GA/T 1474-2018
基本信息
标准号: GA/T 1474-2018
中文名称:法庭科学计算机系统用户操作行为检验技术规范
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1469858
相关标签: 法庭 科学 计算机系统 用户 操作 行为 检验 技术规范
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 1474-2018.Technical specifications for examination of computer system user operation behaviors in forensics.
1范围
GA/T 1474规定了计算机系统用户操作行为检验的技术方法和步骤。
GA/T 1474适用于法庭科学领域中的计算机系统用户操作行为检验.
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
GB/T29360电子物证数据恢复检验规程
GB/T 29362电子物证数据搜索检验规程
GA/T756数字化设备证据数据发现提取固定方法
GA/T 976电子 数据法庭科学鉴定通用方法
GA/T 1172电子邮件检验技术方 法
GA/T 1173即时 通讯记录检验技术方法
GA/T1176网页浏览器历史数据检验技术方法
3术语和定义
GA/T 976界定的以及下列术语和定义适用于本文件
3.1用户操作行为user operation behavior
用户使用计算机系统的特定行为,如开/关机.登录/登出,接入外部设备、文件操作、打印、软件使用、浏览网页、即时通讯、收发电子邮件等。分为正在进行的行为和已经发生的行为。
3.2操作痕迹operation trace
反映用户操作行为过程的数据,存在于日志.注册表、临时文件、配置文件数据库等区域。
1范围
GA/T 1474规定了计算机系统用户操作行为检验的技术方法和步骤。
GA/T 1474适用于法庭科学领域中的计算机系统用户操作行为检验.
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
GB/T29360电子物证数据恢复检验规程
GB/T 29362电子物证数据搜索检验规程
GA/T756数字化设备证据数据发现提取固定方法
GA/T 976电子 数据法庭科学鉴定通用方法
GA/T 1172电子邮件检验技术方 法
GA/T 1173即时 通讯记录检验技术方法
GA/T1176网页浏览器历史数据检验技术方法
3术语和定义
GA/T 976界定的以及下列术语和定义适用于本文件
3.1用户操作行为user operation behavior
用户使用计算机系统的特定行为,如开/关机.登录/登出,接入外部设备、文件操作、打印、软件使用、浏览网页、即时通讯、收发电子邮件等。分为正在进行的行为和已经发生的行为。
3.2操作痕迹operation trace
反映用户操作行为过程的数据,存在于日志.注册表、临时文件、配置文件数据库等区域。
标准图片预览
标准内容
ICS13.310
中华人民共和国公共安全行业标准GA/T1474—2018
法庭科学计算机系统用户操作行为检验技术规范
Technical specifications for examination of computer system useroperationbehaviors inforensics2018-04-17发布
中华人民共和国公安部
2018-04-17实施
本标准按照GB/T1.1一2009给出的规则起草。GA/T1474—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会(SAC/TC179/SC7)提出并归口。
本标准起草单位:司法部司法鉴定科学技术研究所、公安部物证鉴定中心。本标准主要起草人:施少培、杨旭、李岩、卢启萌、曾锦华、楚川红。I
1范围
法庭科学计算机系统用户操作行为检验技术规范
本标准规定了计算机系统用户操作行为检验的技术方法和步骤。本标准适用于法庭科学领域中的计算机系统用户操作行为检验。规范性引用文件
GA/T1474—2018
