2020年1月1日放假司法鉴定技术规范
SF/Z JD0400002——2015
2015-11-20发布中华人民共和国司法部司法鉴定管理局发布
目次
前言.........................................................................................................................................................................I 1范围 (1)
2规范性引用文件 (1)
3术语和定义 (1)
4原则 (1)
5步骤 (1)
6记录 (3)
7注意事项 (3)
前言银行入职体检项目
本技术规范按照GB/T1.1-2009给出的规则起草。
本技术规范由司法部司法鉴定科学技术研究所提出。
本技术规范由司法部司法鉴定管理局归口。
本技术规范起草单位:上海辰星电子数据司法鉴定中心。
本技术规范主要起草人:雷云婷、崔宇寅、张颖、郭弘、黄道丽。本技术规范为首次发布。
电子数据证据现场获取通用规范
1范围
本技术规范规定了电子数据鉴定中电子数据证据现场识别、收集、获取和保存的通用方法。
本技术规范适用于电子数据鉴定中电子数据证据现场识别、收集、获取和保存。
2规范性引用文件
下列文件对于本技术规范的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本技术规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本技术规范。
SF/Z JD0100000-2012电子数据司法鉴定通用实施规范
3术语和定义
SF/Z JD0100000-2012电子数据司法鉴定通用实施规范中界定的以及下列术语和定义适用于本技术规范。
3.1
随机存取内存转储Random Access Memory dump(RAM dump)
将随机存取内存(RAM)中的部分或者全部数据转存到某种类型的存储介质中。
3.2
逻辑文件Logical files
用户所观察到的文件组织形式,是可以直接处理的数据及结构。
3.3
潜在电子证据Potential Digital Evidence
所有与案件相关的电子数据证据。
3.4
易失性数据Volatile Data
容易改变或消失的数据,如内存数据。
4原则
SF/Z JD0100000-2012电子数据司法鉴定通用实施规范所确立的原则适用于本技术规范。
5步骤
5.1制定方案
在进行电子数据证据现场获取之前,需分析案情并根据具体情况制定详细的方案,包括:
a)明确现场获取的目的和范围;
b)明确参加现场获取的人员,需明确分工,落实责任;
c)明确进行现场获取需携带的移动仪器设备;
d)明确现场获取采用的方法和步骤;
e)明确现场获取的顺序;
f)明确现场获取操作可能造成的影响。
5.2记录现场
现场取证人员应在到达现场后,立即对现场状况通过拍照或录像等的方式进行记录并予以编号保存,以便需要时可以进行验证或重建系统。
5.3现场静态获取
对于已经关闭的系统,在法律允许的范围内并在获得授权的情况下,应对相关电子设备和存储介质进行获取(封存),方法如下:
a)采用的封存方法应当保证在不解除封存状态的情况下,无法使用被封存的存储介质和启动被封
存电子设备;
b)封存前后应当拍摄或者录像被封存电子设备和存储介质并进行记录,照片或者录像应当从各个
角度反映设备封存前后的状况,清晰反映封口或张贴封条处的状况;
c)对系统附带的电子设备和存储介质也应实施封存。
5.4现场动态获取
对于运行中的系统,应进行电子数据证据的动态获取,其中又具体分为易丢失数据的提取和固定、在
线获取以及电子设备和存储介质的封存三个部分。
5.4.1易丢失数据的提取和固定
易丢失数据的提取和固定应遵照以下步骤:
a)固定保全内存数据,特别是以下数据:
1)打开并未保存的文档;
2)最近的聊天记录;
安徽省考公告3)用户名及密码;
4)其他取证活动相关的文件信息。
b)获取系统中相关电子数据证据的信息,包括:
1)存储介质的状态,确认是否存在异常状况等;
2)正在运行的进程;
3)操作系统信息,包括打开的文件,使用的网络端口,网络连接(其中包括IP信息,防火
墙配置等);
4)尚未存储的数据;
2021年陕西省考公务员时间5)共享的网络驱动和文件夹;
6)连接的网络用户;中国大学生教育考试网
7)其他取证活动相关的电子数据信息。
c)确保证据数据独立于电子数据存储介质的软硬件,逻辑备份证据数据以及属性、时间等相关信
息。
5.4.2在线获取
在线获取应在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据,包括:
a)打开的聊天工具中的聊天记录;
发布评论