GA/T 1071-2021《法庭科学 电子物证 Windows 操作系统日志检验技术规范》新旧对照

admin
admin
admin
138635
文章
114
评论
2022年2月13日18:25:37评论180 views字数 4445阅读14分49秒阅读模式

 网安杂谈整理,转载请注明来源


GA/T 1071-2021《法庭科学电子物证Windows操作系统日志检验技术规范》将于2022年5月1日实施,适用于法庭科学领域中电子物证Windows操作系统日志的检验。与GA/T 1071-2013相比,除编辑性修改外,主要技术变化如下:

 

一、更改了范围,增加了操作系统类型(见第1章,2013年版的第1章);

 

GA/T 1071-2021

GA/T 1071-2013

1 范围

本文件规定了法庭科学领域中电子物证Windows操作系统,包括Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 10 和 Windows Server

2000/2003/2008/2012/2016等日志检验的术语和定义、仪器设备、操作步骤、检验结果表述及附则。

本文件适用于法庭科学领域中电子物证Windows操作系统日志的检验。

1范围

本标准规定了 Windows 操作系统,包括 Windows 2000,Windows XP,Windows 2003, Windows Vista和 Windows 7日志检验的方法。

本标准适用于法庭科学领域中的电子物证检验。

 

二、增加了规范性引用文件(见第2章);

 

GA/T 1071-2021

GA/T 1071-2013

新增

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,

仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 29360 电子物证数据恢复检验规程

GB/T 29362 电子物证数据搜索检验规程

 

三、更改了硬件设备(见4.1,2013年版的3.1);

 

GA/T 1071-2021

GA/T 1071-2013

4 仪器设备

4.1 硬件

存储介质、保全备份设备、具有只读接口的电子物证检验工作站、照相录像设备。

 

3仪器设备

3. 1硬件

存储介质、保全备份设备、具有只读接口的电子物证检验工作站。

 

 

四、更改了软件设备,将2013年版的3.2.1和3.2.2内容重新整合为4.2(见4.2,2013年版的3.2);

GA/T 1071-2021

GA/T 1071-2013

4.2 软件

Windows 操作系统日志检验软件、Windows 操作系统提供的事件查看器、数据恢复软件。

3.2软件

3.2.1 操作系统:Windowso

3.2.2软件工具:具有Windows操作系统日志查看功能的软件、Windows操作系统提供的事件查看  器等。

 

五、更改了检验对象,增加了样本(见5.1~5.4,2013年版的4.1~4.4);

 

GA/T 1071-2021

GA/T 1071-2013

5.1 检材及样本编号

对送检的检材(样本)进行唯一性编号。

4.1检材编号

送检的检材进行惟一性编号

5.2 检材及样本拍照

将送检的检材(样本)加上唯一性编号进行拍照。

4.2检材拍照

对送检的检材加上惟一性编号进行拍照

5.3 检材及样本保全备份

对具备保全条件的检材(样本)进行保全备份

4.3检材保全备份

对具备保全条件的检材进行保全备份。

5.4 检验

5.4.1 启动杀毒软件对电子物证检验工作站系统进行杀毒。

5.4.2 将检材(若已保全,使用保全的存储设备)通过只读方式连接到电子物证检验工作站。

5.4.3 计算检材(样本)的数据完整性校验值。

5.4.4 按照 GB/T 29360 GB/T 29362 对检材进行数据恢复、搜索 Windows 操作系统日志文件。

5.4.5 Windows 2000Windows XPWindows 2003Windows Server 2000/2003 操作系统日志默认存  

储路径是%systemroot%System32config,应用程序日志、安全日志和系统日志对应的文件名分别为  

AppEvent.evtSecEvent.evt SysEvent.evt

5.4.6 Windows VistaWindows 7Windows 8Windows 10Windows Server 2008/2012/2016 操作系统日志默认存储路径是%systemroot%System32winevtlogs,应用程序日志、安全日志和系统日志对应

的文件名分别为 Application.evtxSecurity.evtx System.evtx

5.4.7 使用检验工具对日志文件内容进行检验。

5.4.8  将检出的日志文件按检验要求筛选后复制到检验专用存储介质中并计算数据完整性校验值。

4.4检验

4.4.1启动杀毒软件对电子物证检验工作站系统进行杀毒。

4.4.2对检材(若已保全使用保的存储设备通过只读方式连接到电子物证检验工作站。

4.4.3计算检材的哈希值。

4.4.4使用操作系统提供的资源管理器中搜索功能或具有搜索功能软件的过滤功能查找日志文件。Windows 2000.Windows XP,Windows 2003 系统默认存储路径是%systemroot%system32config,应用程序日志、安全日志和系统日志对应的文件名分别为AppEvent.evt,SecEvent,evt 和SysEvent.evt;Windows  Vista,Windows7系统日志默认存储路径是%systemroot%system32  winevtlogs,应用程序日志、安全日志和系统日志对应的文件名分别为Application.  evtx,Security.evtx和 System. evbx。

4.4.5使用软件工具对日志文件内容进行浏览和检验。

4.4.6检验时应按照软件工具使用说明书进行操作。

4.4.7将检验结果按检验要求筛选后复制到检验专用在存储介质中。

 

