GA T 1713-2020 法庭科学 破坏性程序检验技术方法.pdf

《GA T 1713-2020 法庭科学 破坏性程序检验技术方法.pdf》由会员分享，可在线阅读，更多相关《GA T 1713-2020 法庭科学 破坏性程序检验技术方法.pdf（6页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35.240.01 A 92 GA 中华人民共和国 公共安全 行业标准 GA/T XXXX XXXX 法庭科学 破坏性程序检验技术方法 Technical methods for examination of destructive programs in Forensic science 报批 稿 XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发布 GA/T XXXXX XXXX I 前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 本标准由 公安部 第三研究所 提出。 本标准由 公安部信息系统安全标准化技术委员会归口 。

2、 本标准起草单位： 公安部第三研究所 。 本标准主要起草人： 蔡立明 、 金波 、 杨涛、 沙晶 、 崔宇寅 、 张云集 、 孙杨 。 GA/T XXXXX XXXX 1 法庭科学 破坏性程序检验 技术方法 1 范围 本标准规定了 对 计算机 信息 系统中 的 破坏性程序 进行 检验 、 分析 的技术方法 和 步骤 。 本标准适用于 法庭科学 计算机信息系统中的 破坏性程序 的 检验 鉴定。 2 规范性引用文件 下列文件 对于本文件的应用是必不可少的。凡是注日期的引 用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GA/T 976-2

3、012 电子数据法庭科学鉴定通用方法 3 术语和定义 GA/T 756-2008和 GA/T 976-2012界定 的以及下列术语和定义适用于本 文件。 3.1 计算机 信息 系统 computer information system 具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。 3.2 破坏性程序 destructive program 能够 在预先设定条件 下 自动 触发 ， 并破坏计算机 信息 系统 功能 、数据或者应用 程序 的 程序； 或 者 可 以 通过网络、 存储 介质、 文件 等媒介，将自身的部分、全部或变种进行复制、传播 ， 并破坏计算机

4、信息 系统 功能 、数据或者应用 程序 的 程序 ； 以及 其他专门设计用于破坏计算机 信息 系统 功能 、数据或者应用 程序 的 程序 。 3.3 程序 行为 program behavior 程序在运行期间 与计算机信息系统的交互及其对计算机信息系统产生的影响。 3.4 静态分析 static analysis 在 程序没有运行 的 情况下 ， 对可执行 程序 进行 的 分析 。 3.5 GA/T XXXXX XXXX 2 动态分析 dynamic analysis 在程序 运行过程中 ， 对 可执行 程序 的程序行为进行的分析 。 3.6 逆向 分析 reverse analysis 对

5、 可执行程序 进行 反 编译 ，通过分析反 编译 代码 获知 可执行程序的 程序行为及 其 实现过程 。 4 检验 过程 4.1 待检 程序 的固定保全 4.1.1 检材为电子文件时，对电子文件进行备份，并计算 其 完整性 校验值 。 4.1.2 检材 为数字化设备时 ，应对 检材进行拍照或录像，记录其特征 ，并对 检材进行唯一性标识 。 根据 设备状态进行固定保全： a) 检材为开机状态时： 1) 对检材屏幕的显示内容进行拍照或录像 ； 2) 对检材存储介质中的 待检 程序 进行备份并计算 完 整性 校验值 ； 3) 在条件允许的情况下，可获取检材内存镜像并计算 完 整性 校验值 。 b)

6、检材为关机状态时： 1) 对于具有写保护条件的，应将检材中的存储介质通过写保护设备连接至检验设备上； 2) 关闭检验设备上的安全防护软件，防止安全防护软件自动将 待检 程序删除； 3) 对检材存储介质中的 待检 程序进行备份，备份时应将 待检 程序与检验设备上的其 他 程序及 文件进行隔离，防止 待检 程序对检验设备上的系统、程序、文件造成破坏； 4）计算 待检 程序的 完 整性 校验值 。 4.2 待检 程序 检验 环境 的搭建 4.2.1 根据 待检 程序 的 运行环境 ， 搭建 相应的 检验环境， 搭建的 检验 环境 应 确保 其 具备 触发 待检 程序 运 行 的条件，并确保 待检 程

