GA/T 1175-2014
基本信息
标准号: GA/T 1175-2014
中文名称:软件相似性检验技术方法
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:336936
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 1175-2014.Technical methods for examination of software similarity.
1范围
GA/T 1175规定了软件相似性检验的技术方法和步骤。
GA/T 1175适用于在电子数据检验鉴定工作中的软件的相似性检验。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 29361- -2012 电子物证文件 -致性检验规程
GA/T 757- 2008程序 功能检验方法
GA/T976--2012电子数据法庭科学鉴定通用方法
GA/T 978- 2012 网络 游戏私服检验技术方法
3术语和定义
GB/T 29361- -2012.GA/T 757- 2008 、GA/T 976- -2012 和GA/T 978- -2012 界定的以及下列术语和定义适用于本文件。
3.1检材software for examination
电子数据检验鉴定中需检验的软件。
3样本software for comparison
电子数据检验鉴定中用于同检材进行比对检验的软件。
3.3数字化设备digital device
存储、处理和传输二进制数据的设备,包括计算机、通信设备、网络设备、电子数据存储设备等。
3.4源代码source code
未经编译的、按照一定的程序设计语言规范书写的、人类可读的计算机指令语言指令。
1范围
GA/T 1175规定了软件相似性检验的技术方法和步骤。
GA/T 1175适用于在电子数据检验鉴定工作中的软件的相似性检验。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 29361- -2012 电子物证文件 -致性检验规程
GA/T 757- 2008程序 功能检验方法
GA/T976--2012电子数据法庭科学鉴定通用方法
GA/T 978- 2012 网络 游戏私服检验技术方法
3术语和定义
GB/T 29361- -2012.GA/T 757- 2008 、GA/T 976- -2012 和GA/T 978- -2012 界定的以及下列术语和定义适用于本文件。
3.1检材software for examination
电子数据检验鉴定中需检验的软件。
3样本software for comparison
电子数据检验鉴定中用于同检材进行比对检验的软件。
3.3数字化设备digital device
存储、处理和传输二进制数据的设备,包括计算机、通信设备、网络设备、电子数据存储设备等。
3.4源代码source code
未经编译的、按照一定的程序设计语言规范书写的、人类可读的计算机指令语言指令。
标准图片预览
标准内容
ICS35.240.01
中华人民共和国公共安全行业标准GA/T1175-2014
软件相似性检验技术方法
Technical methods for examination of software similarity2014-07-09发布
中华人民共和国公安部
2014-07-09实施
中华人民共和国公共安全
行业标准
软件相似性检验技术方法
GA/T1175—2014
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号(100045)网址spc.net.cnbzxZ.net
总编室:(010)64275323发行中心:(010)51780235读者服务部:(010)68523946
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
开本880×12301/16印张0.5字数10千字2014年9月第一版2014年9月第一次印刷号:155066·2-27345
定价14.00元
如有印装差错
由本社发行中心调换
版权专有侵权必究
举报电话:(010)68510107
本标准按照GB/T1.1—2009给出的规则起草本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:公安部网络安全保卫局、公安部第三研究所本标准主要起草人:高峰、郭弘、金波、张颖、蔡立明、黄道丽、孙杨。GA/T1175
5—2014
1范围
软件相似性检验技术方法
本标准规定了软件相似性检验的技术方法和步骤。本标准适用于在电子数据检验鉴定工作中的软件的相似性检验。2规范性引用文件
GA/T1175—2014
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T29361一2012电子物证文件一致性检验规程GA/T757—2008程序功能检验方法GA/T976—2012电子数据法庭科学鉴定通用方法GA/T978—2012网络游戏私服检验技术方法3术语和定义
GB/T29361—2012、GA/T757—2008、GA/T976—2012和GA/T978—2012界定的以及下列术语和定义适用于本文件。
检材 software for examination电子数据检验鉴定中需检验的软件。3.2
样本softwarefor comparison
电子数据检验鉴定中用于同检材进行比对检验的软件。3.3
数字化设备digitaldevice
存储、处理和传输二进制数据的设备,包括计算机、通信设备、网络设备、电子数据存储设备等。3.4
源代码source code