六、更改哈希值为数据完整性校验值(见5.4.3,2013年版的4.4.3);

 

GA/T 1071-2021

GA/T 1071-2013

5.4.3 计算检材(样本)的数据完整性校验值。

4.4.3 计算检材的哈希值

 

七、更改了日志检验步骤(见5.4.4~5.4.8,2013年版的4.4.4-~4.4.7);

 

GA/T 1071-2021

GA/T 1071-2013

5.4.4 按照 GB/T  29360 和 GB/T 29362 对检材进行数据恢复、搜索 Windows 操作系统日志文件。

5.4.5 Windows 2000、Windows XP、Windows 2003、Windows Server 2000/2003 操作系统日志默认存

储路径是%systemroot%System32config,应用程序日志、安全日志和系统日志对应的文件名分别为  AppEvent.evt、SecEvent.evt 和 SysEvent.evt。

5.4.6 Windows  Vista、Windows 7、Windows 8、Windows 10、Windows Server 2008/2012/2016 操作系  统日志默认存储路径是%systemroot%System32winevtlogs,应用程序日志、安全日志和系统日志对应  的文件名分别为 Application.evtx、Security.evtx  和 System.evtx。

5.4.7 使用检验工具对日志文件内容进行检验。

5.4.8 将检出的日志文件按检验要求筛选后复制到检验专用存储介质中并计算数据完整性校验值。

4.4.4使用操作系统提供的资源管理器中搜索功能或具有搜索功能软件的过滤功能查找日志文件。Windows2000Windows XPWindows 2003 系统默认存储路径是%systemroot%system32config,应用程序日志、安全日志和系统日志对应的文件名分别为AppEvent,evt、SecEvent,evt 和SysEvent,evt;Windows Vista、Windows7系统日志默认存储路径是%systemroot%system32winevtlogs,应用程序日志、安全日志和系统日志对应的文件名分别为Application.evtx Security.evtx和System.evtx

4.4.5使用软件工具对日志文件内容进行浏览和检验。

4.4.6检验时应按照软件工具使用说明书进行操作

4.4.7将检验结果按检验要求筛选后复制到检验专用存储介质中。

 

八、更改了检出数据的保存方法及要求(见5.5,2013年版的4.5);

 

GA/T 1071-2021

GA/T 1071-2013

5.5 检验结果保存

将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中,并计算检  

出数据的完整性校验值。

4.5检出数据刻录

4.5.1将检出的数据刻录在不可擦写的空白光盘上,应采用封盘刻录。

4.5.2计算哈希值。

4.5.3对光盘进行惟一性编号。

4.5.4贴上盘签盘签内容应注明检验单位名称、光盘编号、光盘哈希值、光盘制作日期等;应加盖检验鉴定专用章。

 

九、更改了检验结果表述(见第6章,2013年版的第5章);

GA/T 1071-2021

GA/T 1071-2013

6 检验结果表述

检验结果表述应符合以下规定:

a) 检验结果分为检出、未检出、不具备检验条件三种;

b) 检验结果应根据检验要求对检材、检验范围、检验所得进行客观、概括、有针对性的描述;

c) 结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据介质完整性校验值、保存检出数据介质编号等必要信息。

5检验结论的表述

经对编号为a1an的检材使用rr软件工具进行技术检验,检验结果如下:

在检材ai中检出与yy有关的Windows操作系统日志文件mm个,大小计bb。检出的数据文件刻  录在编号为gg光盘中,光盘(或文件)的HH哈希值为hh(或在检材ai中未检出与yy有关的日志文  件)。

注:ai代表检材编号;n代表检材个数;i代表检材序号;rr代表使用软件工具的名称及版本号;yy代表检验要求或样本;mm代表文件个数;bb代表文件大小,单位可以使用Byte、kB、MB或GB;gg代表光盘的编号,HH代表哈希算法名称;hh代表哈希值.

 

十、更改了附则(见第7章,2013年版的第6章)。

GA/T 1071-2021

GA/T 1071-2013

7 附则

7.1 在检验过程中应做检验记录。

7.2 在检验过程中,不应改变检材中的数据。

7.3 应对送检检材做好防水、防磁、防静电和防震保护。

6附则

6.1在检验过程中应做检验记录。

6.2在检验过程中,不应改变送检检验对象中的数据。

6.3在检验过程中,检出数据应存储到专用的存储介质中。

6.4应对送检检验对象做好防水、防磁、防静电和防震保护。

标准下载可到http://hbba.sacinfo.org.cn/,或者点击阅读原文直达


 网安杂谈整理,转载请注明来源


GA/T 1071-2021《法庭科学 电子物证 Windows 操作系统日志检验技术规范》新旧对照


原文始发于微信公众号(网安杂谈):GA/T 1071-2021《法庭科学 电子物证 Windows 操作系统日志检验技术规范》新旧对照

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月13日18:25:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   GA/T 1071-2021《法庭科学 电子物证 Windows 操作系统日志检验技术规范》新旧对照https://cn-sec.com/archives/775901.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息