GA_T 756-2008数字化设备证据数据发现提取固定方法.pdf

ICS 35.220.20A 90GA中华人民共和国公共安全行业标准GA/T 756—2008数字化设备证据数据发现提取固定方法Discovering, extraction and preservation method ofevidence data on digital device2008-03-24发布2008-03-24实施中华人民共和国公安部发布 GA/T 756—2008前 言本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部公共信息网络安全监察局、福建厦门美亚柏科公司。本标准主要起草人：许剑卓、黄春健、耿涛、何星。1 GA/T756—2008数字化设备证据数据发现提取固定方法1范围本标准规定了从数字化设备发现提取固定证据数据，并保证证据数据原始性和证据数据完整性的方法。本标准适用于在电子数据检验鉴定工作中，从本地数字化设备或远程数字化设备发现提取固定证据数据。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准-然而.鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件.其新版本适用卡本标准。GA/T754—2g08电子数据存储介质复制工具要求及检测方法GA/T755—2068/电子数据有储介质亏保护设备要求及检测方法3术语和定义下列术语利定适用于本标准。3. 1数字化设备dikitaldevice存储、处理和传输二进制数据的设备，包括计算机、通信设备、网络设备、电手数据存储设备等。3. 1. 1本地数字化设备Jocaldigitaldevice检验人员能物现换触、操作的数好化议备。3. 1. 2远程数字化设备emote digital device能通过网络访问的数来化设备。3. 2证据数据evidenced作为证据使用的电子数据3. 3证据数据发现提取evidence datadiscoveringand extraction对数字化设备存储、处理、传输的数据进行搜索、分析、截获，获得证据数据的过程。3. 4固定证据数据preserveevidencedata在证据数据发现提取过程中，采取技术措施或记录相关信息，保护证据数据完整性。3.5逐比特一致bit-basedidenticalness两组数据每一比特位数值相同。3. 6含义一致content-basedidenticalness就检验鉴定结论所下断言而言，两组数据所表示的含义相同。 GA/T756—2008示例：两张图片展示相同的文字信息，显然其数据并非遥比特一致，但如果检验鉴定结论所下断言评价的是其包含的文字信息，则其数据含义--致。3.7可再现数据reproducible data如果重复证据数据发现提取过程，可重新获得逐比特一致或含义一致的证据数据，则称该证据数据为可再现数据。3.8不可再现数据irreproducibledata如果证据数据发现提取过程无法重复，或证据数据发现提取相关环境条件无法复原，重复证据数据发现提取过程无法重新获得逐比特一致或含义一致的证据数据，则称该证据数据为不可再现数据。3.9证据数据原始性evidence data originality证据数据是按照所描述的步骤从被检验数字化设备中发现提取获得的。注：保护证据数据原始性是指采取技术措施，保证通过展示相关记录信息或重新实施证据数据发现提取过程，能证实证据数据尼按照所描述的发现提取步骤从被检验数字化设备中发现提取获得的。3.10证据数据完整性evidence data integrity证据数据在发现提取后未被修改。注：保护证数据完整性是指采取技术措施，保证通过展示相关记录信息，能证实证据数据在发现提取后是否被修改。3. 11哈希值hashdata使用MID5等哈希算法对数据逃行计算获得的数值。3.12原始电子数据存储介质originaldigitaldatastorage被检验数字化设备中包含的电子数据存储介质。3. 13检验用例inspection case规定如何发现证据数据的文档化的细则。包括：a）目标证据数据；b）检验设备和软件；c）证据数据发现提取操作步骤；d）检验环境条件。3.14屏幕录像软件computerscreencapture用于截获计算机屏幕上显示的内容，并生成视频文件的软件。4证据数据发现提取固定步骤4.1记录检材情况a）对检材进行编号；b）对送检数字化设备逐一拍照，并记录检材的特征。4.2设计检验用例根据目标证据数据设计检验用例。检验用例应符合以下要求：2 GA/T756—2008始电子数据存储介质，将复制生成的克隆或镜像文件作为检验对象；