GA/T 1071-2021法庭科學(xué)電子物證Windows操作系統(tǒng)日志檢驗(yàn)技術(shù)規(guī)范

ICS13310

CCSA.92

中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)

GA/T1071—2021

代替GA/T1071—2013

法庭科學(xué)電子物證Windows操作系統(tǒng)日志

檢驗(yàn)技術(shù)規(guī)范

Forensicsciences—TechnicalspecificationsforWindows

operatingsystemlogexamination

2021-10-14發(fā)布2022-05-01實(shí)施

中華人民共和國(guó)公安部發(fā)布

GA/T1071—2021

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替法庭科學(xué)電子物證操作系統(tǒng)日志檢驗(yàn)技術(shù)規(guī)范與

GA/T1071—2013《Windows》,

相比除編輯性修改外主要技術(shù)變化如下

GA/T1071—2013,,:

更改了范圍增加了操作系統(tǒng)類型見(jiàn)第章年版的第章

———,(1,20131);

增加了規(guī)范性引用文件見(jiàn)第章

———(2);

更改了硬件設(shè)備見(jiàn)年版的

———(4.1,20133.1);

更改了軟件設(shè)備將年版的和內(nèi)容重新整合為見(jiàn)年版的

———,20133.2.13.2.24.2(4.2,20133.2);

更改了檢驗(yàn)對(duì)象增加了樣本見(jiàn)年版的

———,(5.1~5.4,20134.1~4.4);

更改哈希值為數(shù)據(jù)完整性校驗(yàn)值見(jiàn)年版的

———(5.4.3,20134.4.3);

更改了日志檢驗(yàn)步驟見(jiàn)年版的

———(5.4.4~5.4.8,20134.4.4~4.4.7);

更改了檢出數(shù)據(jù)的保存方法及要求見(jiàn)年版的

———(5.5,20134.5);

更改了檢驗(yàn)結(jié)果表述見(jiàn)第章年版的第章

———(6,20135);

更改了附則見(jiàn)第章年版的第章

———(7,20136)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)刑事技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)電子物證檢驗(yàn)分技術(shù)委員會(huì)提出

(SAC/TC179/SC7)

并歸口

。

本文件起草單位中國(guó)刑事警察學(xué)院公安部物證鑒定中心公安部網(wǎng)絡(luò)安全保衛(wèi)局

:、、。

本文件主要起草人湯艷君秦玉海楚川紅郭麗莉高洪濤劉奇志羅文華吳倩高楊

:、、、、、、、、。

本文件所代替文件的歷次版本發(fā)布情況為

:

———GA/T1071—2013。

Ⅰ

GA/T1071—2021

法庭科學(xué)電子物證Windows操作系統(tǒng)日志

檢驗(yàn)技術(shù)規(guī)范

1范圍

本文件規(guī)定了法庭科學(xué)領(lǐng)域中電子物證操作系統(tǒng)包括

Windows,Windows2000、WindowsXP、

和

Windows2003、WindowsVista、Windows7、Windows8、Windows10WindowsServer2000/2003/

等日志檢驗(yàn)的術(shù)語(yǔ)和定義儀器設(shè)備操作步驟檢驗(yàn)結(jié)果表述及附則

2008/2012/2016、、、。

本文件適用于法庭科學(xué)領(lǐng)域中電子物證操作系統(tǒng)日志的檢驗(yàn)

Windows。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

電子物證數(shù)據(jù)恢復(fù)檢驗(yàn)規(guī)程

GB/T29360

電子物證數(shù)據(jù)搜索檢驗(yàn)規(guī)程

GB/T29362

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T29360、GB/T29362。

31

.

系統(tǒng)日志systemlog

操作系統(tǒng)組件產(chǎn)生的事件記錄主要包括驅(qū)動(dòng)程序系統(tǒng)組件和應(yīng)用軟件的崩潰以及數(shù)

Windows,、

據(jù)丟失錯(cuò)誤等

。

32

.

Windows操作系統(tǒng)日志W(wǎng)indowsoperatingsystemlog

操作系統(tǒng)所指定對(duì)象的操作和其操作結(jié)果按時(shí)間排列有序的集合包括應(yīng)用程序日志

Windows。、

安全日志和系統(tǒng)日志

。

33

.

應(yīng)用程序日志applicationlog

應(yīng)用程序產(chǎn)生的事件記錄

。

34

.

安全日志securitylog

安全相關(guān)的事件記錄包括成功和不成功的登錄或退出系統(tǒng)資源使用等

,