計算機系統(tǒng)用戶操作行為檢驗規(guī)范

1計算機系統(tǒng)用戶操作行為檢驗規(guī)范本技術(shù)規(guī)范規(guī)定了計算機系統(tǒng)用戶操作行為檢驗的技術(shù)方法和步驟。本技術(shù)規(guī)范適用于電子數(shù)據(jù)鑒定中的計算機系統(tǒng)用戶操作行為檢驗。2規(guī)范性引用文件下列文件對于本技術(shù)規(guī)范的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本技術(shù)規(guī)范。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本技術(shù)規(guī)范。SF/ZJD0400001－2014電子數(shù)據(jù)司法鑒定通用實施規(guī)范SF/ZJD0402001－2014電子郵件鑒定實施規(guī)范3術(shù)語和定義SF/ZJD0400001－2014電子數(shù)據(jù)司法鑒定通用實施規(guī)范所確立的以及下列術(shù)語和定義適用于本技術(shù)規(guī)范。3.1用戶操作行為UserBehavior用戶使用計算機系統(tǒng)的特定行為，如登錄/登出、接入外部設(shè)備、文件操作、打印、軟件使用、瀏覽網(wǎng)頁、即時通訊、收發(fā)電子郵件等。用戶操作行為分為正在進行的行為和已經(jīng)發(fā)生的行為。3.2操作痕跡OperationTrace存在于日志、注冊表、臨時文件、配置文件、數(shù)據(jù)庫等區(qū)域，可以全部或部分反映用戶操作行為過程的數(shù)據(jù)。4檢驗步驟4.1了解相關(guān)情況4.1.1了解檢材的使用情況，如用戶信息、系統(tǒng)狀態(tài)、可能的操作行為等。4.1.2如檢材有登錄口令或加密密鑰保護，了解口令或密鑰信息，并獲得使用授權(quán)。4.2固定保全4.2.1對檢材進行惟一性標識。4.2.2對檢材進行拍照或錄像，記錄其特征。4.2.3當檢材為開機狀態(tài)時:a)對檢材屏幕的顯示內(nèi)容進行拍照或錄像；b)必要時提取檢材內(nèi)存數(shù)據(jù)并計算哈希值；2c)必要時對檢材存儲介質(zhì)中需要的數(shù)據(jù)進行備份，并計算哈希值；d)采用適當工具和方法對檢材進行在線分析，并對檢材中運行的程序及進程/線程進行分析和保全。4.2.4當檢材為關(guān)機狀態(tài)時:a)對具備條件的檢材進行完整備份，并進行校驗，之后使用備份數(shù)據(jù)進行檢驗；b)對于無法進行完整備份的檢材，采用適當?shù)墓ぞ吆头椒▎佑嬎銠C系統(tǒng)，對需要的數(shù)據(jù)進行備份，并計算哈希值；c)必要時在只讀條件下進行開機檢驗，并做好相關(guān)記錄。4.3搜索和恢復根據(jù)檢驗需要，搜索、恢復保存在檢材中的相關(guān)文件和數(shù)據(jù)。4.4檢驗和分析根據(jù)檢材具體情況，視檢驗需要對下列全部或部分內(nèi)容進行檢驗和分析。4.4.1登錄/登出行為檢驗a)分析系統(tǒng)日志、應(yīng)用程序日志及系統(tǒng)安全日志等日志文件中與用戶登錄/登出相關(guān)的記錄；b)分析注冊表中用戶鍵值中的信息，如用戶最后一次登錄時間、最后一次登錄失敗時間等；c)在系統(tǒng)中其它位置查找與登錄/登出相關(guān)的信息，如系統(tǒng)中文件的修改時間、防病毒軟件的啟動/關(guān)閉記錄等。4.4.2接入外部設(shè)備行為檢驗a)分析系統(tǒng)驅(qū)動安裝日志中與設(shè)備相關(guān)的數(shù)據(jù)；b)分析注冊表中與設(shè)備相關(guān)的數(shù)據(jù)；c)分析系統(tǒng)中的文件與外部設(shè)備中的文件的相似性及復制關(guān)系；d)對于存在自動備份機制的外部設(shè)備（如手機），分析備份在計算機系統(tǒng)中的數(shù)據(jù)。