g）
摄像机拍摄屏幕显示内容，将拍摄获得的阁像文件和钙题文件导出治为证据数帮。计等导出的证据数据文件的哈希值。h
i）对于启动数字摄像机或斥幕录像软件的，在检验设备房幕上显示导出的数据文件名称和哈希值并予以录像。
i）对亍庐敬屏幕录像软件的，停止屏幕录像软件，将生成的视领文件导出并计算其哈希值。飞）对于使用数字摄像机录像的，停止最像，将录像带封存并编号，或将录像结果导出成数据文件并计算其哈希停。
4.4检验记录
4.4.1对于检材，应记录以下内容：a）检材类别：
5）检材型号；
检材出厂时呛一性编号（如桌适用）：e
检材的照片。
对于偿据数握，应记录以下内容：4. 4. 2
a）检验日的；
检验设备和软件；
证据数据发现提取操作步骤；
心）检验环境条件：
e）导出的证握数据文件的存储位置、文件名、文件哈希值和数据的可再现特些；f）检验时间；
%）检验人员。
4.4.3对于导出的录像文件，应记录：a）录像文件名；
b）录像开始时间；
GA/T756—2008
录像结束时间；
录像文件哈希值：
捡验人员。
对于记录检验过程的录像带，应记录：4. 4. 4
录像带编号：
录像开始时间；
录像结束时间；
检验人员。
参考文献
RFC 1321 The MD5 Message-Digest AlgozithtnGA/T756—2008
GA/T756-2008
中华人民共和国公共安会
行业标准
数字化设备证据数据发现提取定方法GA/T 756--2008
中国标准出版社出版
北京复兴门外三里河北街15号
邮政编码：100045
网址Spc.net.cn
电话：6852394668517548
中国标推出版社索室岛印刷！\印则*
开本880×12301/16印张C.75字数9二字2008年5月第一版2058年5月第一次印刷书号：155C56·2-18789定价14.00元如有印装差错由本社发行中心调换版权专有侵权必究
举报电话：（010）68533533
8002--902 /
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。