​【新旧对照】GA/T1070－2021《法庭科学 计算机开关机时间检验技术规范》

GA/T 1070-2021

GA/T 1070-2013

1 范围

本文件规定了法庭科学领域中计算机开关机时间检验的术语和定义、检验工具、操作步骤、检验、  检验结果保存和检验结果的表述，适用的计算机操作系统为Windows 2000、Windows XP、Windows

2003、Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10。

本文件适用于法庭科学领域中的计算机开关机时间检验。

1范围

本标准规定了电子物证检验中操作系统为Windows 2000、Windows XP、Windows 2003,Windows Vista、Windows 7的计算机开关机时间的检验方法。

本标准适用于法庭科学领域中的电子物证检验。

GA/T 1070-2021

GA/T 1070-2013

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文  

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适  

用于本文件。 

GB/T 29360 电子物证数据恢复检验规程

GB/T 29362 电子物证数据搜索检验规程

GA/T 1070-2021

GA/T 1070-2013

5.6 检验

5.6.1 数据检验

使用具有解析Windows系统日志功能的软件工具解析查看“SysEvent.evt”或“System.evtx”文件，查找并导出以下时间信息:

a) 来源为Eventlog、事件ID为6005的事件日志服务启动时间信息；

b) 来源为Eventlog、事件ID为6006的事件日志服务停止时间信息；

c) 来源为Eventlog、事件ID为6008的系统意外关闭时间信息；

d) 来源为Eventlog、事件ID为6013的系统启动时长信息；

e) 来源为Kernel-General、事件ID为12的操作系统启动时间信息；

f) 来源为Kernel-General、事件ID为13的操作系统关闭时间信息；

g) 来源为Kernel-Power、事件ID为41的操作系统在非正常关机情况下启动时间信息； 

h) 来源为Kernel-Power、事件ID为42的操作系统进入睡眠状态时间信息；

i) 来源为Kernel-Power、事件ID为107的操作系统从睡眠状态恢复时间信息；

j) 来源为Power-Troubleshooter、事件ID为1的操作系统从低功耗状态恢复时间信息。

5.6.1.2 使用具有Windows系统开关机时间检验功能的软件工具进行检验，导出检材中检出的开关机时间信息。

5.6.2 数据分析

综合分析检出的时间信息是否存在矛盾或错误,判断计算机开关机时间。

4.6系统时区检验

4.6.1查找系统注册表CurrentControlSet键的数据源

使用具有解析注册表功能的工具软件加载%SYSTEMROOT%system32config路径下的system文件，查找文件包含注册表的HKEY_LOCAL_MACHINESYSTEMSelect子键，记录该键中的Current值根据Current值确定注册表中HKEY LOCA  TACHINESYSTEMCurrentControlSet

子键的数据源。当Current值为“1”时,CurrentControlSet  键的数据源为 HKEY LOCAL_MACHINE SYSTEMControlSet0o1;当Current值为“2”时,CurrentControlSet  键的数据源为HKEY LOCAL MACHINESYSTEMControlSet002,以此类推。

4.6.2检验系统时区信息

查找HKEY_LOCAL_MACHINESYSTEMContral  Setoox(x为4.6.1中的Current 值) ControlTimeZoneInformation子键，记录该键中StandardName的值为系统的时区信息。

4.7系统开关机时间检验

4.7.1检验与任务计划程序服务有关的时间信息

以“SchedLgU.1xt”为关键字在检材中进行搜索,搜索结果记为W1。该文件中“已启动于”字符串后的时间为开机时间、“已退出于”字符串后的时间为关机时间。

4.7.2检验与系统志有关的时间信息

在Windows  2000.Windows XP或Windows2003中以“SysEvent.evt”为关键字、在Windows Vista或Windows 7中以“System.evtx”为关键字进行搜索。使用具有日志查看功能的软件导出事件记录,筛选记录中ID为6005的事件为开机时间ID为6006的事件为关机时间,筛选后的文件记为W2。

4.7.3时间信息分析和对比

对比Wl文件和W2文件中的开关机时间。

如果两个文件中的开关机时间相同取W1文件中的开关机时间作为检出结果。如果两个文件中的开关机时间不同，合并两个文件中的开关机时间作为检出结果。

GA/T 1070-2021

GA/T 1070-2013

7 检验结果的表述

检验结果表述应符合以下规定：

a) 检验结果分为检出、未检出、不具备检验条件三种；

b) 检验结果应根据检验要求对检验对象、检验范围、检验所得进行客观、概括、有针对性的描述；

c) 结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据完整性校验值、保存检出数据介质编号等必要信息。

5 检验结论的表述

经对编号为“a₁”~“a_n”的检材使用rr软件工具进行技术检验,检验结果如下: a)出与yy有关的开关机时间时，表述为:

在检材a_i中检出与yy有关的开机时间为:依列所有检出的开机和关机时间;系统时区为tt。

b)与yy有关的开机时间时表述为:在检材a中未检出与yy有关的开关机时间。

注:a_i代表检材编号;n代表检材数;代表检材序号;rr代表使用软件工具的名称及版本号;yy代表检验要求或样本;tt为系统时间信息。

GA/T 1070-2021

GA/T 1070-2013

8 附则

8.1 检验前应记录系统时间与北京标准时间的时间差。

8.2 在检验过程中应做检验记录,导出的数据应使用专用存储介质存储。

8.3 在检验过程中不应改变送检检材中的数据。

8.4 对送检检材和样本应做好防水、防磁、防震及防静电保护。