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T29360电子物证数据恢复检验规程GB/T29362电子物证数据搜索检验规程GA/T756数字化设备证据数据发现提取固定方法GA/T976电子数据法庭科学鉴定通用方法GA/T1172
GA/T1173
GA/T1176
3术语和定义
电子邮件检验技术方法
即时通讯记录检验技术方法
网页浏览器历史数据检验技术方法GA/T976界定的以及下列术语和定义适用于本文件。3.1
用户操作行为
user operation behavior
用户使用计算机系统的特定行为,如开/关机,登录/登出,接人外部设备,文件操作,打印,软件使用、浏览网页、即时通讯,收发电子邮件等。分为正在进行的行为和已经发生的行为3.2
Eoperationtrace
操作痕迹
反映用户操作行为过程的数据,存在于日志、注册表、临时文件、配置文件、数据库等区域。4检验步骤
4.1准备
4.1.1了解检材的使用情况,包括用户信息、系统状态、可能的操作行为类别等。4.1.2如检材有登录口令或加密密钥保护,宜获取口令或密钥信息。4.2
固定保全
4.2.1对检材进行唯一性编号。
GA/T1474—2018
4.2.2对检材进行拍照或录像,记录其特征。4.2.3根据检材情况和检验需要,按照GA/T756的相关要求进行完整性备份。无法进行完整性备份的,对检验过程进行全程录像。4.3搜索和恢复
根据检验需要,按照GB/T29360和GB/T29362搜索、恢复保存在检材中的相关文件和数据。4.4行为检验
4.4.1根据检材具体情况和计算机操作系统类型,视检验需要对包括但不限于4.4.2~4.4.9的内容进行检验和分析。
4.4.2开/关机及登录/登出检验至少应包括以下内容:a)检验系统日志、应用程序日志及系统安全日志等日志文件中与开/关机及登录/登出相关的记录;
检验系统配置信息,如Windows系统注册表中的相关数据:在系统中其他位置查找与开/关机及登录/登出相关的信息,如系统中文件的修改时间、防病毒c)
软件及其他软件的启动/关闭记录等。4.4.3接入外部设备检验至少应包括以下内容:检验系统驱动安装日志中与外部设备相关的数据;a)
检验系统配置信息,如Windows系统注册表中的相关数据;e)
检验快捷方式中与外部设备相关的数据,如最近访问记录等;d)
检验缓存文件中与外部设备相关的数据,如图标缓存等:e)
检验系统中的文件与外部设备中的文件的相似性及复制关系;对于存在自动备份机制的外部设备,检验其备份在计算机系统中的数据。f)
4.4.4文件操作检验至少应包括以下内容:a)
检验文件的属性信息;
检验文件的元数据信息;
检验文件操作形成的临时文件,备份文件,快捷方式等;检验文件在相关软件及系统中的最近打开记录;d)
对于被删除的文件,检验其状态,位置及内容。4.4.5打印检验至少应包括以下内容:a
检验系统中安装的打印机驱动程序:检验打印临时文件,如Windows系统的SHD.SPL及TMP文件;b)
查找打印源文件,检验其中的打印时间。4.4.6
软件使用检验至少应包括以下内容:检验系统中需检软件文件的属性信息;a
检验软件运行时生成的配置文件、临时文件及其属性信息;检验软件的日志信息;下载标准就来标准下载网
检验软件在系统中其他位置留下的信息,如Windows系统注册表、系统还原点、系统镜像、最d)
近打开文档等:
e)对于含有数据库的软件,对数据库中的数据进行检验。4.4.7览网页检验至少应包括以下内容:a)
根据网页浏览器类型和版本,查找其历史数据保存位置:b)检验网页浏览历史数据,如地址栏网址输人记录、网址重定向记录、网页浏览历史记录等:2
检验与被浏览网页相关的图片、文档、压缩包、Cookies、脚本等信息;GA/T1474—2018
查找并检验系统中与被浏览网页相关的其他文件,如收藏夹、保存的网页、下载的文件等;d)
e)其他内容可参照GA/T1176的相关要求进行检验。4.4.8即时通讯检验至少应包括以下内容:查找系统中安装的即时通讯软件及其数据文件:a)
检验客户端软件版本、用户账号等信息及数据文件的属性信息;b)
检验数据文件中的聊天记录等信息;c
d)查找并检验通过即时通讯传输的图片、文档、多媒体文件等信息;其他内容可参照GA/T1173的相关要求进行检验。e)
电子邮件收发检验至少应包括以下内容:4.4.9
