DB50-T 1560-2024 火災(zāi)調(diào)查 電子物證提取通.用方法_第1頁
DB50-T 1560-2024 火災(zāi)調(diào)查 電子物證提取通.用方法_第2頁
DB50-T 1560-2024 火災(zāi)調(diào)查 電子物證提取通.用方法_第3頁
DB50-T 1560-2024 火災(zāi)調(diào)查 電子物證提取通.用方法_第4頁
DB50-T 1560-2024 火災(zāi)調(diào)查 電子物證提取通.用方法_第5頁
已閱讀5頁,還剩3頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

ICS13.220.01CCSC80502024-02-01發(fā)布IDB50/T1560—2024前言 2規(guī)范性引用文件 3術(shù)語和定義 4一般原則 25現(xiàn)場提取設(shè)備 26電子物證的識別 27電子數(shù)據(jù)儲存介質(zhì)實物提取 38電子數(shù)據(jù)的提取 39非現(xiàn)場數(shù)據(jù)提取 410對物證及數(shù)據(jù)提取過程的記錄 4參考文獻 5DB50/T1560—2024本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分:標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由重慶市消防救援總隊提出、歸口并組織實施。本文件起草單位:重慶市消防救援總隊本文件主要起草人:李俊東、劉梅梅、彭希、吳碩、羅啟才、陳承、蒙明朝、陳征宇、俞峰、高博、賈存彬、羅鄭橋、陳淵、何炯、莫旭、向杰然、許果、徐舟、劉冬言、黃佳茂、沈振冰、楊洲1DB50/T1560—2024火災(zāi)調(diào)查電子物證提取通用方法本文件規(guī)定了火災(zāi)調(diào)查中電子物證數(shù)據(jù)識別、提取、固定和保存的通用方法。本文件適用于火災(zāi)調(diào)查中電子物證提取工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T29362電子物證數(shù)據(jù)搜索檢驗規(guī)程GA/T1564-2019法庭科學(xué)-現(xiàn)場勘查電子物證提取技術(shù)規(guī)范3術(shù)語和定義GB/T29362-2012、GA/T1564-2019界定的以及下列術(shù)語和定義適用于本文件。3.1電子物證electronicevidence被作為證據(jù)使用的、能夠證明案件相關(guān)事實的電子數(shù)據(jù)。3.2電子物證現(xiàn)場提取scenecollectionofelectronicevidence對案(事)件現(xiàn)場及其場所電子物證發(fā)現(xiàn)、固定、收集的過程。[來源:GA/T1564-2019,3.1]3.3只讀設(shè)備read-onlydevice對于接入的存儲介質(zhì)具有寫保護功能的設(shè)備。[來源:GA/T1564-2019,3.7]3.4保全備份safebackup對原始數(shù)據(jù)進行完整、精確、無損的備份。[來源:GB/T29362-2012,2.4]3.5一致性檢驗identifyfile2DB50/T1560—2024對文件哈希值進行計算、記錄、比對的操作。4一般原則4.1對火災(zāi)調(diào)查所涉及的有關(guān)電子數(shù)據(jù)或存儲介質(zhì),提取時應(yīng)及時、全面、客觀的記錄,記錄應(yīng)符合第10章的規(guī)定。4.2對電子數(shù)據(jù)的提取應(yīng)優(yōu)先考慮儲存介質(zhì)實物提取。4.3對不能采取實物提取的電子數(shù)據(jù),應(yīng)采取保全備份措施。