网安杂谈整理,转载请注明来源
《法庭科学电子物证手机检验技术规范》GA/T 1069-2021将于2022年5月1日实施,代替原GA/T 1069-2013版本。标准下载可到http://hbba.sacinfo.org.cn/,也可点文末阅读原文直接跳转下载GA/T 1069-2021。
|
|
|
|
标准号 GA/T 1069-2021 发布日期 2021-10-14 实施日期 2022-05-01 制修订 修订 代替标准 GA/T 1069-2013 中国标准分类号 A92 国际标准分类号 13.31 技术归口 全国刑事技术标准化技术委员会 批准发布部门 公安部 行业分类 公共管理、社会保障和社会组织 标准类别 方法标准 适用范围 本文件适用于法庭科学领域中电子物证手机的检验。 |
标准号 GA/T 1069-2013 发布日期 2013-05-23 实施日期 2013-06-01 制修订 制定 中国标准分类号 A92 技术归口 全国刑事技术标准化技术委员会电子物证检验分技术委员会 批准发布部门 公安部 行业分类 无 标准类别 无
|
|
|
|
|
使用物证鉴定的原理、方法和程序,提取和分析手机机身、手机卡及手机扩展存储卡所包含电子数据的过程。 |
使用物证鉴定的原理、方法和程序,提取和分析手机机身、手机卡及手机扩展存储卡中所包含信息的过程。 |
|
有微处理器的手机用户识别卡,用来记录用户的电子数据,主要包括 SIM 卡、UIM 卡、PIM 卡和 USIM卡等。 |
有微处理器的手机用户识别卡,用来记录用户的数据和信息。主要包括SIM卡、UIM卡、PIM和 USIM卡等。 |
|
|
|
|
新增 3.4 手机存储芯片 mobile phone flash memory chip 手机中存储操作系统、应用软件和用户数据的闪存芯片。 |
|
|
手机存储芯片中包含用户数据分区的物理存储位对位数据副本。 |
三、更改了软、硬件设备(见4.1、4.2, 2013年版的4.1、4.2);
|
|
|
|
4.1硬件 电子物证检验工作站、手机专用检验设备、手机信号屏蔽设备、手机存储芯片读取设备、手机存储 芯片拆解工具、专用存储介质、照相、录像设备等。
|
4.1硬件 电子物证检验工作站、手机信号屏蔽设备、手机专用检验设备、照相设备。
|
|
4.2软件 手机取证软件、手机备份软件、数据恢复软件等。
|
4.2软件 4.2.1 操作系统:Windows、Mac OS 等。 |
|
|
|
|
5.1检材及样本编号 对送检的检材(样本)进行唯一性编号。
|
5.1检材编号 对送检的检材进行惟一性编号。
|
|
5.2检材及样本拍照 对检材(样本)加上唯一性编号进行拍照。
|
5.2检材拍照 对送检的检材加上惟一性编号进行拍照。
|
五、
五、更改了病毒查杀部分内容(见5.3.1,2013年版的5.3.1);
|
GA/T 1069—2021 |
GA/T 1069—2013 |
|
5.3.1病毒查杀 检验前对电子物证检验工作站或手机专用检验设备进行杀毒。 |
5.3. 1病毒查杀 启动杀毒软件对电子物证检验工作站系统逬行杀毒。 |
六、更改了手机机身检验内容(见5.3.2.1、5.3.2.2, 2013年版的5.3.2.1、5.3.2.2);
|
GA/T 1069—2021 |
GA/T 1069—2013 |
|
5. 3. 2. 1手机检验过程中应处于通信信号屏蔽环境或通信信号阻断状态。
|
5.3.2.1在手机通信信号屏蔽状态下,将检材通过数据线、蓝牙或红外连接到手机专用检验设备或电子物证检验工作站。
|
|
5. 3. 2. 2选择以下一个或多个方法进行检验: a) 逻辑检验,使用手机备份软件、手机取证软件进行检验;对具备获取手机系统超级用户权限条 件的检材,获取手机系统超级用户权限后,使用手机取证软件进行检验; 注:有扩展存储卡的手机,保持扩展存储卡在手机中进行整体检验。 b)镜像检验,对具备手机机身镜像获取条件的检材,使用手机取证软件通过ADB、META、9008、 JTAG、ISP等方式获取手机机身镜像,使用手机取证软件对手机机身镜像进行检验,若手机有 扩展存储卡,手机妁镜像和手机扩展存储卡宜关联检验;采用GB/T 29360和GB/T 29362检验方法对手机机身镜像进行检验。 C)芯片检验,对手机存储芯片未加密的检材,使用手机存储芯片拆解工具拆卸手机存储芯片,使 用手机存储芯片读取设备获取手机机身镜像,使用手机取证软件对手机机身镜像进行检验,若 手机有扩展存储卡,手机机身镜像和手机扩展岸§者卡宜关联检验;采用GB/T 29360和GB/T 29362检验方法对手机机身镜像进行检验; d)照相录像检验,使用照相、录像方法固定手机中存储的电子数据。
