2023年7月27日发(作者：)

GAT756-2021《法庭科学电⼦数据收集提取技术规范》新旧对照⽹安杂谈整理，转载请注明来源GA/T 756-2021《法庭科学电⼦数据收集提取技术规范》将于2022年5⽉1⽇实施，并代替GA/T 756－2008《数字化设备证据数据发现提取固定⽅法》。GA/T 756-2021规定了法庭科学领域中电⼦数据收集提取的术语和定义、通⽤要求、收集提取步骤、收集提取记录、结果表述，适⽤于法庭科学领域中电⼦数据的收集提取。GA/T 756-2021与GA/T 756－2008相⽐，除编辑性修改外，主要技术变化如下：⼀、更改了范围（见第1章，2008年版的第1章）；GA/T 756-2021GA/T 756-20131 范围本标准规定了从数字化设备发现提取固定证据数据，并保证证据数据原始性和证据数据完整性的⽅法。本标准适⽤于在电⼦数据检验鉴定⼯作中，从本地数字化设备或远程数字化设备发现提取固定证据数据。1 范围本⽂件规定了法庭科学领域中电⼦数据收集提取的术语和定义、通⽤要求、收集提取步骤、收集提取记录、结果表述。本⽂件适⽤于法庭科学领域中电⼦数据的收集提取。⼆、更改了规范性引⽤⽂件（见第2章，2008年版的第2章）；GA/T 756-20212 规范性引⽤⽂件下列⽂件中的内容通过⽂中的规范性引⽤⽽构成本⽂件必不可少的条款。其中，注⽇期的引⽤⽂件，仅该⽇期对应的版本适⽤于本⽂件；不注⽇期的引⽤⽂件，其最新版本（包括所有的修改单）适⽤于本⽂件。GB/T 31167 信息安全技术 云计算服务安全指南GA/T 756-20132 规范性引⽤⽂件下列⽂件中的条款通过本标准的引⽤⽽成为本标准的条款。凡是注⽇GA/T 754 电⼦数据存储介质复制⼯具要求及检测期的引⽤⽂件，其随后所有的修改单（不包括勘误的内容）或修订版⽅法均不适⽤于本标准，然⽽，⿎励根据本标准达成协议的各⽅研究是否可使⽤这些⽂件的最新版本。凡是不注⽇期的引⽤⽂件，其最新版本GA/T 755 电⼦数据存储介质写保护设备要求及检适⽤于本标准。测⽅法GA/T 754-2008 电⼦数据存储介质复制⼯具要求及检测⽅法GA/T 1069 法庭科学 电⼦物证⼿机检验技术规范GA/T 755-2008 电⼦数据存储介质写保护设备要求及检测⽅法GA/T 1174 电⼦证据数据现场获取通⽤⽅法GA/T 1476 法庭科学远程主机数据获取技术规范GA/T 1478 法庭科学⽹站数据获取技术规范GA/T 1568 法庭科学 电⼦物证检验术语三、删除了“数字化设备”、“本地数字化设备”、“远程数字化设备”、“证据数据”、“证据数据发现提取”、“固定证据数据”、“逐⽐特⼀致”、“含义⼀致”、“可再现数据”、“不可再现数据”、“证据数据原始性”、“证据数据完整性”、“哈希值”、“原始电“逐⽐特⼀致”、“含义⼀致”、“可再现数据”、“不可再现数据”、“证据数据原始性”、“证据数据完整性”、“哈希值”、“原始电⼦数据存储介质”、“检验⽤例”（见2008年版的3.1、3.1.1、3.1.2，3.2~3.13）；GA/T 756-GA/T 756-20132021删除3.1数字化设备digital device存储、处理和传输⼆进制数据的设备，包括计算机、通信设备、⽹络设备、电⼦数据存储设备等。3.1.1本地数字化设备local digital device检验⼈员能物理接触、操作的数字化设备。3.1.2远程数字化设备remote digital device能通过⽹络访问的数字化设备。3.2证据数据evidence data作为证据使⽤的电⼦数据。3.3证据数据发现提取evidence data discovering and extraction对数字化设备存储、处理、传输的数据进⾏搜索、分析、截获，获得证据数据的过程。3.4固定证据数据preserve evidence data在证据数据发现提取过程中，采取技术措施或记录相关信息，保护证据数据完整性。3.5逐⽐特⼀致bit-based identicalness两组数据每⼀⽐特位数值相同。