GA/T 1174-2014电子证据数据现场获取通用方法.pdf

ICS35.240.01

A92

G

中华人民共和国公共安全行业标准

GA/T1174一2014

电子证据数据现场获取通用方法

Generalmethodsforcaptureofliveelectronicevidencedata

2014-07-09发布2014-07-09实施

中华人民共和国公安部发布

GA/T门74-2014

..a...~

剧昌

本标准按照GB/T1.1-2009给出的规则起草。

本标准由公安部第二研究所提出。

本标准由公安部信息系统安全标准化技术委员会归口．

本标准起草单位：公安部第三研究所。

本标准主要起草人：张颖、金波、郭弘、黄道丽、崔宇寅、雷云婷。

I

GA/T门74-2014

电子证据数据现场获取通用方法

1目的和范围

本标准规定了电子证据数据现场搜索、获取、固定和保存的通用方法。

本标准适用于在电子数据现场取证的工作中，搜索、获取、固定和保存电子证据数据。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注目期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本〈包括所有的修改单）适用于本文件。

GAIT756•2008数字化设备证据数据发现提取固定方法

GAIT976-2012电子数据法庭科学鉴定通用方法

3术语和定义

GA/T756-2008和GA/T976-2012界定的以及下列术语和定义适用于本文件。

3.1

随机存取内存转储randomaccessmemorydump(RAMdump)

将随机存取内存CRAM）中的部分或者全部内容传送到某种类型的存储介质上。

3.2

逻辑文件1鸣icalfile

用户所观察到的文件组织形式，是可以直接处理的数据及结构。

4步骤

4.1制定证据在取方案

在进行电子证据数据现场获取之前，需制定详细的计划，包括：

a)现场获取的目的和范围；

b)参加电子证据数据现场获取的人员，需明确分工，落实责任；

c)进行电子证据数据现场获取需携带的移动仪器设备；

d)现场获取采用的方法和步骤；

e)电子证据数据现场获取的顺序；

f)现场获取操作可能造成的影响。

4.2记录现场状况

对现场状况应通过拍照和最像的方式进行记录，并予以编号保存。

4.3电子设备和存储介质的封存

对于已经关闭的系统，在法律允许的范围内并在获得授权的情况下，应对相关电子设备和存储介质

GA/T1174-2014

进行封存，方法如下z

a)呆用的封存方法应当保证在不解除封存状态的情况下，无法使用被封存的存储介质和启动被

封存电子设备；

b)封存前后应当拍掘或者录像被封存电子设备和存储介质并进行记录，照片或者最像应当从各

个角度反映设备封存前后的状况，清晰反映封口或张贴封条处的状况；

c)对系统附带的电子设备和存储介质也应实施封存．

4.4电子证据数据的动态族取

4.4.1概述

对于运行中的系统，应进行电子证据数据的动态获取，其中又分为易丢失数据的提取和阳定、在线

获取以及电子设备和存