GA T 1071-2021 法庭科学 电子物证Windows操作系统日志检验技术规范.pdf

1、 ICS 13.310 CCS A 92 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T 1071 代替GA/T 1071 2013 法庭科学 电子物证Windows 操作系统 日 志 检验技 术规范 Forensic sciences Technical specifications for Windows operating system log examination 中华人民 共和国 公安部 发 布 GA - - 发布 - - 实施 GA/T 1071 I 前 言 本文件按照GB/T 1.1 2020标准化工作导则 第1部分：标准化文件的结构和起草规则的规 定起草

2、 。 本文件代替GA/T 1071 2013法庭科学 电子物证Windows 操 作 系 统 日 志 检 验 技 术 规 范 ， 与 GA/T 1071 2013 相比 ，除 编辑性 修改 外， 主要 技术 变化如 下： 更改了范 围 ， 增 加 了 操 作 系 统 类 型 （ 见 第1 章 ，2013 年版的第1 章 ）； 增加了 规 范 性 引 用 文 件 （ 见 第2章）； 更改了硬件设备（见4.1 ，2013 年版的3.1 ）； 更改了软件设备，将2013 年 版的3.2.1 和3.2.2 内容重新整合为4.2 （见4.2 ，2013 年版的3.2）； 更改了检验对象 ， 增 加 了

3、样本（见5.15.4 ，2013 年版的4.14.4 ）； 更 改哈希值为数据完整性校验值（见5.4.3 ，2013 年版的4.4.3 ）； 更改了日 志 检 验 步 骤 （ 见5.4.45.4.8 ，2013 年 版的4.4.4-4.4.7 ）； 更改了检出数据 的 保存方法及要求（见5.5 ，2013 年 版的4.5 ）； 更改了检 验 结 果 表 述 （ 见 第6 章 ，2013 年 版的第5 章 ）； 更改了附则（见第7 章 ，2013 年 版的第6 章 ）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件 由 全 国 刑 事 技 术 标 准 化 技

4、 术 委 员 会 电 子 物 证 检 验 分 技 术 委 员 会 （SAC/TC179/SC7 ）提 出 并归口。 本文件 起 草 单 位 ： 中 国 刑 事 警 察 学 院 、 公 安 部 物 证 鉴 定 中 心 、 公 安 部 网 络 安 全 保 卫 局 。 本文件 主 要 起 草 人 ： 汤 艳 君 、 秦 玉 海 、 楚 川 红 、 郭 丽 莉 、 高 洪 涛 、 刘 奇 志 、 罗 文 华 、 吴倩、高 杨。 本文件 所代 替文件 的 历次 版本发 布情 况为 ： GA/T 1071 2013 。 GA/T 1071 1 法庭科学 电 子物 证Windows 操作 系统日志 检验技

5、术规范 1 范围 本 文件规 定 了 法 庭 科 学 领 域 中 电 子 物 证Windows 操 作 系 统 ， 包 括Windows 2000 、Windows XP 、 Windows 2003 、 Windows Vista 、 Windows 7 、 Windows 8 、 Windows 10 和 Windows Server 2000/2003/2008/2012/2016 等日志 检验 的 术 语和 定义 、仪器 设备 、操 作步 骤、 检验结 果表 述及 附则 。 本 文件 适用 于法 庭科 学领 域 中电 子物 证Windows 操 作系统 日志 的检 验。 2 规范性 引

6、用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款 。 其 中 ， 注日 期的 引用 文件， 仅该日 期对 应的 版本 适用 于本文 件； 不注 日期 的引 用文件 ， 其 最新 版本 （包 括所有 的修 改单 ） 适 用于 本 文件。 GB/T 29360 电 子物 证数 据 恢复检 验规 程 GB/T 29362 电 子物 证数 据 搜索检 验规 程 3 术语和 定义 GB/T 29360 、GB/T 29362 界定的 以及 下列 术语 和定 义适用 于本 文件 。 3.1 Windows 操 作系 统日 志 Windows operati

