1、ICS 13.310 A 92 GA 中华人民共和国 公共安全 行业标准 GA/T XXXX XXXX 法庭科学 移动 终端地理 位置 信息 检验技术方法 Forensic sciences Technical specifications for examination of location information of mobile terminals XXXX-XX-XX 发布 XXXX-XX-XX 实施 中华人民共和国公安部 发 布 GA/T XXXX XXXX I 前 言 本标准按照 GB/T 1.1 2009给出的规则起草。 请注意本文 件的某些内容可能涉及专利。本文件的发布机构
2、不承担识别这些专利的责任。 本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会( SAC/TC179/SC7)提 出并归口。 本标准起草单位:公安部网络安全保卫局、 吉林省 公安厅 、 公安部第三研究所 、东北师范大学、 公安部物证鉴定中心 。 本标准 主要 起草人: 刘晓宇 、 许晓宇 、 吴松洋 、 杨贵福 、 万江山 、 韩辉武 、 杜琳 、 邢桂东 、 翟晓 飞 、 郭丽莉 。 GA/T XXXX XXXX 1 法庭科学 移动 终端地理 位置 信息 检验技术方法 1 范围 本 标准 规定了 法庭科学领域 移动 终端中地理 位置 信息 的 检验和分析方法 。 本 标准 适用于法
3、 庭科学领域 的 电子物证 检验 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅 注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 29360 2012 电子物证数据恢复检验规程 GB/T 29362 2012 电子物证数据搜索检验规程 GA/T 756 2008 数字化 设备证据数据发现提取固定方法 3 术语和定义 下列术语和定义适用于本 文件 。 3.1 移动 终端 mobile terminal 可以在移动中使用的计算机设备 , 搭载 操作系统 , 具备通信功能 , 具 有 GPS、北斗等无
4、线电导航模 块和位置记录功能的设备 及其储存 介质 。 3.2 地理轨迹 geographical trace 使用 移动 终端过程中, 移动 终端及安装的 应用程序 利用 GPS定位 、北斗定位、 Glonass定位、 Wifi 定位、基站定位 、线性加速器、陀螺仪 获取 到 地理位置 坐标 数据 、方位角度数据、海拔高度数据 等位置 数据 以及获取地理位置的时间 , 并 可 将 地理位置 数据 转化为 具体位置信息 , 按时序 形成 行踪轨迹路线 。 4 仪器设备 4.1 硬件 电子物证检验工作站 、 手机检验工作站、 电子数据存储介质复制 设备 、电子数据存储介质写保护 设 备 、 专用
5、存储介质 、 数码相机 等 。 4.2 软件 4.2.1 操作系统 GA/T XXXX XXXX 2 Windows、 Unix/Linux、 Mac OS、 Android、 iOS等 。 4.2.2 软件工具 数据同步软件、位置复现软件或 移动终端 仿真 软件、 系统文件专用查看类工具 、 用户文件专用查看 类 工具 。 5 检验步骤 5.1 检材及样本编号 对送检的检材(样本)进行唯一性编号。 5.2 检材及样本拍照 对送检的检材(样本)加上唯一性编号进行拍照,并记录检材的特征。 5.3 数据 检验 5.3.1 设备检验 设备 检验至少 包括以下内容: a) 宜将检材通过数据线以只读方式
6、连接到电子物证检验工作站或手机检验工作站 ; b) 启动杀毒软件对检验工作站系统进行杀毒 ; c) 运行数据同步软件或者取证软件,复制检材内存储的电子数据至 专用的存储介质中 。 5.3.2 存储介质 检验 存储介质 检验至少应包括以下内容: a) 将储存 介质 以只读方式连接到电子物证检验工作站 ; b) 对 存储介质 内的电子数据进行保全备份, 按照 GB/T 29362 2012或 GB/T 29360 2012进行检 验获取 存储介质 内的电子数据 ; c) 将获取的电子数据文件复制到专用的存储介质中。 5.3.3 地理 轨迹 数据 缓存 文件 检验 按照 GA/T 756 2008
7、的要求 获取 地理轨迹数据 缓存 文件: a) 检验 移动 终端缓存 。 查找检材中操作系统缓存地理轨迹定位数据的目录存放路径,获取缓存的 地理轨迹数据缓存文件以及文件的创建时间、修改时间和最后访问时间信息,并从缓存文件 中提取出记录的位置信息、定位方式和定位时间 ; b) 检验 移动 终端应用软件 数据 。 查找检材中具备定位权限的 移动 终端应用软件以及应用软件的数 据存储目录。从应用软件的数据存储目录中查找包含定位缓存数据的文件,用户账户信息文 件以及文件的创建时间、修改时间和最后访问时间信息,并从用户账户信息文件中提取用户 的账户详细信息,从定位缓存数据文件中提取定位的位置信息、定位方
8、式以及定位时间 ; c) 记录并 校验 获取的地理轨迹数据文件 ,将获取的电子数据文件复制到专用的存储介质中 。 5.4 数据呈现 5.4.1 在工作站中运行位置复现软件 或移动仿真软件, 解读并呈现电子数据中记录的位置和轨迹信息。 GA/T XXXX XXXX 3 5.4.2 固定呈现结果。 5.5 计算哈希值 计算检出和呈现数据的哈希值。 6 检验内容 数据检验内容 宜 包含: a) 地理轨迹数据文件 的名称、储存路径; b) 地理轨迹数据 的产生源; c) 地理轨迹数据 关联的用户账号、昵称 、手机 号码 等相关信息 ; d) 地理轨迹历史记录,包括定位数据、定位时间、定位方式、 Wif
9、i 及基站辅助定位信息。 7 检 验 记录 7.1 检材信息 记录 对于检材,记录应包含但不 限于以下内容 : a) 检材 类别 ; b) 检材 型号 ; c) 检材 出厂时 唯一性编号( 如果适用 ) ; d) 检材 照片 。 7.2 检验过程记录 地理轨迹 数据检验中, 记录 应贯穿整个检验过程,记录应包括 但不限于以下内容 : a) 检验过程中 所使用的软、硬件工具; b) 在搭建环境的过程中检出的 检验内容、操作条件、 检出和呈现 的数据等; c) 根据 获取的 地理轨迹数据文件计算出的哈希值。 8 检验 结 果 表述 检验结 果 表述应符合以下规定: a) 检验结果分为检出、未检出、不具备检验条件 3 种; b) 检验结果应根据检验要求对检验对象、检验范围、检验所得进行客观、概括、有针对性的描述; c) 结果表述应包含 检材编号、检出情况、检出数据文件或保存检出数据介质哈希值、保存检出数 据介质编号等必要信息。 9 附则 9.1 对检材(样本) 应 做好防水、防磁 、防静电保护 。 9.2 在检验时 , 应 查明检材( 样本 ) 输入电源 性状,避免损坏检材 。 9.3 在检验时 ,原则上 不应 直接 开启 检材 ( 样本 ) 或检材(样本) 中 应用程序 , 避免数据污染或破坏。 _
