法庭科学电子物证Windows操作系统日志检验技术规范 GA/T 1071—2021（20220501）

vlambda
2022-03-21

法庭科学电子物证Windows操作系统日志检验技术规范 GA/T 1071—2021（20220501）

相关推荐阅读

1、

2、

3、

4、

5、

法庭科学电子物证Windows操作系统日志检验技术规范 GA/T 1071—2021（20220501）

《法庭科学电子物证Windows操作系统日志检验技术规范》编号GA/T 1071，于2021年10月14日经中华人民共和国公安部发布，自2022年5月1日起施行。

1范围

本文件规定了法庭科学领域中电子物证Windows操作系统，包括Windows 2000，Windows XP、Windows 2003、Windows VistaWindows 7，Windows 8，Windows 10 和Windows Server 2000/2003/2008/2012/2016等日志检验的术语和定义、仪器设备、操作步骤、检验结果表述及附则。

本文件适用于法庭科学领域中电子物证Windows操作系统日志的检验。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

3术语和定义

GB/T 29360、GB/T 29362界定的以及下列术语和定义适用于本文件。

3.1 Windows 操作系统日志 Windows operat ing system log

Windows操作系统所指定对象的操作和其操作结果按时间排列有序的集合。包括应用程序日志、安全日志和系统日志。

3.2应用程序日志 appIication log

应用程序产生的事件记录。

3.3安全日志 security log

安全相关的事件记录，包括成功和不成功的登录或退出、系统资源使用等。

3.4系统日志 system log Windows

操作系统组件产生的事件记录，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。

4仪器设备

4.1 硬件

存储介质、保全备份设备、具有只读接口的电子物证检验工作站、照相录像设备。

4.2 软件

Windows操作系统日志检验软件、Windows操作系统提供的事件查看器、数据恢复软件。

5操作步骤

5.1 检材及样本编号

对送检的检材（样本）进行唯一性编号。

5.2 检材及样本拍照

将送检的检材（样本）加上唯一性编号进行拍照。

5.3 检材及样本保全备份

对具备保全条件的检材（样本）进行保全备份。

5.4 检验

5.4.1 启动杀毒软件对电子物证检验工作站系统进行杀毒。

5.4.2 将检材（若已保全，使用保全的存储设备）通过只读方式连接到电子物证检验工作站。

5.4.3 计算检材（样本）的数据完整性校验值。

5.4.4 按照GB/T 29360和GB/T 29362对检材进行数据恢复、搜索Windows操作系统日志文件。

5.4.5 Windows 2000，Windows XP，Windows 2003，Windows Server 2000/2003操作系统日志默认存储路径是%systemroot%\System32\config，应用程序日志、安全日志和系统日志对应的文件名分别为AppEvent.evt、SecEvent.evt和SysEvent.evt。

5.4.6 Windows Vista，Windows 7，Windows 8，Windows 10，Windows Server 2008/2012/2016操作系统日志默认存储路径是%systemroot%\System32\winevt\logs，应用程序日志、安全日志和系统日志对应的文件名分别为Application.evtx、Security.evtx和System.evtx。

5.4.7 使用检验工具对日志文件内容进行检验。

5.4.8 将检出的日志文件按检验要求筛选后复制到检验专用存储介质中并计算数据完整性校验值。

5.5 检验结果保存

将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中，并计算检出数据的完整性校验值。

6检验结果表述

检验结果表述应符合以下规定：

a）检验结果分为检出、未检出、不具备检验条件三种；

b）检验结果应根据检验要求对检材、检验范围、检验所得进行客观、概括、有针对性的描述；

c）结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据介质完整性校验值、保存检出数据介质编号等必要信息。

7附则

7.1 在检验过程中应做检验记录。

7.2 在检验过程中，不应改变检材中的数据。

7.3 应对送检检材做好防水、防磁、防静电和防震保护。

律师简介

法庭科学电子物证Windows操作系统日志检验技术规范 GA/T 1071—2021（20220501）

戴卫祥，男，高级律师，辽宁东亚律师事务所律师、副主任，工学、法学学士。现被聘为辽宁省省级人民监督员、大连仲裁委员会（大连国际仲裁院）仲裁员、大连银行股份有限公司法律顾问。2017年5月至2020年5月担任大连市司法局法律顾问；2019年8月被入选大连市委市政府法律顾问名单；2020年被辽宁省律师协会评定为2018—2019年度“辽宁省优秀律师”，被大连市律师协会评定为2019年度“优秀律师”。

2001年从事法律工作，具有多年律师执业经验及4年工程建设现场管理经验，先后担任恒大集团大连公司、辽宁公司监察室主任。执业以来，代理过建设工程鉴定、刑事鉴定、机动车交通事故鉴定、医疗损害及医疗产品质量鉴定、消防工程鉴定、环境损害鉴定等各类司法鉴定案件，积累了丰富的司法鉴定办案经验，并成功代理过多起通过司法鉴定确定无罪的刑事、司法鉴定行政确认等案件，在司法鉴定专业有深入、系统的研究和实践。