GA_T 1070-2013法庭科学计算机开关机时间检验技术规范.pdf

ICS 13.310GAA 92中华人民共和国公共安全行业标准GA/T 1070--2013法庭科学计算机开关机时间检验技术规范Technical specifications for computer switch time examination in forensics2013-09-30 发布2013-09-30实施中华人民共和国公安部发布 GA/T 1070—2013前言本标准按照 GB/T1.1一2009 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任，本标准由全国刑事技术标准化技术委员会归口。本标准起草单位：中国人民公安大学刑事科学技术系、公安部物证鉴定中心。本标准起草人：丁锰、郭威、邢桂东。 GA/T 1070---2013法庭科学计算机开关机时间检验技术规范1范围本标准规定了电子物证检验中操作系统为Windows 2000、Windows XP、Windows 2003、WindowsVista、Windows 7的计算机开关机时间的检验方法。本标准适用于法庭科学领域中的电子物证检验。2术语和定义下列术语和定义适用于本文件。2. 1计算机开机时间 time of switch on computer计算机开机进人操作系统时的系统时间。2.2计算机关机时间 time of switch off computer计算机关机退出操作系统时的系统时间。3检验工具3.1硬件存储介质保全备份设备、具有只读接口的电子物证检验工作站。3.2软件3.2. 1 操作系统: Windows 2000,Windows XP,Windows 2003,Windows Vista.Windows 7。3.2.2工具软件：具有日志查看功能的软件、Windows 操作系统提供的事件查看器、具有解析注册表功能的软件以及文本编辑器。4操作步骤4.1检材及样本编号对送检的检材(样本)进行唯一编号。4.2检材及样本拍照对送检的检材(样本)加上唯一性编号进行拍照。4.3检材及样本保全对具备保全条件的检材(样本)进行保全备份。 GA/T 1070-—20134.4　检验工作站杀毒启动杀毒软件对电子物证检验工作站系统进行杀毒。4.5检材连接方法将检材（若已保全，使用保全的存储设备）通过只读方式连接到电子物证检验工作站。4.6系统时区检验4.6.1查找系统注册表 CurrentControSet 键的数据源使用具有解析注册表功能的工具软件加载%SYSTEMROOT%\system32\config路径下的system文件，查找文件包含注册表的 HKEY_LOCAL_MACHINE\SYSTEM\Select子键，记录该键中的Current 值,根据 Current 值确定注册表中 HKEY_LOCAL_MACHINE\SYSTEM\ICurrentControlSet子键的数据源。当 Current 值为1”时,CurrentControISet 键的数据源为 HKEY_LOCAL_MACHINE\SYSTEMIControlSetool;当 Current 值为2”时,CurrentControlSet 键的数据源为 HKEY_LOCALMACHINE\SYSTEM\ControlSet002,以此类推。4.6.2检验系统时区信息查找 HKEY_LOCAL_MACHINE\SYSTEM\ControlSetooX(X 为 4.6.1 中的 Current 值))Control\TimeZoneInformation 子键，记录该键中 StandardName 的值为系统的时区信息。4.7系统开关机时间检验4.7.1检验与任务计划程序服务有关的时间信息以SchedLgU.Txt”为关键字在检材中进行搜索，搜索结果记为 W1。该文件中“已启动于”字符串4.7.2检验与系统日志有关的时间信息在 Windows 2000、Windows XP 或 Windows 2003 中以SysEvent.evt”为关键字、在 WindowsVista 或Windows 7中以System.evtx”为关键字进行搜索。使用具有日志查看功能的软件导出事件为 W2。4.7.3时间信息分析和对比对比 W1 文件和W2 文件中的开关机时间。如果两个文件中的开关机时间相同，取 W1 文件中的开关机时间作为检出结果。如果两个文件中的开关机时间不同，合并两个文件中的开关机时间作为检出结果。5检验结论的表述经对编号为“a”～an”的检材使用rr软件工具进行技术检验,检验结果如下：a）检出与 yy有关的开关机时间时,表述为：在检材a：中检出与yy有关的开关机时间为：依次列出所有检出的开机和关机时间；系统时区为 tt。2 GA/T 107