7、序 能够 正常运行 。 4.2.2 在检验环境中安装必要的系统监控、网络监控 和 程序分析等工具。 4.2.3 避免 安装与 待检 程序 检验 无关的软件程序等 ， 以免影响 待检 程序 的 正常运行 。 4.2.4 在 条件允许的情况下，可搭建 虚拟检验环境对 待检 程序 进行实验分析。 4.3 待检 程序 的检验分析 4.3.1 待检 程序 的静态分析 根据 待检 程序 的 具体情况， 对 待检 程序进行静态分析，内容可包括： GA/T XXXXX XXXX 3 a) 待检 程序 的基本信息，包括 文件的大小 、 创建时间、修改时间 和 版本号 等 ； b) 待检 程序 文件的文件类型 ，

8、 以帮助了解 待检 程序 的 性质 ； c) 将 待检 程序 与已知样本破坏性程序进行相似性比对，或使用反病毒软件和反间谍软件扫描 待检 程序 文件，以确定 待检 程序 文件是否具有已知恶意代码的特征码 ； d) 检验 待检 程序 是否具有防 检验 分析的保护工具，如加壳、加密等情况。若存在防 检验 分析的保 护 机制 ， 可 根据需要先去除保护 机制 。 4.3.2 待检 程序 的动态分析 项目的选择 根据 待检 程序的 具体情况， 选择以下一项或多项内容 对 待检 程序进行动态分析： a) 待检 程序行为监控 ； b) 日志文件的分析 ； c) 系统 内存的检验分析 ； d) 其它相关信息

9、分析； e) 待检 程序 的逆向分析； f) 实验分析； g) 综合分析判断。 4.3.3 待检 程序的动态分析 4.3.3.1 待检 程序 行为 监控 可通过 以下方式对 待检 程序的行为 进行 监控 ： a) 运行 待检 程序，在 待检 程序运行过程中， 通过 观察 屏显等方法 检验计算机信息系统中是否发生 异常情况 ， 若存在异常情况，应 分析 异常情况的产生是否与 待检 程序有关 ； b) 在 待检 程序运行过程中， 可 使用 监控 软件 对 其行为 进行 监控 ， 通过 监控 软件记录 并分析 待检 程 序的程序行为 ； c) 若发现 待检 程序在运行过程中存在网络通讯行为的，应使用

10、网络通讯监控软件 对其收发的网络 数据包进行检验分析，分析内容可包括其收发网络数据包的网络通讯地址、内容、收发时间等 信息，从而判断 待检 程序的网络程序行为。 4.3.3.2 日志文件的分析 在运行 待检 程序后， 检验 分析系统 日志文件 是否存在异常情况， 若存在异常情况 ， 分析 判断 异常情 况 的产生是否与 待检 程序有关 。 4.3.3.3 系统内存的检验分析 在 待检 程序运行过程中， 检验 分析 计算机信息 系统 内存中的相关信息 是否存在异常情况 ，如指定进 程相关的内存数据、隐藏的进程、网络连接等相关信息， 并 分析 判断 异常情况 的产生是否与 待检 程序有 关 。 4

11、.3.3.4 其 他 相关信息分析 在 待检 程序 运行 过程中 ，检验计算机 信息 系统中 存储、处理或者传输的数据 、配置 文件 以及 应用程 序 等 的异常情况 ， 并 分析 异常情况产生的原因。 GA/T XXXXX XXXX 4 4.3.3.5 待检 程序 的逆向分析 必要时 ， 可 对 待检 程序 进行逆向分析，通过 分析反 编译 代码 获知 可执行程序的程序行为及其实现过 程。 4.3.3.6 实验 分析 必要时，可 通过 设计实验对 待检 程序 存疑的 程序行为 或 功能进行分析。 4.3.3.7 综合分析判断 将 待检 程序运行过程中 发现的所有异常情况进行综合分析，分析各种异常情况之间的相关性，判断 异常情况的出现是否与 待检 程序 有关联。 5 检验记录 与检验活动有关的情况应及时、客观、全面地记录，保证检验过程和检验结果的可追溯性。检验记 录应反映出检验人、检验时间、审核人等信息。检验记录的主要内容 应包括 ： a) 检材固定保全情况 ； b) 检验设备和工具情况 ； c) 检验过程和发现 ； d) 对检验发现的分析和说明 ； e) 待检程序对计算机系统造成的破坏情况（ 如存在） ； f) 其他 相关情况 。 6 检验 结论 根据 对 待 检 程序 的检验分析，描述 待 检 程序 的 程序行为及其 具有的功能 。 _