GA/T 1071-2021 法庭科学 电子物证Windows操作系统日志检验技术规范

ICS13.310

CCSA92

中华人民共和国公共安全行业标准

/—

GAT10712021

代替/—

GAT10712013

法庭科学电子物证操作系统日志

Windows

检验技术规范

—

ForensicsciencesTechnicalsecificationsforWindows

p

oeratinsstemloexamination

pgyg

2021-10-14发布2022-05-01实施

中华人民共和国公安部发布

/—

GAT10712021

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

/—《》,

本文件代替GAT10712013法庭科学电子物证Windows操作系统日志检验技术规范与

/—,,:

GAT10712013相比除编辑性修改外主要技术变化如下

———,(,);

更改了范围增加了操作系统类型见第章年版的第章

120131

———();

增加了规范性引用文件见第章

2

———(,);

更改了硬件设备见4.12013年版的3.1

———,(,);

更改了软件设备将年版的和内容重新整合为见年版的

20133.2.13.2.24.24.220133.2

———,(,);

更改了检验对象增加了样本见5.1~5.42013年版的4.1~4.4

———(,);

更改哈希值为数据完整性校验值见5.4.32013年版的4.4.3

———(,);

更改了日志检验步骤见5.4.4~5.4.82013年版的4.4.4~4.4.7

———(,);

更改了检出数据的保存方法及要求见5.52013年版的4.5

———(,);

更改了检验结果表述见第章年版的第章

620135

———(,)。

更改了附则见第章年版的第章

720136

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由全国刑事技术标准化技术委员会电子物证检验分技术委员会(//)提出

SACTC179SC7

并归口。

:、、。

本文件起草单位中国刑事警察学院公安部物证鉴定中心公安部网络安全保卫局

:、、、、、、、、。

本文件主要起草人汤艳君秦玉海楚川红郭丽莉高洪涛刘奇志罗文华吴倩高杨

本文件所代替文件的历次版本发布情况为:

———/—。

GAT10712013

Ⅰ

/—

GAT10712021

法庭科学电子物证操作系统日志

Windows

检验技术规范

1范围

,、、

本文件规定了法庭科学领域中电子物证Windows操作系统包括Windows2000WindowsXP

、、、、和//

Windows2003WindowsVistaWindows7Windows8Windows10WindowsServer20002003

//、、、。

200820122016等日志检验的术语和定义仪器设备操作步骤检验结果表述及附则

本文件适用于法庭科学领域中电子物证Windows操作系统日志的检验。

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/电子物证数据恢复检验规程

GBT29360

/电子物证数据搜索检验规程

GBT29362

3术语和定义

/、/界定的以及下列术语和定义适用于本文件。

GBT29360GBT29362

3.1

系统日志sstemlo

yg

,、

Windows操作系统组件产生的事件记录主要包括驱动程序系统组件和应用软件的崩溃以及数

据丢失错误等。

3.2

Windows操作系统日志Windowsoeratinsstemlo

pgyg

。、

Windows操作系统所指定对象的操作和其操作结果按时间排列有序的集合包括应用程序日志

安全日志和系统日志。

3.3

应用程序日志alicationlo

ppg

应用程序产生的事件记录。

3.4

安全日志securitlo

yg

,、。

安全相关的事件记录包括成功和不成功的登录或退出系统资源使用等

4仪器设备

4.1硬件

、、、。

存储介质保全备份设备具有只读接口的电子物证检验工作站照相录像设备

1