GA_T 1480-2018法庭科学计算机操作系统仿真检验技术规范.pdf

ICS_13.310A 92GA中华人民共和国公共安全行业标准GA/T 1480—2018法庭科学计算机操作系统仿真检验技术规范Technical specifications for computer operating system emulationexamination in Forensics2018-04-17发布2018-04-17实施中华人民共和国公安部发布 GA/T 1480—2018前言本标准按照GB/T1.1—2009给出的规则起草请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会（SAC/TC179/SC7)提出并归口，份有限公司、上海弘连网络科技有限公司本标准主要起草人：刘晓宇、翟晓飞、宋庆飞、李毅、陆道宏、赵庸。 GA/T 1480—2018法庭科学计算机操作系统仿真检验技术规范1范围本标准规定了Windows、Linux以及MacOS操作系统仿真检验的技术方法，本标准适用于法庭科学领或电子物证检验中的计算机操作系统伤真检验。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。GB/T 5271,1—2000信息技术词汇第1部分：基本术语GA/T755—2008电子数据存储介质写保护设备要求及检测方法GA/T 756—2008数字化设备证据数据发现提取固定方法GA/T 976-2012电子数据法庭科学鉴定通用方法3术语和定义GB/T5271.1—2000,GA/T755—2008,GA/T756—2008和GA/T976—2012界定的以及下列术语和定义适用于本文件。3.1系统仿真system emulation利用虚报化技术、重新定向技术对计算机操作系统的内核、硬件设备、用户环境、各种网络协议、应用程序、数据记录等信息进行动态模拟。3.2仿真对象emulation object用于系统仿真的存储介质、镜像文件及虚拟机文件等。4仿真检验步骤4.1检验准备4,1,1检材编号对送检的检材进行唯一性编号。4.1.2检材拍照对送检的检材加上唯一性编号并拍照。4.1.3检材保全备份按照GA/T756一2008的要求对具备保全条件的检材进行固定保全。1 GA/T 1480—20184.2仿真对象接入使用符合GA/T755一2008要求的写保护设备接人检材（若已保全，使用保全的存储设备或文件），对仿真对象进行加载。4.3仿真检验步聚4.3.1运行环境设置对仿真对象的运行环境进行设置，包括内存、硬盘类型、网络配置等，4.3.2检验环境设置设定仿真对象适用的检验环境，包括设定检验工具集、检验目标介质等。4.3.3仿真启动设置必要时，在伤真对象启动过程中，进行选择和替换启动自动加载的驱动和程序、规避登录密码等系统安全措施等处理，4.4仿真对象数据提取固定4,4.1数据获取按照GA/T756一2008要求获取仿真对象中的静态数据和易失性数据，以及处于开机或联网状态下的仿真对象的网络活动数据、数据传输交互等产生的系统外部数据等，4.4.2数据保存将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中，并计算检出数据的哈希值，5检验记录按照GA/T756—2008的要求记录检验过程，6检验结果表述检验结果表述应符合以下规定：a)检验结果分为检出、未检出、不其备检验条件3种；b)检验结果应极据检验要求对检验对象、检验范围、检验所得进行客观、概括、有针对性的描述：c)检验结果表违应包含检材编号、检出情况、检出数据文件或保存检出数据介质哈希值、保存检出数据介质编号等必要信息。 GA/T1480—2018中华人民共和国公共安全行业标准法庭科学计算机操作系统仿真检验技术规范GA/T 1480—2018*中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号（100045)网址 总编室(010行中心(010者服务部：（(010国标准出版社泰皇岛印别厂印刷各地新华书店经销开本880×12301/16印张0.5字数7千字2018年9月第一版2018年9月第一次印期$号; 155066 · 244571定价14.00 元如有印装差错由本社发行中心调换版权专有侵权必究GA/T报电话：(010印日期：2018年12月17电