4.4對提取的電子物證應(yīng)采取避光、避塵、防磁、防潮、防靜電等措施妥善保存。4.5在電子物證提取過程中,應(yīng)有不少于2名調(diào)查人員參與,并邀請2名見證人。5現(xiàn)場提取設(shè)備5.1硬件包括但不限于照錄像設(shè)備、電子數(shù)據(jù)取證設(shè)備、計算機、只讀設(shè)備、存儲設(shè)備、數(shù)據(jù)傳輸線。5.2軟件包括但不限于操作系統(tǒng)、介質(zhì)取證軟件、手機取證軟件、路由器取證軟件、汽車數(shù)據(jù)取證軟件、電子數(shù)據(jù)完整性校驗軟件、鏡像制作軟件、免安裝軟件和免系統(tǒng)注冊軟件。6電子物證的識別6.1儲存介質(zhì)及數(shù)據(jù)包括但不限于計算機硬盤、移動硬盤、優(yōu)盤、儲存卡、記憶棒、光盤、磁盤、云存儲數(shù)據(jù)。6.2終端設(shè)備包括但不限于手機、平板電腦、游戲機、音樂播放器、電子閱讀器、智能穿戴設(shè)備、智能控制終端、調(diào)制解調(diào)器、帶有網(wǎng)絡(luò)功能的家用電器。6.3視頻監(jiān)控設(shè)備包括但不限于硬盤式監(jiān)控主機、具有本地儲存功能的單點式攝像頭、網(wǎng)絡(luò)攝像頭、行車記錄儀、天網(wǎng)監(jiān)控終端、市政監(jiān)控終端、高速公路監(jiān)控終端、森林防火監(jiān)控終端。6.4控制設(shè)備包括但不限于火災(zāi)自動報警系統(tǒng)、消防水泵自動巡檢設(shè)備、電氣火災(zāi)監(jiān)控系統(tǒng)、防火門監(jiān)控系統(tǒng)、消防電源監(jiān)控系統(tǒng)、聯(lián)網(wǎng)型火災(zāi)報警設(shè)備、化工裝置緊急停車系統(tǒng)、集散控制系統(tǒng)、電子門禁系統(tǒng)、電子巡更系統(tǒng)、車輛監(jiān)控及控制系統(tǒng)、數(shù)控設(shè)備監(jiān)控及控制系統(tǒng)。6.5非火災(zāi)現(xiàn)場電子數(shù)據(jù)包括但不限于網(wǎng)絡(luò)服務(wù)運營商、供電企業(yè)、供氣企業(yè)、供水企業(yè)、公共交通企業(yè)、道路運輸企業(yè)、社交軟件運營企業(yè)、社交軟件賬號的數(shù)據(jù)。3DB50/T1560—20247電子數(shù)據(jù)儲存介質(zhì)實物提取7.1關(guān)機狀態(tài)下7.1.1對物證進行唯一性編號。7.1.2對物證的連線及設(shè)備接口一對一進行唯一性編號。7.1.3對現(xiàn)場進行拍照或錄像,包括物證的品牌、唯一性編號等信息。7.1.4獲取設(shè)備密碼。7.1.5拆除物證設(shè)備間連線及電源線。7.1.6封存物證。7.2開機狀態(tài)下7.2.1對物證進行唯一性編號。7.2.2對電子設(shè)備運行情況屏幕進行拍照或錄像。7.2.3對有屏保密碼或系統(tǒng)密碼的設(shè)備應(yīng)現(xiàn)場獲取或使用免安裝和免系統(tǒng)注冊軟件解除密碼,對獲取的密碼應(yīng)驗證并記錄。7.2.4記錄物證的系統(tǒng)時間和北京時間。7.2.5使用在線取證軟件在線提取易失性數(shù)據(jù),保存在有唯一性編號的專用存儲設(shè)備中(必要時可進行一致性檢驗)。7.2.6查看設(shè)備當前正在運行的所有程序,并逐一拍照固定并記錄。7.2.7查看設(shè)備當前網(wǎng)絡(luò)接入情況,記錄接入網(wǎng)絡(luò)的IP地址。7.2.8查看設(shè)備基礎(chǔ)信息,并逐一拍照固定并記錄。7.2.9關(guān)閉物證設(shè)備后,按照7.1.2~7.1.6執(zhí)行。