未经编译的、按照一定的程序设计语言规范书写的、人类可读的计算机指令语言指令。3.5
目标程序
objectcode
编译器或汇编器处理源代码后所生成的、可直接被计算机运行的机器码集合。3.6
runtimeenviroment
运行环境
一种把执行码在目标机器上运行的环境。3.7
直hashvalue
哈希值
使用安全的哈希算法对数据进行计算获得的数据。1
GA/T1175—2014
注:常用哈希算法包括MD5、SHA1和SHA256等。3.8
反编译decompile
将软件中的程序文件还原成汇编或者高级语言代码的过程。4仪器设备
4.1硬件
电子数据存储设备、保全备份设备、检验设备。4.2软件
送检软件所需的运行环境,文件比对工具,反编译工具,源程序代码分析工具等。5检验步骤
5.1记录检材和样本情况
内容应包括:
a)对送检的检材和样本进行唯一性编号;b)对检材/样本为数字化设备的,对数字化设备进行拍照,并记录其特征。5.2检材和样本的保全备份
对具备保全条件的检材和样本进行保全备份,并计算保全备份的副本或镜像的哈希值,5.3检验项目的选择
分析检材和样本,根据检材和样本的内容应选择以下一项或多项内容进行检验:a)源程序间的比对;
b)目
目标程序间的比对;
源程序和目标程序间的比对;
d)文档的比对(如适用);
文档和源程序/目标程序间的比对。e
文档包括开发文档、需求说明书、总体设计方案,详细设计方案等。5.4程序的比对检验
5.4.1概述
对检材和样本进行比对检验时,应先排除影响比对的内容(如公共程序库文件、第三方库文件和GNU通用公共许可的程序等)。
5.4.2源程序间的比对
对检材和样本的源程序代码的目录结构、文件名、文件内容、变量、函数、宏定义等进行比对检验。检验时,应排除自定义的文件名、变量名、函数名等名称被刻意修改的影响,对程序逻辑与结构等内容进行比对检验。
5.4.3目标程序间的比对
5.4.3.1通则
GA/T1175—2014
分别对检材和样本中的目标程序文件计算哈希值。若所有对应的文件哈希值相同,则软件相同。若对应的文件哈希值不相同,按下列步骤进行。5.4.3.2安装程序检验(如适用)对检材和样本的安装程序进行下列比对检验:a)目录结构及目录名;
b)各组成文件的文件名、文件哈希值、文件内容、文件结构和文件属性等。5.4.3.3安装过程检验(如适用)分别运行检材和样本的安装程序,观察安装过程的屏幕显示、软件信息以及使用功能键后的屏幕显示以及安装步骤,并进行比对检验。5.4.3.4安装后的程序检验
对安装成功的检材和样本的程序进行下列比对检验:a)安装后产生的目录结构及目录名;b)安装后产生文件的文件名、文件哈希值、文件内容、文件结构和文件属性等;c)安装后的软件的配置过程和运行方式。5.4.3.5程序的使用过程检验
运行程序,对使用过程中的屏幕显示、功能、功能键和使用方法等进行比对检验。5.4.3.6核心程序的逆向分析
必要时,对目标程序的核心程序进行反编译,对反编译后的代码进行比对检验。5.4.4源程序和目标程序间的比对将源程序编译成自标程序后再进行比对检验,检验过程按照自标程序间的比对进行。注:源代码编译过程中,由于编译软件,编译环境等不同,相同的源代码每次编译产生的文件可能会有差异。5.5文档的比对
对检材和样本的文档的自录结构和内容等进行比对。6检验记录
6.1对于检材/样本为数字化设备的,应记录检材/样本的:a)类别;
b)型号;
c)出厂时唯一性编号(如适用)固件版本号(如适用);
软件的名称、版本等属性信息(如适用);e)
GA/T1175-—2014
f)照片。
6.2对于检材/样本为独立于数字化设备的软件的,应记录软件的:a)名称、版本、大小等属性信息;b)哈希值;
c)运行环境。
6.3对于检验的结果,应记录检材与样本的:a)相同部分,如目录结构、目录名、文件、文件名、文件内容等;b)相似部分,如安装或使用过程中的屏幕显示等。7检验结果
列出检材与样本的相似比例,并对存在相同或相似的部分进行说明。如检材与样本中存在软件署名、开发者的姓名、单位、废程序段、独特的代码序列等相同,需在检验结果中单独列出。
8附则
8.1对检验用的软件工具的适用性应进行适当确认。8.2在检验过程中,检出的数据应存储在专用的存储介质中。8.3对送检的检材和样品要做好防震防水防磁防静电等保护。版权专有侵权必究
书号:1550662-27345
GA/T1175-2014
打印日期:2014年11月11日F009A定价:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T1175-2014
软件相似性检验技术方法
Technical methods for examination of software similarity2014-07-09发布
中华人民共和国公安部
2014-07-09实施
中华人民共和国公共安全
行业标准
软件相似性检验技术方法
GA/T1175—2014
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号(100045)网址spc.net.cnbzxZ.net
总编室:(010)64275323发行中心:(010)51780235读者服务部:(010)68523946
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
开本880×12301/16印张0.5字数10千字2014年9月第一版2014年9月第一次印刷号:155066·2-27345
定价14.00元
如有印装差错
由本社发行中心调换
版权专有侵权必究
举报电话:(010)68510107
本标准按照GB/T1.1—2009给出的规则起草本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:公安部网络安全保卫局、公安部第三研究所本标准主要起草人:高峰、郭弘、金波、张颖、蔡立明、黄道丽、孙杨。GA/T1175
