ICS 13.310 A 92 GA 中华人民共和国 公共安全 行业标准 GA/T XXXX—XXXX 法庭科学 移动终端地理 位置信息 检验技术方法 Forensic sciences —Technical specification s for examination of location information of mobile terminals XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国公安部 发 布 GA/T XXXX—XXXX I 前 言 本标准按照 GB/T 1.1—2009给出的规则起草。 请注意本文 件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会（ SAC/TC179/SC7 ）提 出并归口。 本标准起草单位：公安部网络安全保卫局、 吉林省公安厅、公安部第三研究所 、东北师范大学、 公安部物证鉴定中心 。 本标准主要起草人： 刘晓宇、许晓宇、吴松洋、杨贵福、万江山、韩辉武、杜琳、邢桂东、翟晓 飞、郭丽莉。 GA/T XXXX—XXXX 1 法庭科学 移动终端地理 位置信息检验技术方法 1 范围 本标准规定了法庭科学领域 移动终端中地理 位置信息的检验和分析方法 。 本标准适用于法 庭科学领域 的电子物证 检验。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅 注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 29360 —2012 电子物证数据恢复检验规程 GB/T 29362 —2012 电子物证数据搜索检验规程 GA/T 756 —2008 数字化设备证据数据发现提取固定方法 3 术语和定义 下列术语和定义适用于本 文件。 3.1 移动终端 mobile terminal 可以在移动中使用的计算机设备 ，搭载操作系统 ，具备通信功能 ，具有GPS、北斗等无线电导航模 块和位置记录功能的设备 及其储存 介质。 3.2 地理轨迹 geographical trace 使用移动终端过程中， 移动终端及安装的 应用程序 利用GPS定位、北斗定位、 Glonass定位、Wifi 定位、基站定位 、线性加速器、陀螺仪 获取到地理位置 坐标数据、方位角度数据、海拔高度数据 等位置 数据以及获取地理位置的时间 ，并可将地理位置 数据转化为具体位置信息 ，按时序形成行踪轨迹路线 。 4 仪器设备 4.1 硬件 电子物证检验工作站 、手机检验工作站、 电子数据存储介质复制 设备、电子数据存储介质写保护 设 备、专用存储介质 、数码相机 等。 4.2 软件 4.2.1 操作系统 GA/T XXXX—XXXX 2 Windows、Unix/Linux 、Mac OS、Android、iOS等。 4.2.2 软件工具 数据同步软件、位置复现软件或 移动终端 仿真软件、系统文件专用查看类工具 、用户文件专用查看 类工具。 5 检验步骤 5.1 检材及样本编号 对送检的检材（样本）进行唯一性编号。 5.2 检材及样本拍照 对送检的检材（样本）加上唯一性编号进行拍照，并记录检材的特征。 5.3 数据检验 5.3.1 设备检验 设备检验至少 包括以下内容： a） 宜将检材通过数据线以只读方式连接到电子物证检验工作站或手机检验工作站 ； b） 启动杀毒软件对检验工作站系统进行杀毒 ； c） 运行数据同步软件或者取证软件，复制检材内存储的电子数据至 专用的存储介质中 。 5.3.2 存储介质 检验 存储介质 检验至少应包括以下内容： a） 将储存介质以只读方式连接到电子物证检验工作站 ； b） 对存储介质 内的电子数据进行保全备份， 按照GB/T 29362 —2012或GB/T 29360 —2012进行检 验获取存储介质 内的电子数据 ； c） 将获取的电子数据文件复制到专用的存储介质中。 5.3.3 地理轨迹数据缓存文件检验 按照GA/T 756 —2008的要求获取地理轨迹数据 缓存文件： a) 检验移动终端缓存 。查找检材中操作系统缓存地理轨迹定位数据的目录存放路径，获取缓存的 地理轨迹数据缓存文件以及文件的创建时间、修改时间和最后访问时间信息，并从缓存文件 中提取出记录的位置信息、定位方式和定位时间 ； b) 检验移动终端应用软件 数据。查找检材中具备定位权限的 移动终端应用软件以及应用软件的数 据存储目录。从应用软件的数据存储目录中查找包含定位缓存数据的文件，用户账户信息文 件以及文件的创建时间、修改时间和最后访问时间信息，并从用户账户信息文件中提取用户 的账户详细信息，从定位缓存数据文件中提取定位的位置信息、定位方式以及定位时间 ； c) 记录并校验获取的地理轨迹数据文件 ，将获取的电子数据文件复制到专用的存储介质中 。 5.4 数据呈现 5.4.1 在工作站中运行位置复现软件 或移动仿真软件， 解读并呈现电子数据中记录的位置和轨迹信息。 GA/T XXXX—XXXX 3 5.4.2 固定呈现结果。 5.5 计算哈希值 计算检出和呈现数据的哈希值。 6 检验内容 数据检验内容 宜包含： a) 地理轨迹数据文件 的名称、储存路径； b) 地理轨迹数据 的产生源； c) 地理轨迹数据 关联的用户账号、昵称 、手机号码等相关信息 ； d) 地理轨迹历史记录，包括定位数据、定位时间、定位方式、 Wifi及基站辅助定位信息。 7 检验记录 7.1 检材信息 记录 对于检材，记录应包含但不 限于以下内容 ： a) 检材类别； b) 检材型号； c) 检材出厂时唯一性编号（ 如果适用 ）； d) 检材照片。 7.2 检验过程记录 地理轨迹 数据检验中， 记录应贯穿整个检验过程，记录应包括 但不限于以下内容 ： a) 检验过程中 所使用的软、硬件工具； b) 在搭建环境的过程中检出的 检验内容、操作条件、 检出和呈现 的数据等； c) 根据获取的地理轨迹数据文件计算出的哈希值。 8 检验结果表述 检验结果表述应符合以下规定： a) 检验结果分为检出、未检出、不具备检验条件 3种； b) 检验结果应根据检验要求对检验对象、检验范围、 检验所得进行客观、概括、 有针对性的描述； c) 结果表述应包含 检材编号、检出情况、检出数据文件或保存检出数据介质哈希值、保存检出数 据介质编号等必要信息。 9 附则 9.1 对检材（样本） 应做好防水、防磁 、防静电保护 。 9.2 在检验时 ，应查明检材（ 样本）输入电源 性状，避免损坏检材 。 9.3 在检验时 ，原则上 不应直接开启检材（样本）或检材（样本） 中应用程序 ，避免数据污染或破坏。 _________________________________