3.63.7 含义⼀致content-based identicalness就检验鉴定结论所下断⾔⽽⾔，两组数据所表⽰的含义相同。⽰例 ：两张图⽚展⽰相同的⽂字信息，虽然其数据并⾮逐⽐特⼀致，但如果检验鉴定结论所下断⾔评价的是其包 含的⽂字信息，则其数据含义⼀致。3.8可再现数据reproducible data如果重复证据数据发现提取过程，可重新获得逐⽐特⼀致或含义⼀致的证据数据，则称该证据数据为可再现数据。3.9不可再现数据irreproducible data如果证据数据发现提取过程⽆法重复，或证据数据发现提取相关环境条件⽆法复原，重复证据数据发现提取过程⽆法重新获得逐⽐特⼀致或含义⼀致的证据数据，则称该证据数据为不可再现数据。3.10证据数据原始性evidence data originality证据数据是按照所描述的步骤从被检验数字化设备中发现提取获得的。注：保护证据数据原始性是指采取技术措施，保证通过展⽰相关记录信息或重新实施证据数据发现提取过程，能证实证据数据是按照所描述的发现提取步骤从被检验数字化设备中发现提取获得的。3.11证据数据完整性evidence data integrity证据数据在发现提取后未被修改。注：保护证据数据完整性是指采取技术措施，保证通过展⽰相关记录信息，能证实证据数据在发现提取后是否被修改。3.12哈希值hash data使⽤MD5等哈希算法对数据进⾏计算获得的数值。3.13原始电⼦数据存储介质original digital data storage被检验数字化设备中包含的电⼦数据存储介质。3.14检验⽤例inspection case规定如何发现证据数据的⽂档化的细则。包括：a) ⽬标证据数据；b) 检验设备和软件；c) 证据数据发现提取操作步骤；d) 检验环境条件四、增加了“计算机信息系统”、“本地计算机信息系统”、“电⼦数据收集提取”、“冻 结”（见 3.1~3.4）；GA/T 756-2021GA/T 756-2013新增3.1计算机信息系统 computer information system具备⾃动处理数据功能的系统，包括计算机、⽹络设备、通信设备、⾃动化控制设备及其包含的软件系统等。3.2本地计算机信息系统 local computer information system收集提取⼈员能物理接触、操作的计算机信息系统。3.3电⼦数据收集提取 collection and acquisition of digital evidence对计算机信息系统中存储、处理、传输的电⼦数据进⾏搜索、分析、截获，并对收集提取的电⼦数据进⾏完整性校验的过程。3.4冻结 freeze将计算机信息系统中的数据在特定时间以特定状态进⾏固定，保证其不再改变的措施。五、增加了记录检材情况内容（见4.1.1、4.1.2）；五、增加了记录检材情况内容（见4.1.1、4.1.2）；GA/T 1070-2021GA/T 1070-2013新增4.1.1 对于本地计算机信息系统、原始存储介质等检材，应记录：a）如检材为封存状态，应对拆封过程进⾏录像；b）对检材进⾏唯⼀性编号；c）对检材逐⼀拍照，并记录其特征。4.1.2 对于通过远程⽅式访问的计算机信息系统（适⽤时）,应查询并记录计算机信息系统的IP地址、域名、登录⽤户名、密码等相关内容。六、更改了“设计检验⽤例” ， 标题名称改为 “收集提取⽅法” ， 并更改了部分内容（见 4.2、4.2.1~4.2.11，2008年版的4.2、4.2a）〜c））；GA/T 756-20214.2 收集提取⽅法4.2.1 对于开机状态下的计算机信息系统，应优先收集提取易失性数据，包括但不限于内存数据、解密状态的数据和正在运⾏的程序数据，提取易失性数据后，在确保关机不会造成潜在证据丢失的情况下，应将设备关机，按照步骤4.2.2再次收集提取。4.2.2 对于具备复制条件的本地计算机信息系统、原始存储介质，应使⽤符合GA/T 754要求的复制⼯具复制本地计算机信息系统、原始存储介质，并校验本地计算机信息系统、原始存储介质与复制⽣成的克隆存储介质或镜像⽂件的⼀致性，将复制⽣成的克隆存储介质或镜像⽂件作为收集提取对象。