ICS 13.310 CCS A 92 GA 中华人民共和国公共安全行业标准 GA/T 1071—XXXX 代替GA/T1071—2013 法庭科学电子物证windows操作系统日 志检验技术规范 Forensic sciencesTechnical specifications for Windows operating system log examination 行业标准信息服务平台 XXXX- XX XX 实施 XXXX- XX XX 发布 发布 中华人民共和国公安部 GA/T 1071xxXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规 定起草。 本文件代替GA/T1071一2013《法庭科学电子物证WindoWs操作系统日志检验技术规范》，与 GA/T1071一2013相比，除编辑性修改外，主要技术变化如下： 更改了范围，增加了操作系统类型（见第1章，2013年版的第1章）； 增加了规范性引用文件（见第2章）； 更改了硬件设备（见4.1，2013年版的3.1）； 更改了检验对象，增加了样本（见5.1~5.4，2013年版的4.1~4.4）； 更改哈希值为数据完整性校验值（见5.4.3，2013年版的4.4.3）； 更改了日志检验步骤（见5.4.4~5.4.8，2013年版的4.4.4-~4.4.7）； 更改了检出数据的保存方法及要求（见5.5，2013年版的4.5）； 更改了检验结果表述（见第6章，2013年版的第5章）； 更改了附则（见第7章，2013年版的第6章）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国刑事技术标准化技术委员会电子物证检验分技术委员会（SAC/TC179/SC7）提出 并归口。 本文件起草单位：中国刑事警察学院、公安部物证鉴定中心、公安部网络安全保卫局。 本文件主要起草人：汤艳君、秦玉海、楚川红、郭丽莉、高洪涛、刘奇志、罗文华、吴倩、高 杨。 本文件所代替文件的历次版本发布情况为： 标准信息服务平台 GA/T 1071-2013。 GA/T 1071—XXXx 法庭科学电子物证windows操作系统日志检验技术规范 1范围 本文件规定了法庭科学领域中电子物证Windows操作系统，包括Windows2000、WindowsXP、 Windows 2003、Windows Vista、Windows7、Windows 8、Windows 10和Windows Server 2000/2003/2008/2012/2016等日志检验的术语和定义、仪器设备、操作步骤、检验结果表述及附则。 本文件适用于法庭科学领域中电子物证Windows操作系统日志的检验。 2规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T29360电子物证数据恢复检验规程 GB/T29362电子物证数据搜索检验规程 3术语和定义 GB/T29360、GB/T29362界定的以及下列术语和定义适用于本文件。 3. 1 Windows操作系统日志Windows operating systemlog Windows操作系统所指定对象的操作和其操作结果按时间排列有序的集合。包括应用程序日志、安 全日志和系统日志。 3. 2 应用程序产生的事件记录。 3.3 安全日志securitylog 安全相关的事件记录，包括成功和不成功的登录或退出、系统资源使用等。 3.4 系统日志systemlog Windows操作系统组件产生的事件记录，主要包括驱动程序、系统组件和应用软件的崩溃以及数据 丢失错误等。 4仪器设备 4.1硬件 存储介质、保全备份设备、具有只读接口的电子物证检验工作站、照相录像设备。 GA/T 1071xXXx 4.2软件 Windows操作系统日志检验软件、Windows操作系统提供的事件查看器、数据恢复软件。 5操作步骤 5.1检材及样本编号 对送检的检材（样本）进行唯一性编号。 5.2检材及样本拍照 将送检的检材（样本）加上唯一性编号进行拍照。 5.3检材及样本保全备份 对具备保全条件的检材（样本）进行保全备份。 5.4检验 5.4.1启动杀毒软件对电子物证检验工作站系统进行杀毒。 5.4.2将检材（若已保全，使用保全的存储设备）通过只读方式连接到电子物证检验工作站。 5.4.3计算检材（样本）的数据完整性校验值。 5.4.4按照GB/T29360和GB/T29362对检材进行数据恢复、搜索WindoWs操作系统日志文件。 储路径是%systemroot%lSystem32lconfig，应用程序日志、安全日志和系统日志对应的文件名分别为 AppEvent.evt、SecEvent.evt和 SysEvent.evt。 5.4.6Windows Vista、Windows7、Windows8、Windows10、Windows Server2008/2012/2016操作系 统日志默认存储路径是%systemroot%lSystem32lwinevtlogs，应用程序日志、安全日志和系统日志对应 的文件名分别为Application.evtx、Security.evtx和System.evtx。 5.4.7使用检验工具对日志文件内容进行检验。 5.4.8将检出的日志文件按检验要求筛选后复制到检验专用存储介质中并计算数据完整性校验值。 5.5检验结果保存 将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中，并计算检 出数据的完整性校验值。 6检验结果表述 检验结果表述应符合以下规定： a）检验结果分为检出、未检出、不具备检验条件三种； b) 检验结果应根据检验要求对检材、检验范围、检验所得进行客观、概括、有针对性的描述： c) 结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据介质完整性校验值、保存 检出数据介质编号等必要信息。 7附则 2