ICS 35.220.20 CCS A 90 中 华人民 共和国 公共安 全行业 标准 GA GA/T 756－×××× 代替 GA/T 756 -2008 法庭科学 电子数据 收集提取 技术规范 Forensic sciences —Technical specifications for collection and acquisition of digital evidence 中华人民共和国公安部 发 布 ×××× - ××- ×× 发布 ×××× - ××- ×× 实施 GA/T 756—× × × × I 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规 定起草。 本文件代替GA/T 756 －2008《数字化设备证据数据发现提取固定方法》，与 GA/T 756 －2008相 比，除编辑性修改外，主要技术变化如下 ： ——更改了范围（见 第1章，2008年版的第1章）； ——更改了规范性引用文件（见 第2章，2008年版的第2章）； ——删除了“数字化设备 ”、“本地数字化设备 ”、“远程数字化设备 ”、“证据数据 ”、“证 据数据发现提取 ”、“固定证据数据”、“逐比特一致 ”、“含义一致 ”、“可再现数据 ”、 “不可再现数据 ”、“证据数据 原始性”、“证据数据 完整性”、“哈希值”、“原始电 子数据存储 介质”、“检验用例 ”（ 见2008年版的 3.1、3.1.1、3.1.2，3.2~3.13）； ——增加了“计算机信息系统 ”、“本地计算机信息系统 ”、“电子数据 收集提取 ”、 “冻 结”（见3.1~3.4）； ——增加了记录检材情况内容（见 4.1.1、4.1.2）； ——更改了“设计检验用例 ”，标题名称改为 “收集提取方法 ”，并更改了部分内容（见 4.2、 4.2.1~4.2. 11，2008年版的 4.2、4.2 a）~ c））； ——更改了“发现提取固定证据数据 ” ，标题名称改 为“收集提取电子数据的步骤 ”，并更 改了部分内容 （见 4.3、4.3.1~4.3. 9，2008年版的 4.3、4.3 a）~ k））； ——更改了“检验记录”，标题名称改 为“记录”，并更改了部分内容 （见 5、5.1~5. 6，2008 年版的 4.4、4.4.1~4.4. 4）； ——增加了“收集提取 结果表述 ”（见第6章）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国刑事技术标 准化技术委员会电子物证检验分技术委员会（ SAC/TC179/SC7 ）提出 并归口。 本文件起草单位：公安部网络安全保卫局 、大连市公安局、天津市公安刑事侦查局、司法鉴定 科学研究院、厦门市美亚柏科信息股份有限公司。 本文件主要起草人：许剑卓、刘晓宇、何星、翟晓飞、 侯钧雷、刘浩阳、范玮、田钊、万江山、 吴倩、王艺筱、 姚伟、姜有亮、朱国锋、 郭弘、张辉极。 本文件所代替文件的历次版本发布情况为 ： ——GA/T 756 －2008。 GA/T 756—× × × × 1 法庭科学 电子数据 收集提取 技术规范 1 范围 本文件规定了法庭科学领域中 电子数据 收集提取 的术语和定义、通用要求、 收集提取 步骤、收 集提取记录、结果表述 。 本文件适用于法庭科学 领域中电子数据 的收集提取 。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用 文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单） 适用于本文件 。 GB/T 31167 信息安全技术 云计算服务安全指南 GA/T 754 电子数据存储介质复制工具要求及检测方法 GA/T 755 电子数据存储介质写保护设备要求及检测方法 GA/T 1069 法庭科学 电子物证手机检验技术规范 GA/T 1174 电子证据数据现场获取通用方法 GA/T 1476 法庭科学远程主机数据获取技术规范 GA/T 1478 法庭科学网站数据获取技术规范 GA/T 1568 法庭科学 电子物证检验 术语 3 术语和定义 GB/T 31167 和GA/T 1568界定的以及下列术语和定义适用于本文件。 3.1 计算机信息系统 computer information system 具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备 及其包含 的软件系统 等。 