\] ICS 13.310 CCS A 92 中 华人民 共和国 公共安 全行业 标准 GA/T 1071—× × × × 代替GA/T 1071－2013 法庭科学 电子物证 Windows操作系统 日 志检验技术规范 Forensic sciences —Technical specifications for Windows operating system log examination 中华人民共和国公安部 发 布 GA ×××× - ××- ×× 发布 ×××× - ××- ×× 实施 GA/T 1071—× × × × I 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规 定起草。 本文件代替 GA/T 1071－2013《法庭科学 电子物证 Windows 操作系统日志检验技术规范》， 与 GA/T 1071－2013相比，除编辑性修改外， 主要技术变化如下： ——更改了范围，增加了操作系统类型（见第 1章，2013年版的第 1章）； ——增加了规范性引用文件（见第 2章）； ——更改了硬件设备（见 4.1，2013年版的 3.1）； ——更改了软件设备，将 2013年版的 3.2.1和3.2.2内容重新整合为 4.2（见 4.2，2013年版的 3.2）； ——更改了检验对象 ，增加了样本（见 5.1~5.4，2013年版的 4.1~4.4）； ——更改哈希值为数据完整性校验值（见 5.4.3，2013年版的 4.4.3）； ——更改了日志检验步骤（见 5.4.4~5.4.8，2013年版的 4.4.4 -~4.4.7）； ——更改了检出数据的保存方法及要求 （见 5.5，2013年版的 4.5）； ——更改了检验结果表述（见第 6章，2013年版的第 5章）； ——更改了附则（见第 7章，2013年版的第 6章）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国刑事技术标准化技术委员会电子物证检验分技术委员会（ SAC/TC179/SC7 ）提出 并归口。 本文件起草单位：中国刑事警察学院、公安部物证鉴定中心、公安部网络安全保卫局。 本文件主要起草人：汤艳君、秦玉海、楚川红、郭丽莉、高洪涛、刘奇志、罗文华、 吴倩、高 杨。 本文件所代替文件的历次版本发布情况为： —— GA/T 1071－2013。 GA/T 1071—× × × × 1 法庭科学 电子物证 Windows 操作系统日志检验技术规范 1 范围 本文件规定了法庭科学领域中电子物证 Windows 操作系统，包括 Windows 2000 、Windows XP 、 Windows 2003 、Windows Vista 、Windows 7 、Windows 8、Windows 10 和Windows Server 2000/ 2003/2008/2012/2016 等日志检验的 术语和定义、仪器设备、操作步骤、检验结果表述及附则 。 本文件适用于法庭科学领域 中电子物证 Windows 操作系统日志 的检验。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必 不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 29360 电子物证数据恢复检验规程 GB/T 29362 电子物证数据搜索检验规程 3 术语和定义 GB/T 29360 、GB/T 29362 界定的以及 下列术语和定义适用于本文件。 3.1 Windows操作系统日志 Windows operating system log Windows 操作系统所指定对象的操作和其操作结果按时间 排列有序的集合。包括 应用程序日志 、安 全日志和系统日志 。 3.2 应用程序日志 application log 应用程序产生的事件 记录。 3.3 安全日志 security log 安全相关 的事件记录，包括成功和不成功的登录或退出、系统资源使用等 。 3.4 系统日志 system log Windows 操作系统组件产生的事件 记录，主要包括驱动程序、系统组件和应用软件的崩溃以及数据 丢失错误等 。 4 仪器设备 4.1 硬件 存储介质、保全备份设备、具有只读接口的电子物证检验工作站 、照相录像设备。 GA/T 1071—× × × × 2 4.2 软件 Windows 操作系统 日志检验软件、Windows 操作系统提供的事件查看器 、数据恢复软件 。 5 操作步骤 5.1 检材及样本编号 对送检的检材 （样本） 进行唯一性编号。 5.2 检材及样本拍照 将送检的检材 （样本） 加上唯一性编号进行拍照。 5.3 检材及样本保全备份 对具备保全条件的检材 （样本） 进行保全备份。 5.4 检验 5.4.1 启动杀毒软件对电子物证检验工作站系统进行杀毒。 5.4.2 将检材（若已保全，使用保全的存储设备）通过只读方式连接到电子物证检验工作站。 5.4.3 计算检材 （样本） 的数据完整性校验 值。 5.4.4 按照 GB/T 29360 和GB/T 2936 2对检材进行数据恢复 、搜索 Windows 操作系统 日志文件。 5.4.5 Windows 2000 、Windows X P、Windows 2003 、Windows Server 2000 /2003操作系统日志 默认存 储路径是 %systemroot% \System32 \config，应用程序日志、安全日志和系统日志对应的文件名分别为 AppEvent.evt 、SecEvent.evt 和SysEvent.evt 。 5.4.6 Windows Vista 、Windows 7、Windows 8、Windows 10、Windows Server 2008 /2012 /2016操作系 统日志默认存储路径是 %systemroot% \System32 \winevt \logs，应用程序日志、安全日志 和系统日志对应 的文件名分别为 Application.evtx 、Security.evtx 和System.evtx 。 5.4.7 使用检验工具对日志文件内容进行检验。 5.4.8 将检出的日志文件 按检验要求筛选后复制到检验专用存储介质中 并计算数据完整性校验值 。 5.5 检验结果保存 将检出数据采用封盘 刻录方式刻录 在不可擦写的空白光盘上 或者保存在专用存储介质中 ， 并计算检 出数据的完整性校验值 。 6 检验结果表述 检验结果表述应符合以下规定： a) 检验结果分为检出、未检出、不具备检验条件三种； b) 检验结果应根据 检验要求对 检材、检验范围、检验所得进行客观、概括、有针对性的描述； c) 结果表述应包含检材编号、检出情况、检出数据 文件或保存检出数据介质 完整性校验值 、保存 检出数据介质编号等必要信息。 7 附则 GA/T 1071—× × × × 3 7.1 在检验过程中应做检验记录。 7.2 在检验过程中，不应改变 检材中的数据。 7.3 应对送检 检材做好防水、防磁、防静电和防震保护。