GA_T 1176-2014网页浏览器历史数据取证技术方法.pdf

ICS 35.240.01GAA 92中华人民共和国公共安全行业标准GA/T 1176--2014网页浏览器历史数据检验技术方法Technical methods for examination of web browser history data2014-07-09实施2014-07-09 发布中华人民共和国公安部发布 GA/T 1176-2014本标准按照GB/T1.1-2009给出的规则起草。本标准由公安部第三研究所提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部第三研究所。本标准主要起草人：孙永清、林九川、金波、郭弘、黄道丽、沙晶、蔡立明。I GA/T 1176—2014网页浏览器历史数据检验技术方法1：范围本标准规定了从网页浏览器中提取历史数据，并对提取的历史数据进行固定保全和检验分析的技术方法。本标准适用于电子数据检验鉴定工作中，提取、固定和检验网页浏览器历史数据。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GA/T756--2008数字化设备证据数据发现提取固定方法RFC 1738国际工程任务组织(IFTF)对统一资源定位器的详细说明3 术语和定义下列术语和定义适用于本文件。3.1网页浏览器web browser一种访问和展示互联网信息资源的网络应用软件，通过该软件可向web服务器发送各种请求，并对从服务器发来的超文本信息和各种多媒体数据格式进行解释、显示和播放。3.2网页浏览器缓存web browser cache一些临时保存网页浏览器最近访问信息的文档，当访问者再次请求这个页面时，网页浏览器就从本地磁盘显示文档。3.3网站website在互联网上，根据一定的规则制作的，用于展示特定内容的相关网页的集合，网站可用于展示内容和提供网络服务，展示的内容包括文本、视频、声音、图片等。3.4历史数据history data访问者通过网页浏览器访问网站留下的数据记录，既包括访问者本地的缓存文件、历史记录、临时文件等，也包括服务器端和代理服务器的日志记录等。3.5统一资源标志符uniform resource identifier(URI)对互联网上的资源进行统一定位的字符串，并规定了所有协议都必须遵循的通用文法规则。3.6统一资源定位符Funiform resource locator(URL)RFC1738中规定的用于描述互联网上可用资源的字符串，也称网页地址。 GA/T 1176—20143.7泄漏记录leak record记录在网页浏览器缓存中的记录，当删除访问过的URL记录时，如果缓存记录没有被删除，就会产生一条泄漏记录。4检验步骤4.1记录检材情况对送检检材情况要进行详细的记录，包括：a）对送检检材进行唯一性编号；b）对送检检材进行逐拍照,并记录检材特征;c）对具备保全条件的送检检材进行保全备份，保全备份应按照各种电子数据存储介质复制工具的使用说明书进行操作。4.2制定历史数据获取方案在进行历史数据获取之前,需制定详细的获取方案，包括：a）历史数据的获取目的和范围;b）产生历史数据的网页浏览器的名称和版本；c)运行网页浏览器的操作系统名称和版本；历史数据的保存路径和文件格式；e)获取历史数据需用到的软硬件设备；规定历史数据获取的顺序；g)如需要对浏览内容进行溯源，要制定溯源的范围和注意事项；如果有条件从代理服务器或网站服务器获取历史数据，需明确获取范围；由于检材或网页浏览器对象不同，而需特别注意的事项；ji）如需获取已删除的历史数据，应制定数据恢复的方法。4.3发现提取历史数据从送检检材中发现提取历史数据，形成可供检验的数据文件，包括：a）按照 4.2中制定的方案和GA/T 756一2008对发现提取固定证据数据的要求，对网页浏览器历史数据进行发现提取；b）在检材中相同文件目录下的历史数据，应保存在同一文件目录下，并记录检材中的目录全路径；不同文件目录下的历史数据，应保存在不同文件目录下；c）计算获取的历史数据文件和原始的历史数据文件的哈希值，验证一致性,确保两者是相同的。4.4网页浏览器历史数据的检验对4.3发现提取的历史数据文件进行检验，包括：a）将获取的历史数据文件导出为检出文件，记录检出文件的哈希值；b)保存检出文件的哈希值到文件中，保证其完整性并作为过程记录保存下来；将检出文件复制到专用的电子数据存储介质中，并检验数据的完整性；d）对历史数据文件进行分析，可依据但不限于以下数据内容：网页浏览器缓存文件头，该文件头包含了网页浏览器的版本信息；2)访问 URL时收到的 http头；2 GA/T 1176—20143)用户通过网页浏览器曾经访