3.2 本地计算机信息系统 local computer information system 收集提取 人员能物理接触、操作的 计算机信息系统。 3.3 电子数据 收集提取 collection and acquisition of digital evidence 对计算机信息系统 中存储、处理、传输的 电子数据进行搜索、分析 、截获，并对收集提取 的电 子数据进行完整性校验的 过程。 3.4 GA/T 756—× × × × 2 冻结 freeze 将计算机信息系统 中的数据在特定时间以特定状态进行固定 ，保证其不再 改变的措施。 3.5 屏幕录像软件 screen capt ure software 用于截获计算机屏幕上显示的内容，并生成视频文件的软件。 4 电子数据 收集提取 通用要求 4.1 记录检材情况 4.1.1 对于本地 计算机信息系统 、原始存储介质 等检材，应记录： a）如检材为封存状态，应对拆封过程进行录像 ； b）对检材进行唯一性编号； c）对检材逐一拍照，并记录其特征。 4.1.2 对于通过远程方式 访问的计算机信息系统 （适用时）,应查询并记录计算机信息系统 的IP地 址、域名、登录用户名、密码 等相关内容 。 4.2 收集提取 方法 4.2.1 对于开机 状态下的 计算机信息系统 ，应优先收集提取 易失性数据，包括但不限于内存数据、 解密状态的数据和正在运行的程序数据， 提取易失性数据 后，在确保关机不会造成潜在证据丢失的 情况下， 应将设备关机，按照步骤 4.2.2再次收集提取 。 4.2.2 对于具备复制条件的 本地计算机信息系统、 原始存储介质 ，应使用符合 GA/T 754要求的复制 工具复制本地计算机信息系统、 原始存储介质 ，并校验本地计算机信息系统、 原始存储介质 与复制 生成的克隆存储介质 或镜像文 件的一致性 ，将复制生成的克隆 存储介质 或镜像文件作为 收集提取 对 象。 4.2.3 对于具备写保护条件的 本地计算机信息系统、 原始存储介质 ，应使用符合 GA/T 755要求的写 保护设备，将 本地计算机信息系统、 原始存储介质 通过写保护设备接入到 收集提取 设备上。 4.2.4 对于不启动 计算机信息系统 能收集提取 的电子数据， 宜优先选择在不启动 计算机信息系统 的条件下 收集提取 电子数据 。 4.2.5 对于不具备写保护条件的 手机等智能终端 ，宜按照GA/T 1069规定进行 收集提取 电子数据 。 4.2.6 对于计算机 内存数据、网络传输数据等 易失性数据，宜按照GA/T 1174 规定进行 收集提取 电 子数据。 4.2.7 对于以下 情形可采取打印、拍照或者 录像等方式固定相关 电子数据 ： a）无法扣押 计算机信息系统 并且无法 收集提取 电子数据的； b）无法扣押 原始存储介质并且无法 收集提取 电子数据的； c）存在电子数据自毁功能或装置，需要及时固定相关证据的； d）需现场展示、查看相关电子数据的。 注：根据采取打印、拍照或者录像 等方式固定相关证据后，能够扣押计算机信息系统、原始存储介质的， 扣押 计算机信息系统、原始存储介质； 不能扣押计算机信息系统、原始存储介质但能够收集提取电子数据的， 收集提取电子数据。 4.2.8 对于远程访问的方式 收集提取 远程主机数据， 宜按照GA/T 1476 规定进行 收集提取电子数据 。 4.2.9 对于网站数据的 收集提取 ，宜按照GA/T 147 8规定进行 收集提取 电子数据 。 4.2.10 对于云计算平台的数据，根据不同的 云计算环境，选择对应的方式进行数据 收集提取 。 4.2.11 对于以下情形可以对电子数据进行冻结： GA/T 756—× × × × 3 a）数据量大，无法或者不便 收集提取 的； b）收集提取 时间长，可能造成电子数据被篡改或者灭失的； c）通过网络应用可以更为直观地展示电子数据的； d）其他需要冻结的情形。 4.3 收集提取 电子数据 的步骤 4.3.1 根据不同的收集提取 方法，准备所需软、硬件 环境条件、数字照相机 、数字摄像机 。如收集 提取设备为计算机的， 应安装屏幕 录像软件， 并使用杀毒软件查杀病毒程序。 4.3.2 对于以下情形， 应启动数字摄像机或屏幕录像软件， 记录 计算机信息系统 屏幕上显示的内容： a）不具备复制、不具备写保护条件的 本地计算机信息系统 、原始存储介质 ； b）收集提取 过程中需启动计算机信息系统 的操作系统且 不具备复制、不具备写保护条件的 ； c）采用远程