【GA公共安全标准】 电子物证数据搜索检验技术规范

ICS13.310
中华人民共和国公共安全行业标准GA/T8252009
电子物证数据搜索检验技术规范Data search technical specifications of electronic forensics2009-04-07发布
中华人民共和国公安部
2009-06-01实施
GA/T825-—2009
本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会（SAC/TC179/SC7）提出并归口。
本标准起草单位：公安部物证鉴定中心。本标准主要起草人：张国臣、尹春社、邢桂东、楚川红。1范围
电子物证数据搜索检验技术规范本标准规定了数据搜索检验的方法。本标准适用于法庭科学领域中的电子物证检验。2术语和定义
下列术语和定义适用于本标准。2.1
数据搜索
datasearch
GA/T8252009
在送检存储设备或介质中查找已知内容或关键字检验，包括文件搜索和物理搜索两种方式。2.1.1
文件搜索
filesearch
根据已知内容或关键字对送检存储设备或介质的数据文件进行搜索检验。2.1.2
物理搜索physical search
根据已知内容或关键字对送检存储设备或介质的二进制数据进行搜索检验。2.2
保全备份safebackup
对原始数据进行完整、精确、无损的备份。3仪器设备
3.1硬件
存储介质、保全备份设备、具有只读接口的电子物证检验工作站。3.2软件
3.2.1操作系统：Windows、Unix、Linux、MacOS等。3.2.2软件工具：EnCase、ForensicToolkit、X-WaysForensics、操作系统提供的资源（文件）管理器等。4操作步骤
4.1检材和样本编号
对送检的检材和样本进行唯一性编号。4.2检材及样本拍照
对送检的检材和样本进行拍照。4.3检材及样本保全备份
对具备保全条件的检材和样本进行保全备份。4.4检验
4.4.1启动杀毒软件对电子物证检验工作站系统进行杀毒。4.4.2对检材和样本（若已保全，使用保全的存储设备）通过只读接口接到电子物证检验工作站。4.4.3通过已知内容或关键字进行文件搜索可使用EnCase、ForensicToolkit、X-WaysForensics或操作系统提供的资源（文件）管理器等软件工具。1下载标准就来标准下载网
GA/T825—2009
4.4.4通过已知内容或关键字进行物理搜索可使用EnCase、ForensicToolkit、X-WaysForensics等软件工具。
4.4.5搜索数据应按照各软件工具使用说明书进行操作。4.4.6将搜索结果按检验要求筛选后复制到专用的存储介质中。4.5检出数据刻录
4.5.1将检验出的数据刻录在不可擦写的空白光盘上，应采用封盘刻录。4.5.2对光盘进行唯一性编号。
4.5.3贴上盘签。盘签内容应包括检验单位名称、光盘编号、检验日期等；应加盖检验鉴定专用章。5检验结论的表述
经对编号为“a,”～“a.”的检材使用rr软件工具进行技术检验，检验结果如下：在检材i中检出与yy有关数据文件mm个，大小计bb(单位可以使用Byte、kB、MB或GB)。检出的数据文件刻录在dd制作的编号为gg光盘中。（或：在检材i中未检出与yy有关的数据文件。）注：a；代表检材；n代表检材个数；i代表检材序号；rr代表使用软件工具的名称及版本号；yy代表检验要求或样本；mm代表文件个数；bb代表文件大小;dd代表检验单位名称；gg代表光盘的编号。6附则
6.1在检验过程中应做检验记录。6.2在检验过程中,不应改变检验对象中的数据。6.3在检验过程中，搜索出的数据应存储到专用的存储介质中。6.4应对送检的检验对象做好防水、防磁、防静电和防震保护。2
GA/T825-2009
中华人民共和国公共安全
行业标准
电子物证数据搜索检验技术规范GA/T825-—2009
中国标准出版社出版发行
北京复兴门外三里河北街16号
邮政编码：100045
网址spc.net.cn
电话：6852394668517548
中国标准出版社秦皇岛印刷厂印剧各地新华书店经销
开本880×12301/16印张0.5字数5千字2009年6月第一版2009年6月第一次印刷*
书号：155066·2-19701
如有印装差错由本社发行中心调换版权专有侵权必究
举报电话：（010)68533533
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。