DB50-T 1560-2024火災調(diào)查電子物證提取通 用方法

ICS13.220.01CCSC80DB50重 慶 市 地 方 標 準DB50/T1560—2024火災調(diào)查電子物證提取通用方法20242024020120240501重慶市市場監(jiān)督管理局?發(fā)布DB50/T1560DB50/T1560—2024目 次前言 II范圍 1規(guī)范性引用文件 1術語和定義 1一般原則 2現(xiàn)場提取設備 2電子物證的識別 2電子數(shù)據(jù)儲存介質(zhì)實物提取 3電子數(shù)據(jù)的提取 3非現(xiàn)場數(shù)據(jù)提取 4對物證及數(shù)據(jù)提取過程的記錄 4參考文獻 5II前 言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由重慶市消防救援總隊提出、歸口并組織實施。本文件起草單位：重慶市消防救援總隊。IIII火災調(diào)查電子物證提取通用方法范圍本文件規(guī)定了火災調(diào)查中電子物證數(shù)據(jù)識別、提取、固定和保存的通用方法。本文件適用于火災調(diào)查中電子物證提取工作。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T29362電子物證數(shù)據(jù)搜索檢驗規(guī)程GA/T1564—2019法庭科學-現(xiàn)場勘查電子物證提取技術規(guī)范術語和定義GB/T29362—2012、GA/T1564—2019界定的以及下列術語和定義適用于本文件。3.13.1電子物證electronicevidence被作為證據(jù)使用的、能夠證明案件相關事實的電子數(shù)據(jù)。3.2電子物證現(xiàn)場提取scenecollectionofelectronicevidence對案（事）件現(xiàn)場及其場所電子物證發(fā)現(xiàn)、固定、收集的過程。[來源:GA/T1564—2019，3.1]3.3只讀設備read-onlydevice對于接入的存儲介質(zhì)具有寫保護功能的設備。[來源:GA/T1564—2019，3.7]3.4保全備份safebackup對原始數(shù)據(jù)進行完整、精確、無損的備份。[來源:GB/T29362—2012，2.4]3.5一致性檢驗identifyfile1DB50/T1560—2024對文件哈希值進行計算、記錄、比對的操作。一般原則對火災調(diào)查所涉及的有關電子數(shù)據(jù)或存儲介質(zhì)，提取時應及時、全面、客觀的記錄，記錄應符合10對電子數(shù)據(jù)的提取應優(yōu)先考慮儲存介質(zhì)實物提取。對不能采取實物提取的電子數(shù)據(jù)，應采取保全備份措施。對提取的電子物證應采取避光、避塵、防磁、防潮、防靜電等措施妥善保存。22現(xiàn)場提取設備硬件包括但不限于照錄像設備、電子數(shù)據(jù)取證設備、計算機、只讀設備、存儲設備、數(shù)據(jù)傳輸線。軟件電子物證的識別儲存介質(zhì)及數(shù)據(jù)包括但不限于計算機硬盤、移動硬盤、優(yōu)盤、儲存卡、記憶棒、光盤、磁盤、云存儲數(shù)據(jù)。終端設備視頻監(jiān)控設備控制設備包括但不限于火災自動報警系統(tǒng)、消防水泵自動巡檢設備、電氣火災監(jiān)控系統(tǒng)、防火門監(jiān)控系統(tǒng)、非火災現(xiàn)場電子數(shù)據(jù)包括但不限于網(wǎng)絡服務運營商、供電企業(yè)、供氣企業(yè)、供水企業(yè)、公共交通企業(yè)、道路運輸企業(yè)、社交軟件運營企業(yè)、社交軟件賬號的數(shù)據(jù)。2DB50/T1560—2024電子數(shù)據(jù)儲存介質(zhì)實物提取關機狀態(tài)下對物證進行唯一性編號。對物證的連線及設備接口一對一進行唯一性編號。對現(xiàn)場進行拍照或錄像，包括物證的品牌、唯一性編號等信息。獲取設備密碼。拆除物證設備間連線及電源線。封存物證。開機狀態(tài)下對物證進行唯一性編號。對電子設備運行情況屏幕進行拍照或錄像。對有屏保密碼或系統(tǒng)密碼的設備應現(xiàn)場獲取或使用免安裝和免系統(tǒng)注冊軟件解除密碼，對獲取的密碼應驗證并記錄。記錄物證的系統(tǒng)時間和北京時間。使用在線取證軟件在線提取易失性數(shù)據(jù)，保存在有唯一性編號的專用存儲設備中（必要時可進行一致性檢驗）。查看設備當前正在運行的所有程序，并逐一拍照固定并記錄。IP查看設備基礎信息，并逐一拍照固定并記錄。7.1.2～7.1.6電子數(shù)據(jù)的提取本地數(shù)據(jù)對存有電子數(shù)據(jù)的儲存設備進行唯一性編號。對電子設備運行情況屏幕進行拍照或錄像。對有屏保密碼或系統(tǒng)密碼的設備應現(xiàn)場獲取或使用免安裝和免系統(tǒng)注冊軟件解除密碼，對獲取的密碼應驗證并記錄。記錄物證的系統(tǒng)時間和北京時間。GB/T29362對保存數(shù)據(jù)信息的專用存儲設備進行封存。遠程數(shù)據(jù)對提取操作現(xiàn)場環(huán)境、使用設備進行拍照或錄像。IP。登錄、瀏覽遠程目標設備、網(wǎng)站賬戶,對操作過程進行截屏、拍照并全程錄像,記錄登錄的用戶名、密碼、路徑等信息。依據(jù)GB/T293623DB50/T1560—2024記錄遠程提取數(shù)據(jù)的系統(tǒng)時間、北京時間、地點、人員及使用的軟硬件等信息。記錄數(shù)據(jù)提取的路徑和保存的路徑。對保存數(shù)據(jù)信息的專用存儲設備進行封存。非現(xiàn)場數(shù)據(jù)提取接收電子數(shù)據(jù)調(diào)取電子數(shù)據(jù)對需要調(diào)取的電子數(shù)據(jù)，應向被調(diào)取單位和個人明確調(diào)取數(shù)據(jù)的時間、范圍、用途等。對調(diào)取的電子數(shù)據(jù)應記錄被調(diào)取數(shù)據(jù)單位和個人的基本信息，原始儲存設備的信息，儲存介質(zhì)（必要時可進行一致性檢驗對調(diào)取的紙質(zhì)信息應有被調(diào)取單位和個人的簽字或公章證明其來源真實有效性。對物證及數(shù)據(jù)提取過程的記錄應對操作步驟進行詳細記錄，并全程錄像。應對操作步驟進行詳細記錄，并全程錄像。若使用計算機進行記錄時，需將現(xiàn)場記錄文件打印后再進行簽字。