8電子數(shù)據(jù)的提取8.1本地數(shù)據(jù)8.1.1對存有電子數(shù)據(jù)的儲存設(shè)備進行唯一性編號。8.1.2對電子設(shè)備運行情況屏幕進行拍照或錄像。8.1.3對有屏保密碼或系統(tǒng)密碼的設(shè)備應(yīng)現(xiàn)場獲取或使用免安裝和免系統(tǒng)注冊軟件解除密碼,對獲取的密碼應(yīng)驗證并記錄。8.1.4記錄物證的系統(tǒng)時間和北京時間。8.1.5使用在線取證軟件對設(shè)備本地數(shù)據(jù)取證時,應(yīng)依據(jù)GB/T29362進行數(shù)據(jù)搜索,提取目標數(shù)據(jù),保存在有唯一性編號的專用存儲設(shè)備中(必要時可進行一致性檢驗)。8.1.6對保存數(shù)據(jù)信息的專用存儲設(shè)備進行封存。8.2遠程數(shù)據(jù)8.2.1對提取操作現(xiàn)場環(huán)境、使用設(shè)備進行拍照或錄像。8.2.2確定遠程數(shù)據(jù)存儲的位置,記錄遠程存儲設(shè)備的域名、域名對應(yīng)的IP。8.2.3登錄、瀏覽遠程目標設(shè)備、網(wǎng)站賬戶,對操作過程進行截屏、拍照并全程錄像,記錄登錄的用戶名、密碼、路徑等信息。8.2.4依據(jù)GB/T29362進行數(shù)據(jù)搜索,提取遠程目標中的網(wǎng)頁、郵件、文件等數(shù)據(jù)內(nèi)容,保存在有唯一性編號的專用存儲設(shè)備中(必要時可進行一致性檢驗)對操作過程進行錄屏、拍照并全程錄像。4DB50/T1560—20248.2.5記錄遠程提取數(shù)據(jù)的系統(tǒng)時間、北京時間、地點、人員及使用的軟硬件等信息。8.2.6記錄數(shù)據(jù)提取的路徑和保存的路徑。8.2.7對保存數(shù)據(jù)信息的專用存儲設(shè)備進行封存。9非現(xiàn)場數(shù)據(jù)提取9.1接收電子數(shù)據(jù)火災(zāi)調(diào)查過程中,相關(guān)單位和個人主動提供的電子物證,應(yīng)記錄提供單位和個人的基本信息,原始儲存設(shè)備的信息,儲存介質(zhì)的信息,對提供的電子物證進行唯一性編號(必要時可進行一致性檢驗存儲在專用存儲介質(zhì)中進行封存。9.2調(diào)取電子數(shù)據(jù)9.2.1對需要調(diào)取的電子數(shù)據(jù),應(yīng)向被調(diào)取單位和個人明確調(diào)取數(shù)據(jù)的時間、范圍、用途等。9.2.2對調(diào)取的電子數(shù)據(jù)應(yīng)記錄被調(diào)取數(shù)據(jù)單位和個人的基本信息,原始儲存設(shè)備的信息,儲存介質(zhì)的信息,對提供的電子物證進行唯一性編號(必要時可進行一致性檢驗存儲在專用存儲介質(zhì)中進行封存。9.2.3對調(diào)取的紙質(zhì)信息應(yīng)有被調(diào)取單位和個人的簽字或公章證明其來源真實有效性。10對物證及數(shù)據(jù)提取過程的記錄10.1應(yīng)對操作步驟進行詳細記錄,并全程錄像。10.2應(yīng)記錄物證的唯一性編號、物證名稱、物證型號及特征、物證所處的空間位置專用存儲介質(zhì)唯一性編號、數(shù)據(jù)在專用存儲介質(zhì)中的存儲路徑,數(shù)據(jù)在物證設(shè)備中的存儲路徑、提取數(shù)據(jù)使用的軟件和設(shè)備。10.3物證及數(shù)據(jù)提取人員應(yīng)在提取記錄上簽字,注明提取日期,見證人簽字,注明見證日期并捺指印。若使用計算機進行記錄時,需將現(xiàn)場記錄文件打印后再進行簽字。5DB5

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論