a)查找系统中安装的电子邮件客户端软件及其数据文件:b)
根据客户端类型分析数据文件中的电子邮件及其相互之间的关联:c)在系统中搜索其他与需检电子邮件相关的信息;d)对于通过网页电子邮件服务收发的电子邮件,可参照GA/T1172的相关要求进行检验。4.4.10其他操作行为,根据操作行为类别及操作系统特点,有针对性地对相关操作痕迹进行检验。5检验结果保存
将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中,并计算检出数据的哈希值。
6检验记录
与检验有关的情况应及时、客观、全面地记录,保证检验过程和结果的可追溯性。7检验结果表述
检验结果表述应符合以下规定:a)检验结果分为检出、未检出、不具备检验条件3种;b)检验结果应根据检验要求对检验对象、检验范围、检验所得进行客观、概括、有针对性的描述;结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据介质哈希值、保存检出数c)
据介质编号等必要信息。
8附则
8.1计算机系统中的时间信息与标准时间并非完全一致,检验中应注意系统时间与标准时间(如国家授时中心标准时间源)的差值。8.2对于加密的数据,检验前宜先对其进行解密。8.3在查找操作痕迹时,应注意搜索,恢复的全面性。8.4检验中应注意查找并分析可以相互印证的数据,8.5对于检验中发现的存疑现象,可以通过实验进行分析。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T1474—2018
法庭科学计算机系统用户操作行为检验技术规范
Technical specifications for examination of computer system useroperationbehaviors inforensics2018-04-17发布
中华人民共和国公安部
2018-04-17实施
本标准按照GB/T1.1一2009给出的规则起草。GA/T1474—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会(SAC/TC179/SC7)提出并归口。
本标准起草单位:司法部司法鉴定科学技术研究所、公安部物证鉴定中心。本标准主要起草人:施少培、杨旭、李岩、卢启萌、曾锦华、楚川红。I
1范围
法庭科学计算机系统用户操作行为检验技术规范
本标准规定了计算机系统用户操作行为检验的技术方法和步骤。本标准适用于法庭科学领域中的计算机系统用户操作行为检验。规范性引用文件
GA/T1474—2018
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T29360电子物证数据恢复检验规程GB/T29362电子物证数据搜索检验规程GA/T756数字化设备证据数据发现提取固定方法GA/T976电子数据法庭科学鉴定通用方法GA/T1172
GA/T1173
GA/T1176
3术语和定义
电子邮件检验技术方法
即时通讯记录检验技术方法
网页浏览器历史数据检验技术方法GA/T976界定的以及下列术语和定义适用于本文件。3.1
用户操作行为
user operation behavior
用户使用计算机系统的特定行为,如开/关机,登录/登出,接人外部设备,文件操作,打印,软件使用、浏览网页、即时通讯,收发电子邮件等。分为正在进行的行为和已经发生的行为3.2
Eoperationtrace
操作痕迹
反映用户操作行为过程的数据,存在于日志、注册表、临时文件、配置文件、数据库等区域。4检验步骤
4.1准备
4.1.1了解检材的使用情况,包括用户信息、系统状态、可能的操作行为类别等。4.1.2如检材有登录口令或加密密钥保护,宜获取口令或密钥信息。4.2
固定保全
4.2.1对检材进行唯一性编号。
GA/T1474—2018
4.2.2对检材进行拍照或录像,记录其特征。4.2.3根据检材情况和检验需要,按照GA/T756的相关要求进行完整性备份。无法进行完整性备份的,对检验过程进行全程录像。4.3搜索和恢复
根据检验需要,按照GB/T29360和GB/T29362搜索、恢复保存在检材中的相关文件和数据。4.4行为检验