4.2.3 对于具备写保护条件的本地计算机信息系统、原始存储介质，应使⽤符合GA/T 755要求的写保护设备，将本地计算机信息系统、原始存储介质通过写保护设备接⼊到收集提取设备上。4.2.4 对于不启动计算机信息系统能收集提取的电⼦数据，宜优先选择在不启动计算机信息系统的条件下收集提取电⼦数据。4.2.5 对于不具备写保护条件的⼿机等智能终端，宜按照GA/T 1069规定进⾏收集提取电⼦数据。GA/T 756- 20134.2 设计检验⽤例4.2.6 对于计算机内存数据、⽹络传输数据等易失性数据，宜按照GA/T 1174根据⽬标证据数据设计检验⽤例。检验⽤规定进⾏收集提取电⼦数据。例应符合以下要求：4.2.7 对于以下情形可采取打印、拍照或者录像等⽅式固定相关电⼦数据：a）⽆法扣押计算机信息系统并且⽆法收集提取电⼦数据的；b）⽆法扣押原始存储介质并且⽆法收集提取电⼦数据的；b) 对于具备写保护条件的，应使⽤符合a) 对具备复制条件的，应使⽤符合 GA/T754—2008 要求的电⼦数据存储介质复制⼯具复制原始电⼦数据存储介质，将复制⽣成的克隆或镜像⽂件作为检验对象；c）存在电⼦数据⾃毁功能或装置，需要及时固定相关证据的；d）需现场展⽰、查看相关电⼦数据的。b) 对于具备写保护条件的，应使⽤符合GA/T 755—2008 要求的写保护设备，将电⼦数据存储介质通过写保护设备接⼊到检验设备上；c) 对于不启动被检验数字化设备的操作系注：根据采取打印、拍照或者录像等⽅式固定相关证据后，能够扣押计算机统，能发现提取固定的证据数据，应优先信息系统、原始存储介质的，扣押计算机信息系统、原始存储介质；不能扣选择在不启动被检验数字化设备的操作系押计算机信息系统、原始存储介质但能够收集提取电⼦数据的， 收集提取电统的条件下发现提取固定证据数据。⼦数据。4.2.8 对于远程访问的⽅式收集提取远程主机数据，宜按照GA/T 1476规定进⾏收集提取电⼦数据。4.2.9 对于⽹站数据的收集提取，宜按照GA/T 1478规定进⾏收集提取电⼦数据。4.2.10 对于云计算平台的数据，根据不同的云计算环境，选择对应的⽅式进⾏数据收集提取。4.2.11 对于以下情形可以对电⼦数据进⾏冻结：a）数据量⼤，⽆法或者不便收集提取的；b）收集提取时间长，可能造成电⼦数据被篡改或者灭失的；c）通过⽹络应⽤可以更为直观地展⽰电⼦数据的；d）其他需要冻结的情形。七、更改了“发现提取固定证据数据”，标题名称改为“收集提取电⼦数据的步骤”，并更改了部分内容（见4.3、4.3.1-4.3.9,2008年版的4.3、4.3 a） ~k））；GA/T 756-2021GA/T 756-20134.3 发现提取固定证据数据a) 根据检验⽤例准备检验环境条件、数字照相机和数字摄像机。b)4.3 收集提取电⼦数据的步骤对于检验设备为计算机的，在检验设备上安装屏幕录像软件，使⽤杀毒软件查杀计算机上的4.3.1 根据不同的收集提取⽅法，准备所需软、硬件环境条件、数字照相机、数字摄像机。如收集提取设备为计算机的，应安病毒程序。装屏幕录像软件，并使⽤杀毒软件查杀病毒程序。c)4.3.2 对于以下情形，应启动数字摄像机或屏幕录像软件，记录计算机信息系统屏幕上显⽰的内容：对于以下情形，启动数字摄像机或屏幕录像软件，记录检验设备屏幕上显⽰的内容：a）不具备复制、不具备写保护条件的本地计算机信息系统、原始存储介质；1) ⽬标证据数据为不可再现数据的；b）收集提取过程中需启动计算机信息系统的操作系统且不具2)备复制、不具备写保护条件的；备复制、不具备写保护条件的；c）采⽤远程访问⽅式收集提取电⼦数据时，对可能⽆法重复收集提取或者可能会出现变化的电⼦数据。4.3.3 根据4.2规定的⽅法步骤进⾏电⼦数据的收集提取。检验对象为远程数字化设备的；3) 检验对象为原始电⼦数据存储介质且不具备写保护条件的；4) 检验过程中启动被检验数字化设备的操作系统且不具4.3.4 对于能复制导出成为数据⽂件的电⼦数据，将数据⽂件复备写保护条件的。制导出，并计算其完整性校验值。