GA/T 1071-2021法庭科学电子物证Windows操作系统日志检验技术规范

ICS13310

CCSA.92

中华人民共和国公共安全行业标准

GA/T1071—2021

代替GA/T1071—2013

法庭科学电子物证Windows操作系统日志

检验技术规范

Forensicsciences—TechnicalspecificationsforWindows

operatingsystemlogexamination

2021-10-14发布2022-05-01实施

中华人民共和国公安部发布

GA/T1071—2021

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替法庭科学电子物证操作系统日志检验技术规范与

GA/T1071—2013《Windows》,

相比除编辑性修改外主要技术变化如下

GA/T1071—2013,,:

更改了范围增加了操作系统类型见第章年版的第章

———,(1,20131);

增加了规范性引用文件见第章

———(2);

更改了硬件设备见年版的

———(4.1,20133.1);

更改了软件设备将年版的和内容重新整合为见年版的

———,20133.2.13.2.24.2(4.2,20133.2);

更改了检验对象增加了样本见年版的

———,(5.1~5.4,20134.1~4.4);

更改哈希值为数据完整性校验值见年版的

———(5.4.3,20134.4.3);

更改了日志检验步骤见年版的

———(5.4.4~5.4.8,20134.4.4~4.4.7);

更改了检出数据的保存方法及要求见年版的

———(5.5,20134.5);

更改了检验结果表述见第章年版的第章

———(6,20135);

更改了附则见第章年版的第章

———(7,20136)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国刑事技术标准化技术委员会电子物证检验分技术委员会提出

(SAC/TC179/SC7)

并归口

。

本文件起草单位中国刑事警察学院公安部物证鉴定中心公安部网络安全保卫局

:、、。

本文件主要起草人汤艳君秦玉海楚川红郭丽莉高洪涛刘奇志罗文华吴倩高杨

:、、、、、、、、。

本文件所代替文件的历次版本发布情况为

:

———GA/T1071—2013。

Ⅰ

GA/T1071—2021

法庭科学电子物证Windows操作系统日志

检验技术规范

1范围

本文件规定了法庭科学领域中电子物证操作系统包括

Windows,Windows2000、WindowsXP、

和

Windows2003、WindowsVista、Windows7、Windows8、Windows10WindowsServer2000/2003/

等日志检验的术语和定义仪器设备操作步骤检验结果表述及附则

2008/2012/2016、、、。

本文件适用于法庭科学领域中电子物证操作系统日志的检验

Windows。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

电子物证数据恢复检验规程

GB/T29360

电子物证数据搜索检验规程

GB/T29362

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T29360、GB/T29362。

31

.

系统日志systemlog

操作系统组件产生的事件记录主要包括驱动程序系统组件和应用软件的崩溃以及数

Windows,、

据丢失错误等

。

32

.

Windows操作系统日志Windowsoperatingsystemlog

操作系统所指定对象的操作和其操作结果按时间排列有序的集合包括应用程序日志

Windows。、

安全日志和系统日志

。

33

.

应用程序日志applicationlog

应用程序产生的事件记录

。

34

.

安全日志securitylog

安全相关的事件记录包括成功和不成功的登录或退出系统资源使用等

,