|
5. 3. 2.2运行手机检验软件,获取手机机身内存储的信息;若获取不成功,运行手机自带软件、手机PC 套件等或釆用照相、录像方法获取手机机身内存储的信息。
|
|
GA/T 1069—2021 |
GA/T 1069—2013 |
|
5. 3. 2. 3对于故障手机,应在不破坏手机存储芯片中用户数据的前提下进行故障排除,然后按照5.3.2.2 进行检验。
|
|
|
5. 3. 2. 4对于设有锁屏密码且不具备手机机身镜像获取条件的检材,在不破坏手机中用户数据的前提下使用手机取证软件进行锁屏密码破解或清除,然后按照5.3.2.2中a)或d)进行检验。 |
|
GA/T 1069—2021 |
GA/T 1069—2013 |
|
5. 3. 3. 1将手机卡以只读方式连接到电子物证检验工作站或手机专用检验设备。
|
5.3.3.1将检材通过只读方式连接到手机专用检验城务或物证检验工作站。
|
|
5. 3. 3. 2使用手机取证软件对手机卡进行检验。
|
5. 3. 3. 2运行手机检验软件,获取手机卡内的信息。
|
|
GA/T 1069—2021 |
GA/T 1069—2013 |
|
5.3.4.1使用手机取证软件对手机扩展存储卡进行检验,操作前应将手机扩展存储卡与手机机身关联检验。 |
5.3.4.1将检材通过只读方式连接到手机专用检验设备或电子物证检验工作站。
|
|
5.3.4.2将手机扩展存储卡以只读方式连接到电子物证检验工作站或手机专用检验设备,按照GB/T 29360和GB/T 29362对手机扩展存储卡进行检验。
|
5.3.4.2运行手机检验软件,获取扩展存储卡内的信息;釆用GB/T 29360-2012.GB/T 29362-2012 中的检验方法获取扩展存储卡内的信息。
|
|
GA/T 1069—2021 |
GA/T 1069—2013 |
|
删除 5.3.5结果保存 将检出的数据复制到专用的存储介质中。 |
|
|
删除 5.4检出数据刻录 5.4. 1将检验出的数据刻录在不可擦写的空白光盘上,应采用封盘刻录。 5. 4. 2计算哈希值。 5.4.3对该光盘进行惟一性编号。 5.4.4贴上盘签,盘签内容应注明检验单位名称、光盘编号、光盘哈希值、光盘制作日期等;应加盖检验鉴定专用章。
|
|
GA/T 1069—2021 |
GA/T 1069—2013 |
|
新增 5.4检验结果保存 将检岀数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中,并计算检 岀数据的完整性校验值。
|
|
GA/T 1069—2021 |
GA/T 1069—2013 |
|
6 检验结果表述 检验结果表述应符合以下规定: a) 检验结果分为检出、未检出、不具备检验条件三种; b) 检验结果应根据检验要求对检材、检验范围、检验所得进行客观、概括、有针对性的描述; c) 结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据介质完整性校验值、保存检出数据介质编号等必要信息。 |
6 检验结论的表述 经对编号为“a1”〜”an”的检材使用rr软件工具进行技术检验,检验结果如下: 在检材ai中检出与yy有关信息mm个。检出的结果刻录在编号为gg光盘中,光盘(或文件)的HH哈希值为hh(或在检材ai中未检出与yy有关的信息)。 注:ai代表检材编号;n代表检材个数;i代表检材序号;rr代表使用软件工具的名称及版本号;yy代表检验要求或样本;mm代表文件个数;gg代表光盘的编号;HH代表哈希值算法;hh代表哈希值。 |
|
GA/T 1069—2021 |
GA/T 1069—2013 |
|
7 附则 7. 1在检验过程中,应做好检验记录,记录应贯穿整个检验过程。 7.2送检的检材应做好防水、防磁、防静电、防震和手机信号屏蔽保护。
|
7 附则 7. 1在检验过程中应做检验记录。 7.2在检验过程中,原则上不应改变检验对象中的数据。 7.3送检的检材要做好防水、防磁、防静电、防震和手机通信信号屏蔽保护。 |
网安杂谈整理,转载请注明来源
原文始发于微信公众号(网安杂谈):GA/T 1069—2021《法庭科学电子物证手机检验技术规范》新旧版本对照
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论