d) 对于⽬标证据数据为可再现数据的，可不启动数字摄4.3.5 对于在计算机信息系统屏幕上显⽰的，⽆法截获转换成数像机或屏幕录像软件。据⽂件的信息，使⽤数字照相机或数字摄像机拍摄屏幕显⽰内容，将拍摄获得的图像⽂件或视频⽂件导出，并计算其完整性e) 根据检验⽤例规定的证据数据发现提取操作步骤，搜校验值。索、分析、截获证据数据。4.3.6 对于具备封存条件的本地计算机信息系统、原始存储介质，应在数据收集提取结束后，重新封存。f) 对于能复制导出成为数据⽂件的证据数据，将数据⽂件复制导出作为证据数据。4.3.7 对于需要启动数字摄像机或屏幕录像软件的，应录像记录g) 对于在被检验设备屏幕上显⽰的，⽆法截获转换成数导出⽂件的⽂件名和完整性校验值。据⽂件的信息，使⽤数字照相机或数字摄像机拍摄屏幕显⽰内容，将拍摄获得的图像⽂件和视频⽂件导出作为4.3.8 对于启动屏幕录像软件的，应在停⽌屏幕录像软件后，导证据数据。出⽣成的录像⽂件并计算其完整性校验值。4.3.9 对于使⽤数字摄像机录像的，应在停⽌录像后，将录像⽂件的存储介质封存并编号，或将录像结果导出成录像视频⽂件i) 对于启动数字摄像机或屏幕录像软件的，在检验设备屏并计算其完整性校验值。幕上显⽰导出的数据⽂件名称和哈希值并予以录像。j) 对于启动屏幕录像软件的，停⽌屏幕录像软件，将⽣成的视频⽂件导出并计算其哈希值。k) 对于使⽤数字摄像机录像的，停⽌录像，将录像带封存并编号，或将录像结果导出成数据⽂件并计算其哈希值。h) 计算导出的证据数据⽂件的哈希值。⼋、更改了“检验记录”，标题名称改为“记录”，并更改了部分内容（见5、5.1〜5.6, 2008年版的4.4、4.4.1-4.4.4）；GA/T 756-20215 记录5.1 对于本地计算机信息系统、存储介质等检材，宜记录以下内容：a）检材类别；b）检材型号；c）检材出⼚时唯⼀性编号；d）检材的照⽚。5.2 对于通过远程⽅式访问的计算机信息系统，宜记录以下内容（适⽤时）：GA/T 756-20134.4 检验记录4.4.1 对于检材，应记录以下内容：a) 检材类别；a) 检材类别；a）计算机信息系统IP地址；b）域名；c）登录⽤户名、密码。5.3 对于电⼦数据的收集提取过程，宜记录以下内容：a）收集提取⽬的；b）设备和软件；c）电⼦数据发现收集提取操作步骤；d）环境条件；b) 检材型号；c) 检材出⼚时唯⼀性编号（如果适⽤）；d) 检材的照⽚。4.4.2 对于证据数据，应记录以下内容：a) 检验⽬的；b) 检验设备和软件；c) 证据数据发现提取操作步骤；d) 检验环境条件；e）导出的电⼦数据⽂件的存储位置、⽂件名、⽂件格式、e) 导出的证据数据⽂件的存储位置、⽂件名、⽂件哈希值和⽂件完整性校验值；数据的可再现特性；f）收集提取时间；g）⼈员。5.4 对于电⼦数据的冻结，宜记录以下内容：a）冻结⽬的；b）冻结账号；c）冻结时间；d）⼈员。5.5 对于导出的录像⽂件，宜记录以下内容：a）⽂件名；b）开始时间；c）结束时间；d）完整性校验值；e）⼈员。5.6 对于录像⽂件的存储介质，宜记录以下内容（适⽤时）：a）存储介质编号；b）录像开始时间；c）录像结束时间；f) 检验时间；g) 检验⼈员。4.4.3 对于导出的录像⽂件，应记录：a) 录像⽂件名;b) 录像开始时间;c) 录像结束时间;d) 录像⽂件哈希值;e) 检验⼈员。4.4.4 对于记录检验过程的录像带，应记录：a) 录像带编号b) 录像开始时间；c) 录像结束时间；d) 检验⼈员。c）录像结束时间；d）⼈员。九、增加了 “收集提取结果表述”（见第6章）GA/T 756-2021GA/T 756-2013新增6 收集提取结果表述收集提取结果表述应符合以下规定：a）结果分为提出、未提出、不具备收集提取条件3种；b）收集提取结果根据收集提取要求对收集提取对象、收集提取范围、收集提取所得进⾏客观、概括、有针对性的描述；c）结果表述包含检材编号、收集提取情况、提出数据⽂件或保存提出数据介质的完整性校验值、保存提出数据介质编号等必要信息。⽹安杂谈整理，转载请注明来源