GA_T 1071-2013法庭科学电子物证Windows操作系统志检验技术规范.pdf

ICS 13.310GAA 92中华人民共和国公共安全行业标准GA/T 1071—2013法庭科学电子物证Windows操作系统日志检验技术规范Technical specifications for Windows operating system log examinationof electronic forensics2013-05-27 发布2013-06-01实施中华人民共和国公安部发布 GA/T 1071—2013言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会（SAC/TC179/SC7）提出并归口。本标准起草单位：中国刑事警察学院司法鉴定中心、公安部物证鉴定中心。本标准主要起草人：汤艳君、秦玉海、高洪涛、刘奇志、罗文华、高扬、楚川红。1 GA/T 1071—2013法庭科学电子物证Windows操作系统日志检验技术规范1范围本标准规定了 Windows 操作系统，包括 Windows 2000、Windows XP、Windows 2003、WindowsVista 和 Windows 7日志检验的方法。本标准适用于法庭科学领域中的电子物证检验。2 术语和定义下列术语和定义适用于本文件。2. 1Windows 操作系统日志 Windows operating system logWindows 操作系统所指定对象的操作和其操作结果按时间排列有序的集合。包括应用程序日志、安全日志和系统日志。2. 2应用程序日志application log记录由应用程序产生的事件。2.3安全日志　 security log记录与安全相关事件，包括成功和不成功的登录或退出、系统资源使用等。2. 4系统日志 system log记录由Windows操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。3仪器设备3.1硬件存储介质、保全备份设备、具有只读接口的电子物证检验工作站。3.2软件3.2.1操作系统:Windows。3.2.2软件工具：具有Windows操作系统日志查看功能的软件、Windows 操作系统提供的事件查看器等。1 GA/T 1071--20134操作步骤4.1检材编号对送检的检材进行惟一性编号。4.2检材拍照对送检的检材加上惟一性编号进行拍照。4.3检材保全备份对具备保全条件的检材进行保全备份。4.4检验4.4.1启动杀毒软件对电子物证检验工作站系统进行杀毒。4.4.2对检材（若已保全，使用保全的存储设备）通过只读方式连接到电子物证检验工作站。4.4.3计算检材的哈希值。4.4.4使用操作系统提供的资源管理器中搜索功能或具有搜索功能软件的过滤功能查找日志文件。序日志、安全日志和系统日志对应的文件名分别为AppEvent.evt、SecEvent.evt和 SysEvent.evt；WindowsVista、Windows7系统日志默认存储路径是%systemroot%\system32|winevt\logs，应用程序日志、安全日志和系统日志对应的文件名分别为 Application.evtx、Security.evtx 和 System.evtx。4.4.5使用软件工具对日志文件内容进行浏览和检验。4.4.6检验时应按照软件工具使用说明书进行操作。4.4.7将检验结果按检验要求筛选后复制到检验专用存储介质中。4.5检出数据刻录4.5.1将检出的数据刻录在不可擦写的空白光盘上，应采用封盘刻录。4.5.2计算哈希值。4.5.3对光盘进行惟一性编号。4.5.4贴上盘签，盘签内容应注明检验单位名称、光盘编号、光盘哈希值、光盘制作日期等；应加盖检验鉴定专用章。5 检验结论的表述经对编号为ai”～“a,”的检材使用rr软件工具进行技术检验,检验结果如下：在检材 a；中检出与 yy有关的 Windows 操作系统日志文件 mm 个，大小计bb。检出的数据文件刻录在编号为 gg光盘中，光盘（或文件)的 HH哈希值为 hh(或在检材 a：中未检出与yy有关的日志文件)。注：a；代表检材编号;n代表检材个数；i代表检材序号；rr代表使用软件工具的名称及版本号；yy代表检验要求或样本;mm代表文件个数;bb代表文件大小，单位可以使用Byte、kB、MB或 GB;gg代表光盘的编号；HH代表哈希算法名称;hh 代表哈希值。2 GA/T 1071—20136附则6.1在检验过程中应做检验记录。6. 22在检验过程中,不应改变送检检验对象中的数据。6.33在检验过程中,检出数据应存储到专用的存储介质中。6.4应对送检检验对象做好防水、防磁、防静电和防震保护。