5—2014
1范围
软件相似性检验技术方法
本标准规定了软件相似性检验的技术方法和步骤。本标准适用于在电子数据检验鉴定工作中的软件的相似性检验。2规范性引用文件
GA/T1175—2014
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T29361一2012电子物证文件一致性检验规程GA/T757—2008程序功能检验方法GA/T976—2012电子数据法庭科学鉴定通用方法GA/T978—2012网络游戏私服检验技术方法3术语和定义
GB/T29361—2012、GA/T757—2008、GA/T976—2012和GA/T978—2012界定的以及下列术语和定义适用于本文件。
检材 software for examination电子数据检验鉴定中需检验的软件。3.2
样本softwarefor comparison
电子数据检验鉴定中用于同检材进行比对检验的软件。3.3
数字化设备digitaldevice
存储、处理和传输二进制数据的设备,包括计算机、通信设备、网络设备、电子数据存储设备等。3.4
源代码source code
未经编译的、按照一定的程序设计语言规范书写的、人类可读的计算机指令语言指令。3.5
目标程序
objectcode
编译器或汇编器处理源代码后所生成的、可直接被计算机运行的机器码集合。3.6
runtimeenviroment
运行环境
一种把执行码在目标机器上运行的环境。3.7
直hashvalue
哈希值
使用安全的哈希算法对数据进行计算获得的数据。1
GA/T1175—2014
注:常用哈希算法包括MD5、SHA1和SHA256等。3.8
反编译decompile
将软件中的程序文件还原成汇编或者高级语言代码的过程。4仪器设备
4.1硬件
电子数据存储设备、保全备份设备、检验设备。4.2软件
送检软件所需的运行环境,文件比对工具,反编译工具,源程序代码分析工具等。5检验步骤
5.1记录检材和样本情况
内容应包括:
a)对送检的检材和样本进行唯一性编号;b)对检材/样本为数字化设备的,对数字化设备进行拍照,并记录其特征。5.2检材和样本的保全备份
对具备保全条件的检材和样本进行保全备份,并计算保全备份的副本或镜像的哈希值,5.3检验项目的选择
分析检材和样本,根据检材和样本的内容应选择以下一项或多项内容进行检验:a)源程序间的比对;
b)目
目标程序间的比对;
源程序和目标程序间的比对;
d)文档的比对(如适用);
文档和源程序/目标程序间的比对。e
文档包括开发文档、需求说明书、总体设计方案,详细设计方案等。5.4程序的比对检验
5.4.1概述
对检材和样本进行比对检验时,应先排除影响比对的内容(如公共程序库文件、第三方库文件和GNU通用公共许可的程序等)。
5.4.2源程序间的比对
对检材和样本的源程序代码的目录结构、文件名、文件内容、变量、函数、宏定义等进行比对检验。检验时,应排除自定义的文件名、变量名、函数名等名称被刻意修改的影响,对程序逻辑与结构等内容进行比对检验。
5.4.3目标程序间的比对
5.4.3.1通则
GA/T1175—2014
分别对检材和样本中的目标程序文件计算哈希值。若所有对应的文件哈希值相同,则软件相同。若对应的文件哈希值不相同,按下列步骤进行。5.4.3.2安装程序检验(如适用)对检材和样本的安装程序进行下列比对检验:a)目录结构及目录名;
b)各组成文件的文件名、文件哈希值、文件内容、文件结构和文件属性等。5.4.3.3安装过程检验(如适用)分别运行检材和样本的安装程序,观察安装过程的屏幕显示、软件信息以及使用功能键后的屏幕显示以及安装步骤,并进行比对检验。5.4.3.4安装后的程序检验
对安装成功的检材和样本的程序进行下列比对检验:a)安装后产生的目录结构及目录名;b)安装后产生文件的文件名、文件哈希值、文件内容、文件结构和文件属性等;c)安装后的软件的配置过程和运行方式。5.4.3.5程序的使用过程检验
运行程序,对使用过程中的屏幕显示、功能、功能键和使用方法等进行比对检验。5.4.3.6核心程序的逆向分析
必要时,对目标程序的核心程序进行反编译,对反编译后的代码进行比对检验。5.4.4源程序和目标程序间的比对将源程序编译成自标程序后再进行比对检验,检验过程按照自标程序间的比对进行。注:源代码编译过程中,由于编译软件,编译环境等不同,相同的源代码每次编译产生的文件可能会有差异。5.5文档的比对
对检材和样本的文档的自录结构和内容等进行比对。6检验记录
6.1对于检材/样本为数字化设备的,应记录检材/样本的:a)类别;
b)型号;
c)出厂时唯一性编号(如适用)固件版本号(如适用);
软件的名称、版本等属性信息(如适用);e)
GA/T1175-—2014
f)照片。
6.2对于检材/样本为独立于数字化设备的软件的,应记录软件的:a)名称、版本、大小等属性信息;b)哈希值;
c)运行环境。
6.3对于检验的结果,应记录检材与样本的:a)相同部分,如目录结构、目录名、文件、文件名、文件内容等;b)相似部分,如安装或使用过程中的屏幕显示等。7检验结果
列出检材与样本的相似比例,并对存在相同或相似的部分进行说明。如检材与样本中存在软件署名、开发者的姓名、单位、废程序段、独特的代码序列等相同,需在检验结果中单独列出。
8附则
8.1对检验用的软件工具的适用性应进行适当确认。8.2在检验过程中,检出的数据应存储在专用的存储介质中。8.3对送检的检材和样品要做好防震防水防磁防静电等保护。版权专有侵权必究
书号:1550662-27345
GA/T1175-2014
打印日期:2014年11月11日F009A定价:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。