4.4.3文件操作行為檢驗a)分析文件的屬性信息；b)分析文件的元數(shù)據(jù)信息；c)分析文件操作形成的臨時文件、備份文件、快捷方式等；d)分析文件在相關(guān)軟件及系統(tǒng)中的最近打開記錄；e)對于被刪除的文件，分析其狀態(tài)、位置及內(nèi)容。4.4.4打印行為檢驗a)分析系統(tǒng)中安裝的打印機驅(qū)動程序；b)恢復并分析打印臨時文件，如SHD、SPL及TMP文件；c)查找打印源文件，針對特定類型的源文件（如Word文檔），分析其中的打印時間。4.4.5軟件使用行為檢驗a)分析系統(tǒng)中軟件文件的屬性信息；b)分析軟件運行時生成的配置文件、臨時文件及其屬性信息；c)分析軟件的日志信息；3d)分析軟件在系統(tǒng)中其它位置（如注冊表、系統(tǒng)還原點、系統(tǒng)鏡像、最近打開文檔等）留下的信息；e)對于含有數(shù)據(jù)庫的軟件，對數(shù)據(jù)庫中的數(shù)據(jù)進行分析。4.4.6瀏覽網(wǎng)頁行為檢驗a)根據(jù)網(wǎng)頁瀏覽器類型和版本，查找其歷史數(shù)據(jù)保存位置；b)分析網(wǎng)頁瀏覽歷史數(shù)據(jù)，如地址欄網(wǎng)址輸入記錄、網(wǎng)址重定向記錄、網(wǎng)頁瀏覽歷史記錄等；c)分析與被瀏覽網(wǎng)頁相關(guān)的圖片、文檔、壓縮包、Cookies、腳本等信息；d)查找并分析系統(tǒng)中與被瀏覽網(wǎng)頁相關(guān)的其它文件，如收藏夾、保存的網(wǎng)頁、下載的文件等；e)條件允許的情況下獲取并分析位于服務(wù)器上的相關(guān)記錄。4.4.7即時通訊行為檢驗a)查找系統(tǒng)中安裝的即時通訊軟件及其數(shù)據(jù)文件；b)分析客戶端軟件版本、用戶賬號等信息及數(shù)據(jù)文件的屬性信息；c)分析數(shù)據(jù)文件中的聊天記錄等信息；d)查找并分析通過即時通訊傳輸?shù)膱D片、文檔、多媒體文件等信息；e)條件允許的情況下獲取并分析即時通訊交互中另一方的數(shù)據(jù)；f)條件允許的情況下獲取并分析位于服務(wù)器上的相關(guān)記錄。4.4.8電子郵件收發(fā)行為檢驗a)查找系統(tǒng)中安裝的電子郵件客戶端軟件及其數(shù)據(jù)文件；b)根據(jù)客戶端類型分析數(shù)據(jù)文件中的電子郵件及其相互之間的關(guān)聯(lián)；c)在系統(tǒng)中搜索其它與需檢電子郵件相關(guān)的信息；d)對于通過網(wǎng)頁電子郵件服務(wù)收發(fā)的電子郵件，按照瀏覽網(wǎng)頁行為進行檢驗；如能獲得授權(quán)，參照SF/ZJD0402001－2014電子郵件鑒定實施規(guī)范保全并分析；e)條件允許的情況下獲取并分析電子郵件往來中另一方或其他收件（抄送）方的電子郵件；f)條件允許的情況下獲取并分析位于服務(wù)器上的相關(guān)記錄。4.5注意事項4.5.1計算機系統(tǒng)中的時間信息與真實時間并非完全一致，檢驗中應(yīng)注意系統(tǒng)時間與實際時間的差值，并分析人為修改、失電等原因造成的系統(tǒng)時間改變。4.5.2對于加密的數(shù)據(jù)，檢驗前應(yīng)先對其進行解密。4.5.3在查找操作痕跡時，應(yīng)注意搜索、恢復的全面性。4.5.4注意查找并分析檢材中多處可以互相印證的操作痕跡。4.5.5注意查找并分析與操作行為相關(guān)的存在于第三方的數(shù)據(jù)。4.5.6對于檢驗中發(fā)現(xiàn)的一些存疑現(xiàn)象，可以搭建類似的環(huán)境進行實驗重現(xiàn)，判斷其性質(zhì)。5檢驗記錄與鑒定活動有關(guān)的情況應(yīng)及時、客觀、全面地記錄，保證鑒定過程和結(jié)果的可追溯。檢驗記錄應(yīng)反映出檢驗人、檢驗時間、審核人等信息。檢驗記錄的主要內(nèi)容有：a)有關(guān)合同評審、變更及與委托方的溝通等情況；b)檢材固定保全情況，包括檢材照片或錄像、檢材的哈希值等；c)檢驗設(shè)備和工具情況；4