GA_T 1170-2014移动终端取证检验方法.pdf

ICS 35.240.01GAA 92中华人民共和国公共安全行业标准GA/T 1170-2014移动终端取证检验方法Examination methods for evidence collection from mobile terminals2014-07-09 发布2014-07-09实施中华人民共和国公安部发布 中华人民共和国公共安全行业标准移动终端取证检验方法GA/T 1170—2014*中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号（100045）网址 总编室：（010行中心：（010者服务部：（010国标准出版社秦皇岛印刷厂印刷各地新华书店经销*开本 880×12301/16印张 0.5字数 ８8 千字2014年9月第一版2014年9月第一次印刷*书号：155066·2-27340如有印装差错由本社发行中心调换版权专有侵权必究举报电话：（010 GA/T 1170--2014本标准按照GB/T 1.1一2009给出的规则起草。本标准由公安部第三研究所提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部第三研究所。本标准主要起草人：郭弘、黄道丽、金波、赵戈、杭强伟、徐隽。 GA/T 1170—2014移动终端取证检验方法1目的和范围本标准规定了电子数据检验时，从移动终端(不包括具有无线上网功能的笔记本电脑)获取、分析与呈现证据数据的检验方法。本标准适用于电子数据检验工作中，从移动终端(不包括具有无线上网功能的笔记本电脑)获取、分析与呈现证据数据。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GA/T756—-2008数字化设备证据数据发现提取固定方法GA/T976—2012电子数据法庭科学鉴定通用方法3术语和定义GA/T 756—2-2008和GA/T976一2012界定的以及下列术语和定义适用于本文件。3.1移动终端 mobile terminal基于移动网络应用的设备，包括但不限于手机、无线上网卡等通讯终端、具有无线上网功能的笔记本电脑、平板电脑、游戏机、PDA、MP4等设备，以及无线定位、无线蓝控等终端。3.2蓝牙 bluetooth一种无线数据和语音传输技术，将各种通信设备、计算机及其终端设备、各种数字数据系统，甚至家用电器采用无线方式连接起来，传输距离为10cm至10m。采用分散式网络结构以及快跳频和短包技术，支持点对点及点对多点通信，工作在全球通用的2.4GHz ISM频段。3.3无线保真Wi-Fi种无线局域网通讯技术，基于IEEE802.11标准，属于在办公室和家庭中使用的短距离无线技术。3.4红外通信infared communication种无线通讯技术，利用红外线进行点对点数据传输。3.5底座cradle一种对接站，使用户的计算机和移动终端能够端连接进行通信和充电。3.6文件系统file system操作系统的一个组成部分，是实现数据的存储、分级组织、访问和获取等操作的抽象数据类型。 GA/T 1170—20144现场证据的获取4.1评估现场确定对移动终端中的证据数据进行现场获取的人员和需携带的必要设备，人员应具备识别不同类型的移动终端并熟悉其特性和相关配件的能力。对移动终端中的证据数据进行现场获取前，需对现场情况进行评估，根据现场情况制定计划，包括：a）现场获取的目的和范围;b）现场获取采用的标准规范；c）现场获取的顺序。4.2获取和保护证据设备4.2.1获取按照所制定的计划，获取移动终端及相关附件设备和资料。如需获取证据数据的移动终端正连接计算机进行同步，应采取以下措施：a）关闭计算机电源，防止数据传输或同步覆盖；b）同时获取移动终端和连接的电缆、底座和与其同步的计算机，以便从计算机的硬盘中获取移动终端中未获取的同步数据；c)不可取出移动终端中的数据存储卡和 SIM卡；d）获取移动终端的相关附件设备和资料，如：电源、电缆、底座、产品说明书和软件等。4.2.2隔离为防止移动终端中的证据数据被破坏，应将移动终端从无线网络隔离，方法包括：a）立即关闭移动终端，不得再次打开，以免破坏数据。如电池可拆卸，取出电池；b）紧急情况下，可保持移动终端开机状态作紧急处理。如果移动终端需保持开机，需在供电状态下将其从网络上隔离，方法包括：1）射频屏蔽;2）将移动终端设置为“飞行”模式；3）禁用Wi-Fi、蓝牙和红外通信4.2.3包装对移动终端的包装应满足以下要求：a）将移动终端密封在防静电袋中,并予以标记;b）正确保护移动终端，防止