ICS 13.310 CCS A 92 中 华人民 共和国 公共安 全行业 标准 GA GA/T 1070—× × × × 代替 GA/T 1070－2013 法庭科学 计算机开关机时间检验技术 规范 Forensic sciences—Technical specifications for computer switch time examination 中华人民共和国公安部 发 布 ×××× - ××- ×× 发布 ×××× - ××- ×× 实施 GA/T 1070—× × × × I 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替 GA/T 1070－2013《法庭科学计算机开关机时间检验技术规范》 ，与 GA/T 1070—2013相 比，除编辑性修改外，主要技术变化如下 ： ——更改了范围（见 第1章，2013年版的第1章）； ——增加了规范性引用文件（见 第2章）； ——更改了检验方法（见 5.6，2013年版的 4.6、4.7）； ——更改了检验结果的表述（见 第7章，2013年版的第5章）； ——增加了对于时间差的记录要求（见 8.1）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任 。 本文件由全国刑事技术标准化技术委员会电子物证分技术委员会（ SAC/TC 179/SC 7 ）提出并归口。 本文件起草单位： 中国人民公安大学、公安部物证鉴定中心、公安部网络安全保卫局、山西省公安 厅、吉林省公安厅物证鉴定中心、福建中证司法鉴定中心 。 本文件主要起草人： 丁锰、邢桂东、郭丽莉、梁宝生、陈维娜、沈尧、郭威、胡壮、许晓宇、 万江 山。 本文件所代替文件的历次版本发布情况为： —— GA/T 1070—2013。 GA/T 1070—× × × × 1 法庭科学 计算机开关机时间检验技术规范 1 范围 本文件规定了法庭科学领域中计算机开关机时间检验的术语和定义、检验工具、操作步骤、检验、 检验结果保存和检验结果的表 述，适用的计算机 操作系统为 Windows 2000 、Windows XP 、Windows 2003、Windows Vista 、Windows 7 、Windows 8 、Windows 8.1 、Windows 10 。 本文件适用于法庭科学领域中的 计算机开关机时间 检验。 2 规范性引 用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件 。 GB/T 29360 电子物证数据恢复检验规程 GB/T 29362 电子物证数据搜索检验规程 3 术语和定义 下列术语和定义适用于本文件。 3.1 计算机开机时间 time of switching on the computer 计算机开机后操作系统启动完毕时的系统时间。 3.2 计算机关机时间 time of switching off the computer 计算机关机退出操作系统时的系统时间。 4 检验工具 4.1 硬件 照录像设备、存储介质保全备份设备、具有只读接口的电子物证检验工作站（或只读设备）。 4.2 软件 具有解析 Windows 系统日志功能、检验 Windows 系统开关机时间功能等检验软件。 5 操作步骤 5.1 检材及样本编号 GA/T 1070—× × × × 2 对送检的检材及样本进行唯一编号。 5.2 检材及样本拍照 对送检的检材及样本拍照。 5.3 检验工作站杀毒 启动杀毒软件对电子物证检验工作站进行杀毒。 5.4 检材及样本保全 对具备保全条 件的检材及 样本进行保全备份，并计算检材及样本数据完整性校验值。 5.5 检材连接方法 将检材及样本（若已保全备份，应使用备份）通过只读方式连接到电子物证检验工作站。 5.6 检验 5.6.1 数据检验 5.6.1.1 采用 GB/T 29360和GB/T 29362 检验方法恢复搜索 “SysEvent.evt ”或“ System.evtx ”文件， 使用具有解析 Windows 系统日志功能的软件工具解析查看“ SysEvent.evt ”或“ System.evtx ”文件，查 找并导出以下时间信息 : a) 来源为 Eventlog、事件 ID为6005的事件日志服务启动时间信息； b) 来源为 Eventlog、事件 ID为6006的事件日志服务停止时间信息； c) 来源为 Eventlog、事件 ID为6008的系统意外关闭时间信息； d) 来源为 Eventlog、事件 ID为6013的系统启动时长信息； e) 来源为 Kernel -General、事件 ID为12的操作系统启动时间信息； f) 来源为 Kernel -General、事件 ID为13的操作系统关闭时间信息； g) 来源为 Kernel -Power、事件 ID为41的操作系统在非正常关机情况下启动时间信息； h) 来源为 Kernel -Power、事件 ID为42的操作系统进入睡眠状态时间信息； i) 来源为 Kernel -Power、事件 ID为107的操作系统从睡眠状态恢复时间信息； j) 来源为 Power -Troubleshooter 、事件 ID为1的操作系统从低功耗状态恢复时间信息。 5.6.1.2 使用具有 Windows 系统开关机时间检验功能的软件工具进行检验，导出检材中检出 的开关机 时间信息。 5.6.2 数据分析 综合分析检出 的时间信息是否存在矛盾或错误,判断计算机 开关机时间 。 6 检验结果保存 将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中，并计算 检出数据的完整性校验值。 7 检验结果的表述 检验结果表述应符合以下规定： a) 检验结果分为检出、未检出、不具备检验条件三种； GA/T 1070—× × × × 3 b) 检验结果应根据检验要求对检验对象、 检验范围、 检验所得进行客观、 概括、 有针对性的描述； c) 结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据完整性校验值、保存检出 数据介质编 号等必要信息。 8 附则 8.1 检验前应记录系统时间与北京标准时间的时间差。 8.2 在检验过程中应做检验记录 ,导出的数据应使用专用存储介质存储。 8.3 在检验过程中不 应改变送检检材中的数据。 8.4 对送检检材和样本应做好防水、防磁、防震及防静电保护。