GA_T 1977-2022CN 法庭科学 计算机内存数据提取检验技术规范.docx

ICS CCS 13.310 A 92 中华人民共和国公共安全行业标准 GA/T 1977—2022 法庭科学 计算机内存数据提取 检验技术规范 Forensic sciences—Technical specifications for computer memory data extraction 2022-02-18发布 2022-06-01 实施 中华人民共和国公安部 发 布 I GA/T 1977—2022 前 言 本文件按照GB/T1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国刑事技术标准化技术委员会电子物证检验分技术委员会(SAC/TC 179/SC 7)提出 并归口。 本文件起草单位：公安部第三研究所、公安部网络侦察技术研发中心、公安部物证鉴定中心、司法鉴 定科学研究院、大连市公安局、河北省公安厅、中国刑事警察学院、浙江省公安厅刑侦总队。 本文件主要起草人：吴松洋、杜琳、翟晓飞、郭丽莉、郭弘、施少培、刘浩阳、韩马剑、罗文华、金美顺。 1 GA/T 1977—2022 法庭科学 计算机内存数据提取 检验技术规范 1 范围 本文件规定了法庭科学领域计算机中的内存数据提取检验方法的设备、提取检验步骤、检验结果 表述。 本文件适用于法庭科学领域中对计算机内存数据的提取检验。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本 文件。 GB/T 29360 电子物证数据恢复检验规程 GB/T 29362 电子物证数据搜索检验规程 GA/T 756 法庭科学 电子数据收集提取技术规范 GA/T 976 电子数据法庭科学鉴定通用方法 GA/T 1174 电子证据数据现场获取通用方法 GA/T 1568 法庭科学 电子物证检验术语 3 术语和定义 GB/T 29360、GB/T 29362、GA/T 756、GA/T 976、GA/T 1174、GA/T 1568 界定的以及下列术语 和定义适用于本文件。 3.1 计算机内存 computer memory 计算机中的随机存储器，用于暂时存储 CPU 中的运算数据以及与硬盘等外部存储器交换的数据。 3.2 内存镜像 memory mirroring 将内存数据采用位对位拷贝方式生成的数据文件。 4 设备 4.1 硬件 电子物证检验工作站、只读接口设备、专用存储介质等。 4.2 软件 内存提取软件、电子数据取证综合分析软件。 2 GA/T 1977—2022 5 数据提取 5.1 操作步骤 5.1.1 检材编号 对待检计算机进行唯一性编号。 5.1.2 检材拍照 对待检计算机加上唯一性编号后进行拍照。 5.1.3 提取内存数据 待检计算机应处于开机状态。若待检计算机处于睡眠或休眠状态，宜晃动鼠标或点击键盘上 非输入型按键，尝试唤醒。若待检计算机需账户登录，应使用提供的用户名和密码登录。 在待检计算机上运行内存提取软件，对物理内存进行位对位复制，生成内存镜像。 记录待检计算机的类型、型号和操作系统信息，核对并记录待检计算机时间与标准时间的 时差。 将提取的内存镜像保存在专用存储介质中，并计算完整性校验值。 6 数据检验 6.1 操作步骤 6.1.1 检材编号 对保存内存镜像的存储介质进行唯一性编号。 6.1.2 检材拍照 对保存内存镜像的存储介质加上唯一性编号后进行拍照。 6.1.3 检验内存数据 启动电子物证检验工作站并进行全盘杀毒。 使用电子物证检验工作站加载并验证内存镜像完整性校验值。 使用电子数据取证综合分析软件进行检验。 6.2 检出数据保存 将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中，并计算 检出数据的完整性校验值。 7 检验结果表述 根据内存数据提取检验步骤阐述检验结果，可以包括以下内容： a) 内存镜像数据提取的实现情况； b) 内存镜像的检出数据； GA/T 1977—2022 c) 检验结果分为检出、未检出、不具备检验条件3种； d) 检验结果应根据检验需求对检验对象、检验范围、检验所得进行客观、概括、有针对性的描述； e) 结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据介质完整性校验值、保存 检出数据介质编号等必要信息。 GA/T GA/T