- 1
- 2
- 3
- 4
- 5
GA_T 1713-2020 法庭科学 破坏性程序检验技术方法
资料介绍
范围
本标准规定了对计算机信息系统中的破坏性程序进行检验、分析的技术方法和步骤。
本标准适用于法庭科学计算机信息系统中的破坏性程序的检验鉴定。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GA/T 976-2012 电子数据法庭科学鉴定通用方法3 术语和定义
GA/T 756-2008和GA/T 976-2012界定的以及下列术语和定义适用于本文件.
3.1计算机信息系统 computer information system具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。
3.2破坏性程序 destructive program能够在预先设定条件下自动触发,并破坏计算机信息系统功能、数据或者应用程序的程序:或者可以通过网络、存储介质、文件等媒介,将自身的部分、全部或变种进行复制、传播,并破坏计算机信息系统功能、数据或者应用程序的程序:以及其他专门设计用于破坏计算机信息系统功能、数据或者应用程序的程序.
3.3程序行为program behavior程序在运行期间与计算机信息系统的交互及其对计算机信息系统产生的影响。
3.4静态分析 static analysis在程序没有运行的情况下,对可执行程序进行的分析.
检验过程
4.1待检程序的固定保全
4.1.1 检材为电子文件时,对电子文件进行备份,并计算其完整性校验值.
4.1.2 检材为数字化设备时,应对检材进行拍照或录像,记录其特征,并对检材进行唯一性标识。根据设备状态进行固定保全:
a)检材为开机状态时:
1)对检材屏幕的显示内容进行拍照或录像:
2)对检材存储介质中的特检程序进行备份并计算完整性校验值:
3)在条件允许的情况下,可获取检材内存镜像并计算完整性校验值。
b)检材为关机状态时:
1)对于具有写保护条件的,应将检材中的存储介质通过写保护设备连接至检验设备上2)关闭检验设备上的安全防护软件,防止安全防护软件自动将待检程序删除:
3)对检材存储介质中的待检程序进行备份,备份时应将待检程序与检验设备上的其他程序及文件进行隔离,防止特检程序对检验设备上的系统、程序、文件造成破坏:
4)计算待检程序的完整性校验值。
4.2 待检程序检验环境的搭建
部分文件列表
| 文件名 | 大小 |
| GA_T_1713-2020_法庭科学_破坏性程序检验技术方法.pdf | 248K |
全部评论(0)