4.4.1根据检材具体情况和计算机操作系统类型,视检验需要对包括但不限于4.4.2~4.4.9的内容进行检验和分析。
4.4.2开/关机及登录/登出检验至少应包括以下内容:a)检验系统日志、应用程序日志及系统安全日志等日志文件中与开/关机及登录/登出相关的记录;
检验系统配置信息,如Windows系统注册表中的相关数据:在系统中其他位置查找与开/关机及登录/登出相关的信息,如系统中文件的修改时间、防病毒c)
软件及其他软件的启动/关闭记录等。4.4.3接入外部设备检验至少应包括以下内容:检验系统驱动安装日志中与外部设备相关的数据;a)
检验系统配置信息,如Windows系统注册表中的相关数据;e)
检验快捷方式中与外部设备相关的数据,如最近访问记录等;d)
检验缓存文件中与外部设备相关的数据,如图标缓存等:e)
检验系统中的文件与外部设备中的文件的相似性及复制关系;对于存在自动备份机制的外部设备,检验其备份在计算机系统中的数据。f)
4.4.4文件操作检验至少应包括以下内容:a)
检验文件的属性信息;
检验文件的元数据信息;
检验文件操作形成的临时文件,备份文件,快捷方式等;检验文件在相关软件及系统中的最近打开记录;d)
对于被删除的文件,检验其状态,位置及内容。4.4.5打印检验至少应包括以下内容:a
检验系统中安装的打印机驱动程序:检验打印临时文件,如Windows系统的SHD.SPL及TMP文件;b)
查找打印源文件,检验其中的打印时间。4.4.6
软件使用检验至少应包括以下内容:检验系统中需检软件文件的属性信息;a
检验软件运行时生成的配置文件、临时文件及其属性信息;检验软件的日志信息;下载标准就来标准下载网
检验软件在系统中其他位置留下的信息,如Windows系统注册表、系统还原点、系统镜像、最d)
近打开文档等:
e)对于含有数据库的软件,对数据库中的数据进行检验。4.4.7览网页检验至少应包括以下内容:a)
根据网页浏览器类型和版本,查找其历史数据保存位置:b)检验网页浏览历史数据,如地址栏网址输人记录、网址重定向记录、网页浏览历史记录等:2
检验与被浏览网页相关的图片、文档、压缩包、Cookies、脚本等信息;GA/T1474—2018
查找并检验系统中与被浏览网页相关的其他文件,如收藏夹、保存的网页、下载的文件等;d)
e)其他内容可参照GA/T1176的相关要求进行检验。4.4.8即时通讯检验至少应包括以下内容:查找系统中安装的即时通讯软件及其数据文件:a)
检验客户端软件版本、用户账号等信息及数据文件的属性信息;b)
检验数据文件中的聊天记录等信息;c
d)查找并检验通过即时通讯传输的图片、文档、多媒体文件等信息;其他内容可参照GA/T1173的相关要求进行检验。e)
电子邮件收发检验至少应包括以下内容:4.4.9
a)查找系统中安装的电子邮件客户端软件及其数据文件:b)
根据客户端类型分析数据文件中的电子邮件及其相互之间的关联:c)在系统中搜索其他与需检电子邮件相关的信息;d)对于通过网页电子邮件服务收发的电子邮件,可参照GA/T1172的相关要求进行检验。4.4.10其他操作行为,根据操作行为类别及操作系统特点,有针对性地对相关操作痕迹进行检验。5检验结果保存
将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中,并计算检出数据的哈希值。
6检验记录
与检验有关的情况应及时、客观、全面地记录,保证检验过程和结果的可追溯性。7检验结果表述
检验结果表述应符合以下规定:a)检验结果分为检出、未检出、不具备检验条件3种;b)检验结果应根据检验要求对检验对象、检验范围、检验所得进行客观、概括、有针对性的描述;结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据介质哈希值、保存检出数c)
据介质编号等必要信息。
8附则
8.1计算机系统中的时间信息与标准时间并非完全一致,检验中应注意系统时间与标准时间(如国家授时中心标准时间源)的差值。8.2对于加密的数据,检验前宜先对其进行解密。8.3在查找操作痕迹时,应注意搜索,恢复的全面性。8.4检验中应注意查找并分析可以相互印证的数据,8.5对于检验中发现的存疑现象,可以通过实验进行分析。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。