2015-11-20实施2015-11-20发布计算机系统用户操作行为检验规范司法鉴定技术规范
网页历史记录恢复SF/Z JD0403003——2015
中华人民共和国司法部司法鉴定管理局发布
目次
前言.........................................................................................................................................................................I 1范围 (1)
2规范性引用文件 (1)
3术语和定义 (1)
4检验步骤 (1)
5检验记录 (3)
6检验结果 (4)
前言
本技术规范旨在确立电子数据司法鉴定实验室进行计算机系统用户操作行为检验应当遵循的技术方法和步骤等方面的要求,确保相关鉴定活动的规范有序。
本技术规范按照GB/T1.1-2009规则起草。
本技术规范由司法部司法鉴定科学技术研究所提出。
本技术规范由司法部司法鉴定管理局归口。
本技术规范由司法部司法鉴定科学技术研究所负责起草。
本技术规范主要起草人:施少培、杨旭、李岩、卢启萌、卞新伟、陈晓红、奚建华、孙维龙、曾锦华。
I
计算机系统用户操作行为检验规范
1范围
本技术规范规定了计算机系统用户操作行为检验的技术方法和步骤。
本技术规范适用于电子数据鉴定中的计算机系统用户操作行为检验。
2规范性引用文件
下列文件对于本技术规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本技术规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本技术规范。
SF/Z JD0400001-2014电子数据司法鉴定通用实施规范
SF/Z JD0402001-2014鉴定实施规范
3术语和定义
SF/Z JD0400001-2014电子数据司法鉴定通用实施规范所确立的以及下列术语和定义适用于本技术规范。
3.1
用户操作行为User Behavior
用户使用计算机系统的特定行为,如登录/登出、接入外部设备、文件操作、打印、软件使用、浏览网页
、即时通讯、收发等。用户操作行为分为正在进行的行为和已经发生的行为。
3.2
操作痕迹Operation Trace
存在于日志、注册表、临时文件、配置文件、数据库等区域,可以全部或部分反映用户操作行为过程的数据。
4检验步骤
4.1了解相关情况
4.1.1了解检材的使用情况,如用户信息、系统状态、可能的操作行为等。
4.1.2如检材有登录口令或加密密钥保护,了解口令或密钥信息,并获得使用授权。
4.2固定保全
4.2.1对检材进行惟一性标识。
4.2.2对检材进行拍照或录像,记录其特征。
4.2.3当检材为开机状态时:
a)对检材屏幕的显示内容进行拍照或录像;
b)必要时提取检材内存数据并计算哈希值;
1
c)必要时对检材存储介质中需要的数据进行备份,并计算哈希值;
d)采用适当工具和方法对检材进行在线分析,并对检材中运行的程序及进程/线程进行分析和保
全。
4.2.4当检材为关机状态时:
a)对具备条件的检材进行完整备份,并进行校验,之后使用备份数据进行检验;
b)对于无法进行完整备份的检材,采用适当的工具和方法启动计算机系统,对需要的数据进行
备份,并计算哈希值;
c)必要时在只读条件下进行开机检验,并做好相关记录。
4.3搜索和恢复
根据检验需要,搜索、恢复保存在检材中的相关文件和数据。
4.4检验和分析
根据检材具体情况,视检验需要对下列全部或部分内容进行检验和分析。
4.4.1登录/登出行为检验
a)分析系统日志、应用程序日志及系统安全日志等日志文件中与用户登录/登出相关的记录;
b)分析注册表中用户键值中的信息,如用户最后一次登录时间、最后一次登录失败时间等;
c)在系统中其它位置查与登录/登出相关的信息,如系统中文件的修改时间、防病毒软件的启
动/关闭记录等。
4.4.2接入外部设备行为检验
a)分析系统驱动安装日志中与设备相关的数据;
b)分析注册表中与设备相关的数据;
c)分析系统中的文件与外部设备中的文件的相似性及复制关系;
d)对于存在自动备份机制的外部设备(如手机),分析备份在计算机系统中的数据。
4.4.3文件操作行为检验
a)分析文件的属性信息;
b)分析文件的元数据信息;
c)分析文件操作形成的临时文件、备份文件、快捷方式等;
d)分析文件在相关软件及系统中的最近打开记录;
e)对于被删除的文件,分析其状态、位置及内容。
4.4.4打印行为检验
a)分析系统中安装的打印机驱动程序;
b)恢复并分析打印临时文件,如SHD、SPL及TMP文件;
c)查打印源文件,针对特定类型的源文件(如Word文档),分析其中的打印时间。
4.4.5软件使用行为检验
a)分析系统中软件文件的属性信息;
b)分析软件运行时生成的配置文件、临时文件及其属性信息;
c)分析软件的日志信息;
2