ICS 13.310 CCS A 92 GA 中华人民共和国公共安全行业标准 GA/T 1070XXXX 代替GA/T1070—2013 法庭科学计算机开关机时间检验技术 规范 Forensic sciences-Technical specificationsfor computerswitchtime examination 行业标准信息服务平台 XXXX- XX XX 实施 XXXX- XX XX 发布 发布 中华人民共和国公安部 GA/T 1070XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替GA/T1070一2013《法庭科学计算机开关机时间检验技术规范》，与GA/T1070一2013相 比，除编辑性修改外，主要技术变化如下： 更改了范围（见第1章，2013年版的第1章）； -增加了规范性引用文件（见第2章）； 更改了检验方法（见5.6，2013年版的4.6、4.7）； 更改了检验结果的表述（见第7章，2013年版的第5章）； 增加了对于时间差的记录要求（见8.1）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国刑事技术标准化技术委员会电子物证分技术委员会（SAC/TC179/SC7）提出并归口。 本文件起草单位：中国人民公安大学、公安部物证鉴定中心、公安部网络安全保卫局、山西省公安 厅、吉林省公安厅物证鉴定中心、福建中证司法鉴定中心。 本文件主要起草人：丁锰、邢桂东、郭丽莉、梁宝生、陈维娜、沈尧、郭威、胡壮、许晓宇、万江 山。 本文件所代替文件的历次版本发布情况为： GA/T1070—2013。 行业标准信息服务平台 GA/T 1070—XXXX 法庭科学计算机开关机时间检验技术规范 1范围 本文件规定了法庭科学领域中计算机开关机时间检验的术语和定义、检验工具、操作步骤、检验 检验结果保存和检验结果的表述，适用的计算机操作系统为Windows2000、WindowsXP、Windows 2003、WindowsVista、Windows7、Windows8、Windows8.1、Windows10。 本文件适用于法庭科学领域中的计算机开关机时间检验。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T29360电子物证数据恢复检验规程 GB/T29362电子物证数据搜索检验规程 3术语和定义 下列术语和定义适用于本文件。 3. 1 计算机开机时间 time of switching on the computer 计算机开机后操作系统启动完毕时的系统时间。 3. 2 计算机关机时间time of switchingoffthe computer 准信息服 计算机关机退出操作系统时的系统时间。 4检验工具 4.1硬件 照录像设备、存储介质保全备份设备、具有只读接口的电子物证检验工作站（或只读设备）。 4.2软件 具有解析Windows系统日志功能、检验Windows系统开关机时间功能等检验软件。 5操作步骤 5.1检材及样本编号 1 GA/T1070—XXXX 对送检的检材及样本进行唯一编号。 5.2检材及样本拍照 对送检的检材及样本拍照。 5.3检验工作站杀毒 启动杀毒软件对电子物证检验工作站进行杀毒。 5.4检材及样本保全 对具备保全条件的检材及样本进行保全备份，并计算检材及样本数据完整性校验值。 5.5检材连接方法 将检材及样本（若已保全备份，应使用备份）通过只读方式连接到电子物证检验工作站。 5.6检验 5.6.1数据检验 使用具有解析Windows系统日志功能的软件工具解析查看“SysEvent.evt”或“System.evtx”文件，查 找并导出以下时间信息： a）来源为Eventlog、事件ID为6005的事件日志服务启动时间信息； b）来源为Eventlog、事件ID为6006的事件日志服务停止时间信息； c）来源为Eventlog、事件ID为6008的系统意外关闭时间信息； d）来源为Eventlog、事件ID为6013的系统启动时长信息； e）来源为Kernel-General、事件ID为12的操作系统启动时间信息； f）来源为Kernel-General、事件ID为13的操作系统关闭时间信息； g）来源为Kernel-Power、事件ID为41的操作系统在非正常关机情况下启动时间信息； h）来源为Kernel-Power、事件ID为42的操作系统进入睡眠状态时间信息； i）来源为Kernel-Power、事件ID为107的操作系统从睡眠状态恢复时间信息： i）来源为Power-Troubleshooter、事件ID为1的操作系统从低功耗状态恢复时间信息。 5.6.1.2使用具有Windows系统开关机时间检验功能的软件工具进行检验，导出检材中检出的开关机 时间信息。 5.6.2数据分析 综合分析检出的时间信息是否存在矛盾或错误，判断计算机开关机时间 6检验结果保存 将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中，并计算 检出数据的完整性校验值。 7检验结果的表述 检验结果表述应符合以下规定： a）检验结果分为检出、未检出、不具备检验条件三种； 2