DB50-T 1560-2024 火灾调查 电子物证提取通.用方法

ICS13.220.01CCSC80502024-02-01发布IDB50/T1560—2024前言 2规范性引用文件 3术语和定义 4一般原则 25现场提取设备 26电子物证的识别 27电子数据储存介质实物提取 38电子数据的提取 39非现场数据提取 410对物证及数据提取过程的记录 4参考文献 5DB50/T1560—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由重庆市消防救援总队提出、归口并组织实施。本文件起草单位：重庆市消防救援总队本文件主要起草人：李俊东、刘梅梅、彭希、吴硕、罗启才、陈承、蒙明朝、陈征宇、俞峰、高博、贾存彬、罗郑桥、陈渊、何炯、莫旭、向杰然、许果、徐舟、刘冬言、黄佳茂、沈振冰、杨洲1DB50/T1560—2024火灾调查电子物证提取通用方法本文件规定了火灾调查中电子物证数据识别、提取、固定和保存的通用方法。本文件适用于火灾调查中电子物证提取工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T29362电子物证数据搜索检验规程GA/T1564-2019法庭科学-现场勘查电子物证提取技术规范3术语和定义GB/T29362-2012、GA/T1564-2019界定的以及下列术语和定义适用于本文件。3.1电子物证electronicevidence被作为证据使用的、能够证明案件相关事实的电子数据。3.2电子物证现场提取scenecollectionofelectronicevidence对案（事）件现场及其场所电子物证发现、固定、收集的过程。[来源:GA/T1564-2019，3.1]3.3只读设备read-onlydevice对于接入的存储介质具有写保护功能的设备。[来源:GA/T1564-2019，3.7]3.4保全备份safebackup对原始数据进行完整、精确、无损的备份。[来源:GB/T29362-2012，2.4]3.5一致性检验identifyfile2DB50/T1560—2024对文件哈希值进行计算、记录、比对的操作。4一般原则4.1对火灾调查所涉及的有关电子数据或存储介质，提取时应及时、全面、客观的记录，记录应符合第10章的规定。4.2对电子数据的提取应优先考虑储存介质实物提取。4.3对不能采取实物提取的电子数据，应采取保全备份措施。4.4对提取的电子物证应采取避光、避尘、防磁、防潮、防静电等措施妥善保存。4.5在电子物证提取过程中，应有不少于2名调查人员参与，并邀请2名见证人。5现场提取设备5.1硬件包括但不限于照录像设备、电子数据取证设备、计算机、只读设备、存储设备、数据传输线。5.2软件包括但不限于操作系统、介质取证软件、手机取证软件、路由器取证软件、汽车数据取证软件、电子数据完整性校验软件、镜像制作软件、免安装软件和免系统注册软件。6电子物证的识别6.1储存介质及数据包括但不限于计算机硬盘、移动硬盘、优盘、储存卡、记忆棒、光盘、磁盘、云存储数据。6.2终端设备包括但不限于手机、平板电脑、游戏机、音乐播放器、电子阅读器、智能穿戴设备、智能控制终端、调制解调器、带有网络功能的家用电器。6.3视频监控设备包括但不限于硬盘式监控主机、具有本地储存功能的单点式摄像头、网络摄像头、行车记录仪、天网监控终端、市政监控终端、高速公路监控终端、森林防火监控终端。6.4控制设备包括但不限于火灾自动报警系统、消防水泵自动巡检设备、电气火灾监控系统、防火门监控系统、消防电源监控系统、联网型火灾报警设备、化工装置紧急停车系统、集散控制系统、电子门禁系统、电子巡更系统、车辆监控及控制系统、数控设备监控及控制系统。6.5非火灾现场电子数据包括但不限于网络服务运营商、供电企业、供气企业、供水企业、公共交通企业、道路运输企业、社交软件运营企业、社交软件账号的数据。3DB50/T1560—20247电子数据储存介质实物提取7.1关机状态下7.1.1对物证进行唯一性编号。7.1.2对物证的连线及设备接口一对一进行唯一性编号。7.1.3对现场进行拍照或录像，包括物证的品牌、唯一性编号等信息。7.1.4获取设备密码。7.1.5拆除物证设备间连线及电源线。7.1.6封存物证。7.2开机状态下7.2.1对物证进行唯一性编号。7.2.2对电子设备运行情况屏幕进行拍照或录像。7.2.3对有屏保密码或系统密码的设备应现场获取或使用免安装和免系统注册软件解除密码，对获取的密码应验证并记录。7.2.4记录物证的系统时间和北京时间。7.2.5使用在线取证软件在线提取易失性数据，保存在有唯一性编号的专用存储设备中（必要时可进行一致性检验）。7.2.6查看设备当前正在运行的所有程序，并逐一拍照固定并记录。7.2.7查看设备当前网络接入情况，记录接入网络的IP地址。7.2.8查看设备基础信息，并逐一拍照固定并记录。7.2.9关闭物证设备后，按照7.1.2~7.1.6执行。8电子数据的提取8.1本地数据8.1.1对存有电子数据的储存设备进行唯一性编号。8.1.2对电子设备运行情况屏幕进行拍照或录像。8.1.3对有屏保密码或系统密码的设备应现场获取或使用免安装和免系统注册软件解除密码，对获取的密码应验证并记录。8.1.4记录物证的系统时间和北京时间。8.1.5使用在线取证软件对设备本地数据取证时，应依据GB/T29362进行数据搜索，提取目标数据，保存在有唯一性编号的专用存储设备中（必要时可进行一致性检验）。8.1.6对保存数据信息的专用存储设备进行封存。8.2远程数据8.2.1对提取操作现场环境、使用设备进行拍照或录像。8.2.2确定远程数据存储的位置,记录远程存储设备的域名、域名对应的IP。8.2.3登录、浏览远程目标设备、网站账户,对操作过程进行截屏、拍照并全程录像,记录登录的用户名、密码、路径等信息。8.2.4依据GB/T29362进行数据搜索,提取远程目标中的网页、邮件、文件等数据内容,保存在有唯一性编号的专用存储设备中（必要时可进行一致性检验）对操作过程进行录屏、拍照并全程录像。4DB50/T1560—20248.2.5记录远程提取数据的系统时间、北京时间、地点、人员及使用的软硬件等信息。8.2.6记录数据提取的路径和保存的路径。8.2.7对保存数据信息的专用存储设备进行封存。9非现场数据提取9.1接收电子数据火灾调查过程中，相关单位和个人主动提供的电子物证，应记录提供单位和个人的基本信息，原始储存设备的信息，储存介质的信息，对提供的电子物证进行唯一性编号（必要时可进行一致性检验存储在专用存储介质中进行封存。9.2调取电子数据9.2.1对需要调取的电子数据，应向被调取单位和个人明确调取数据的时间、范围、用途等。9.2.2对调取的电子数据应记录被调取数据单位和个人的基本信息，原始储存设备的信息，储存介质的信息，对提供的电子物证进行唯一性编号（必要时可进行一致性检验存储在专用存储介质中进行封存。9.2.3对调取的纸质信息应有被调取单位和个人的签字或公章证明其来源真实有效性。10对物证及数据提取过程的记录10.1应对操作步骤进行详细记录，并全程录像。10.2应记录物证的唯一性编号、物证名称、物证型号及特征、物证所处的空间位置专用存储介质唯一性编号、数据在专用存储介质中的存储路径，数据在物证设备中的存储路径、提取数据使用的软件和设备。10.3物证及数据提取人员应在提取记录上签字，注明提取日期，见证人签字，注明见证日期并捺指印。若使用计算机进行记录时，需将现场记录文件打印后再进行签字。5DB5