7、ng system log Windows 操 作系 统所 指定 对象的 操作 和其 操作 结果 按时间 排列 有序 的集 合 。 包括 应 用程 序日 志 、 安 全日志 和系 统日 志 。 3.2 应用程 序日 志application log 应用程 序产 生的 事件 记录 。 3.3 安全日 志security log 安全相 关 的 事件 记录 ，包 括成功 和不 成功 的登 录或 退出、 系统 资源 使用 等 。 3.4 系统日 志system log Windows 操 作系 统组 件产 生的事 件记录， 主 要包 括 驱动程 序 、 系 统组 件和 应 用软件 的崩 溃以 及数

8、 据 丢失错 误等 。 4 仪器设 备 4.1 硬件 存储介 质、 保全 备份 设备 、具有 只读 接口 的电 子物 证检验 工作 站、照 相 录像 设备。 GA/T 1071 2 4.2 软件 Windows 操 作系 统日志 检验 软件 、Windows 操 作系 统提供 的事 件查 看器 、数 据恢复 软件 。 5 操作步 骤 5.1 检材 及 样本 编号 对送检 的检 材 （ 样本 ） 进 行唯一 性编 号。 5.2 检材 及 样本 拍照 将 送检 的检 材 （ 样本 ） 加 上唯一 性编 号进 行拍 照。 5.3 检材 及 样本 保全 备份 对具备 保全 条件 的检 材 （ 样本）

9、进行 保全 备份 。 5.4 检验 5.4.1 启动杀 毒软 件对 电子 物证 检验工 作站 系统 进行 杀毒 。 5.4.2 将检材 （若 已保 全， 使用 保全的 存储 设备 ）通 过只 读方式 连接 到电 子物 证检 验工作 站。 5.4.3 计算检 材 （ 样本 ） 的 数据 完整性 校验 值。 5.4.4 按照 GB/T 29360 和 GB/T 29362 对检 材 进 行数 据恢 复 、搜 索 Windows 操 作系 统 日志 文件 。 5.4.5 Windows 2000 、Windows XP 、Windows 2003 、Windows Server 2000/2003

10、操 作 系统日 志 默 认存 储路径是%systemroot%System32config ， 应 用 程 序 日 志 、 安 全 日 志 和 系 统 日 志 对 应 的 文 件 名 分 别 为 AppEvent.evt 、SecEvent.evt 和 SysEvent.evt 。 5.4.6 Windows Vista 、Windows 7、Windows 8、Windows 10 、Windows Server 2008/2012/2016 操作 系 统 日志 默认 存储 路径 是%systemroot%System32winevtlogs ， 应 用程 序日 志、安 全日 志 和 系统

11、日志 对应 的文件 名分 别 为 Application.evtx 、Security.evtx 和 System.evtx 。 5.4.7 使用检验 工 具对 日志 文件 内容进 行检 验。 5.4.8 将检出 的日 志文 件 按 检验 要求筛 选后 复制 到检 验专 用存储 介质 中 并 计算 数据 完整性 校验 值 。 5.5 检 验结 果保存 将检出 数据 采用 封盘 刻录 方式刻 录 在 不可 擦写 的空 白光盘 上或者 保 存在 专用 存储介 质中 ， 并 计算 检 出数据 的完 整性 校验 值 。 6 检验 结 果表述 检验结 果表 述应 符合 以下 规定： a) 检验结 果分 为检 出、 未检 出、不 具备 检验 条件 三种 ； b) 检验结 果应 根据 检验 要求 对 检材 、检 验范 围、 检验 所得进 行客 观、 概括 、有 针对性 的描 述； c) 结果表 述应 包含 检材 编号 、 检 出情 况、 检出 数据 文 件或保 存检 出数 据介 质 完 整性校 验值 、 保存 检出数 据介 质编 号等 必要 信息。 7 附则 GA/T 1071 3 7.1 在检验 过程 中应 做检 验记 录。 7.2 在检验 过程 中， 不应 改变 检材中 的数 据。 7.3 应对送 检检材 做 好防 水、 防磁、 防静 电和 防震 保护 。