GA_T 1174-2014电子证据数据现场获取通用方法.pdf

ICS 35.240.01GAA 92中华人民共和国公共安全行业标准GA/T 1174--2014电子证据数据现场获取通用方法General methods for capture of live electronic evidence data2014-07-09实施2014-07-09 发布中华人民共和国公安部发布 GA/T 1174--2014前言本标准按照GB/T 1.1--2009给出的规则起草。本标准由公安部第三研究所提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部第三研究所。本标准主要起草人：张颖、金波、郭弘、黄道丽、崔宇寅、雷云婷。I GA/T 1174—2014电子证据数据现场获取通用方法目的和范围1本标准规定了电子证据数据现场搜索、获取、固定和保存的通用方法。本标准适用于在电子数据现场取证的工作中,搜索、获取、固定和保存电子证据数据。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引！用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GA/T756-2008数字化设备证据数据发现提取固定方法GA/T 976—2012　电子数据法庭科学鉴定通用方法3术语和定义GA/T756--2008和GA/T976--2012界定的以及下列术语和定义适用于本文件。3.1随机存取内存转储random access memory dump (RAM dump)将随机存取内存(RAM)中的部分或者全部内容传送到某种类型的存储介质上。3.2逻辑文件 logical file用户所观察到的文件组织形式，是可以直接处理的数据及结构。4 步骤4.1制定证据获取方案在进行电子证据数据现场获取之前，需制定详细的计划,包括：a）现场获取的目的和范围;b)参加电子证据数据现场获取的人员，需明确分工，落实责任；c)进行电子证据数据现场获取需携带的移动仪器设备；现场获取采用的方法和步骤；e)电子证据数据现场获取的顺序；现场获取操作可能造成的影响。4.2记录现场状况对现场状况应通过拍照和录像的方式进行记录，并予以编号保存。4.3电子设备和存储介质的封存：对于已经关闭的系统，在法律允许的范围内并在获得授权的情况下，应对相关电子设备和存储介质 GA/T 1174—2014进行封存，方法如下：a）采用的封存方法应当保证在不解除封存状态的情况下，无法使用被封存的存储介质和启动被封存电子设备；b）封存前后应当拍摄或者录像被封存电子设备和存储介质并进行记录，照片或者录像应当从各个角度反映设备封存前后的状况，清晰反映封口或张贴封条处的状况；c）对系统附带的电子设备和存储介质也应实施封存。4.4电子证据数据的动态获取4.4.1概述对于运行中的系统，应进行电子证据数据的动态获取，其中又分为易丢失数据的提取和固定、在线获取以及电子设备和存储介质的封存三个部分。电子设备和存储介质的封存见4.3。4.4.2遵循原则易丢失数据的提取、固定和在线获取应遵照以下原则：a）不得将生成、提取的数据存储在原始存储介质中；b）不得在目标系统中安装新的应用程序。如果因为特殊原因,需要在目标系统中安装新的应用程序的，应当记录所安装的程序及其目的；c）应当详细、准确记录实施的操作以及对目标系统可能造成的影响。4.4.3易丢失数据的提取和固定易丢失数据的提取和固定应遵照以下步骤：a）优先搜索并固定保全随机存取内存转储中的以下数据：1）打开并未保存的文档；2）最近的聊天记录;3）用户密码；4）其他取证活动相关的文件信息。获取系统中相关电子证据数据的信息，包括：1）存储介质的状态,确认是否存在异常状况等;2)正在运行的进程；3）操作系统信息，包括打开的文件，使用的网络端口，网络连接(其中包括IP信息，防火墙配置等);4）尚未存储的数据；5）共享的网络驱动和文件夹；6）连接的网络用户；7）其他取证活动相关的电子数据信息。c)确保证据数据独立于电子数据存储介质的软硬件；逻辑备份证据数据以及所有权、时间等相关信息。4.4.4在线获取需要进行在线获取的情况如下所示：案件情况紧急，且证据数据具有时效性或者易丢失性，在现场不实施数据获取可能会造成严重a)后果的;2 GA/T 1174--2014b）情况特殊，不允许关闭电子设备或扣押电子设备的；c）现场获取不会损害目标设备中重要电子数据的完整性、真实性的。如果确实存在上述情况，则应在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据，包括：a）打开的聊天工具中的聊天记录；b）打开的网页;c）打开的邮件客户端中的邮件；d）其他取证活动相关的电子数据信息。4.5电子证据数据的固定保全从现场获取的上述所有电子证据数据需遵照以下几个方式进行固定保全：a）完整