GA_T 1663-2019法庭科学 Linux操作系统日志检验技术规范.pdf

ICS_13.310A 92GA中华人民共和国公共安全行业标准GA/T 1663—2019法庭科学Linux操作系统日志检验技术规范Forensic sciencesTechnical specifications for examination ofLinux operating system logs2019-10-14发布2019-12-01实施中华人民共和国公安部发布 GA/T 1663—2019前言本标准按照GB/T1.12009给出的规则起草，请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会(SAC/TC179/SC7)提出。本标准由全国刑事技术标准化技术委员会(SAC/TC179)归口。本标准起草单位：中国刑事警察学院物证鉴定中心、公安部物证鉴定中心。本标准主要起草人：罗文华、汤艳君、秦玉海、徐国天、高扬、马贺男、楚川红。 GA/T 1663—2019法庭科学Linux操作系统日志检验技术规范1范围本标准规定了Linux操作系统日志检验的方法。本标准适用于法庭科学领域中的电子物证检验。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。GB/T29360—2012电子物证数据恢复检验规程GA/T1071—2013法庭科学电子物证WindoWs操作系统检验技术规范3术语和定义GB/T29360—2012、GA/T1071—2013界定的以及下列术语和定义适用于本文件，3.1Linux操作系统日志Linux operating system log由Linux操作系统进程syslog记录的事件信息，3.2日志配置文件log configuration file用于记录日志信息来源、信息级别及存储位置的文件。3.3日志普理文件log management file用于说明系统管理日志文件方式的文件。仪器设备4.1硬件存储介质、保全备份设备、电子物证检验工作站，4.2软件4.2.1操作系统：Windows、Linux等。4.2.2软件工具：电子数据取证综合分析软件、Linux操作系统命令行，- GA/T 1663—20195 操作步聚5.1检材编号对送检的检材进行唯一性编号。5.2检材拍照对送检的检材加上唯一性编号进行拍照。5.3检材保全备份对具备保全条件的检材进行保全备份。5.4检验5.4.1启动杀毒软件对电子物证检验工作站系统进行杀毒。5.4.2对检材(若已保全，使用保全的存储设备）通过只读接口接到电子数据检验工作站。5.4.3对Linux操作系绕中的日志配置文件进行检验，确定该系统记录的系统事件信息以及事件信息存放位置。5.4.4对Linux操作系统中的日志管理文件进行检验，确定系统管理日志文件的方式。依据日志管理文件中的内容，确定现有日志与周期备份日志的时间关系，结合检验要求，选择相应日志文件予以分析。5.4.5根据步案5.4.3、5.4.4的检验结果，确定检材中需要检验的Linux操作系统日志文件，使用电子数据检验综合分析软件或Linux操作系统命令对其进行检验，对于明文格式日志，可直接查看；对于二进制格式日志，使用相应的工具或命令予以解析查看。5.4.6解码后包含有时间信息的目志文件，需结合操作系统所属时区进行时间转换。5.4.7对于已被删除的日志文件，依据GB/T29360—2012进行数据恢复后，再按步骤5.4.5、5.4.6进行检验。5.4.8将检出数据存储在专用存储介质中并计算哈希值。6检验结果的表述检验结果表述符合以下规定：a)检验结果分为检出、未检出、不具备检验条件三种；b)检验结果应根据检验要求对检验对象、检验范围、检验所得进行客观、概括、有针对性的描述；c)结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据介质哈希值、保存检出数据介质编号等必要信息，附则7.1在检验过程中应做检验记录。7.2在检验过程中，不应改变检材中的数据。7.3应对送检的检验对象好防水、防磁、防静电和防震保护。N GA/T1663—2019中华人民共和国公共安全行业标准法庭科学Linux操作系统日志检验技术规范GA/T 1663—2019中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号(100045)网址 总编室：(010行中心：(010者服务部：(010国标准出版社泰皇岛印刷厂印剧各地新华书店经销*开本880X12301/16印张0.5字数5千字2020年5月第一版2020年5月第一次印刷书号：