GA/T1070-2021《法庭科学 计算机开关机时间检验技术规范》将于2022年5月1日实施,适用于法庭科学领域中的计算机开关机时间检验。代替GA/T 1070-2013《法庭科学计算机开关机时间检验技术规范》,与GA/T 1070—2013相比,除编辑性修改外,主要技术变化如下:
一、更改了范围(见第1章,2013年版的第1章)
|
GA/T 1070-2021 |
GA/T 1070-2013 |
|
1 范围 本文件规定了法庭科学领域中计算机开关机时间检验的术语和定义、检验工具、操作步骤、检验、 检验结果保存和检验结果的表述,适用的计算机操作系统为Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10。 本文件适用于法庭科学领域中的计算机开关机时间检验。 |
1范围 本标准规定了电子物证检验中操作系统为Windows 2000、Windows XP、Windows 2003,Windows Vista、Windows 7的计算机开关机时间的检验方法。 本标准适用于法庭科学领域中的电子物证检验。 |
二、增加了规范性引用文件(见第2章)
|
GA/T 1070-2021 |
GA/T 1070-2013 |
|
2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适 用于本文件。 GB/T 29360 电子物证数据恢复检验规程 GB/T 29362 电子物证数据搜索检验规程 |
三、更改了检验方法(见5.6, 2013年版的4.6、4.7)
|
GA/T 1070-2021 |
GA/T 1070-2013 |
|
5.6 检验 5.6.1 数据检验 使用具有解析Windows系统日志功能的软件工具解析查看“SysEvent.evt”或“System.evtx”文件,查找并导出以下时间信息: a) 来源为Eventlog、事件ID为6005的事件日志服务启动时间信息; b) 来源为Eventlog、事件ID为6006的事件日志服务停止时间信息; c) 来源为Eventlog、事件ID为6008的系统意外关闭时间信息; d) 来源为Eventlog、事件ID为6013的系统启动时长信息; e) 来源为Kernel-General、事件ID为12的操作系统启动时间信息; f) 来源为Kernel-General、事件ID为13的操作系统关闭时间信息; g) 来源为Kernel-Power、事件ID为41的操作系统在非正常关机情况下启动时间信息; h) 来源为Kernel-Power、事件ID为42的操作系统进入睡眠状态时间信息; i) 来源为Kernel-Power、事件ID为107的操作系统从睡眠状态恢复时间信息; j) 来源为Power-Troubleshooter、事件ID为1的操作系统从低功耗状态恢复时间信息。 5.6.1.2 使用具有Windows系统开关机时间检验功能的软件工具进行检验,导出检材中检出的开关机时间信息。 5.6.2 数据分析 综合分析检出的时间信息是否存在矛盾或错误,判断计算机开关机时间。 |
4.6系统时区检验 4.6.1查找系统注册表CurrentControlSet键的数据源 使用具有解析注册表功能的工具软件加载%SYSTEMROOT%system32config路径下的system文件,查找文件包含注册表的HKEY_LOCAL_MACHINESYSTEMSelect子键,记录该键中的Current值根据Current值确定注册表中HKEY LOCA TACHINESYSTEMCurrentControlSet 子键的数据源。当Current值为“1”时,CurrentControlSet 键的数据源为 HKEY LOCAL_MACHINE SYSTEMControlSet0o1;当Current值为“2”时,CurrentControlSet 键的数据源为HKEY LOCAL MACHINESYSTEMControlSet002,以此类推。 4.6.2检验系统时区信息 查找HKEY_LOCAL_MACHINESYSTEMContral Setoox(x为4.6.1中的Current 值) ControlTimeZoneInformation子键,记录该键中StandardName的值为系统的时区信息。 4.7系统开关机时间检验 4.7.1检验与任务计划程序服务有关的时间信息 以“SchedLgU.1xt”为关键字在检材中进行搜索,搜索结果记为W1。该文件中“已启动于”字符串后的时间为开机时间、“已退出于”字符串后的时间为关机时间。 4.7.2检验与系统志有关的时间信息 在Windows 2000.Windows XP或Windows2003中以“SysEvent.evt”为关键字、在Windows Vista或Windows 7中以“System.evtx”为关键字进行搜索。使用具有日志查看功能的软件导出事件记录,筛选记录中ID为6005的事件为开机时间ID为6006的事件为关机时间,筛选后的文件记为W2。 4.7.3时间信息分析和对比 对比Wl文件和W2文件中的开关机时间。 如果两个文件中的开关机时间相同取W1文件中的开关机时间作为检出结果。如果两个文件中的开关机时间不同,合并两个文件中的开关机时间作为检出结果。 |
四、更改了检验结果的表述(见第7章,2013年版的第5章)
|
GA/T 1070-2021 |
GA/T 1070-2013 |
|
7 检验结果的表述 检验结果表述应符合以下规定: a) 检验结果分为检出、未检出、不具备检验条件三种; b) 检验结果应根据检验要求对检验对象、检验范围、检验所得进行客观、概括、有针对性的描述; c) 结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据完整性校验值、保存检出数据介质编号等必要信息。 |
5 检验结论的表述 经对编号为“a1”~“an”的检材使用rr软件工具进行技术检验,检验结果如下: a)出与yy有关的开关机时间时,表述为: 在检材ai中检出与yy有关的开机时间为:依列所有检出的开机和关机时间;系统时区为tt。 b)与yy有关的开机时间时表述为:在检材a中未检出与yy有关的开关机时间。 注:ai代表检材编号;n代表检材数;代表检材序号;rr代表使用软件工具的名称及版本号;yy代表检验要求或样本;tt为系统时间信息。 |
五、增加了对于时间差的记录要求(见8.1)
|
GA/T 1070-2021 |
GA/T 1070-2013 |
|
8 附则 8.1 检验前应记录系统时间与北京标准时间的时间差。 8.2 在检验过程中应做检验记录,导出的数据应使用专用存储介质存储。 8.3 在检验过程中不应改变送检检材中的数据。 8.4 对送检检材和样本应做好防水、防磁、防震及防静电保护。 |
标准下载可到http://hbba.sacinfo.org.cn/,或点击文末原文链接直达
网安杂谈整理,转载请注明来源
原文始发于微信公众号(电子物证):【新旧对照】GA/T1070-2021《法庭科学 计算机开关机时间检验技术规范》
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论