破壞性程序檢驗操作規(guī)范

破壞性程序檢驗操作規(guī)范本技術(shù)規(guī)范規(guī)定了對計算機信息系統(tǒng)中的破壞性程序進(jìn)行檢驗、分析的操作規(guī)范和步驟。本技術(shù)規(guī)范適用于計算機信息系統(tǒng)中的破壞性程序的檢驗鑒定。2規(guī)范性引用文件下列文件對于本技術(shù)規(guī)范的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本技術(shù)規(guī)范。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本技術(shù)規(guī)范。SF/ZJD0100000－2012電子數(shù)據(jù)司法鑒定通用實施規(guī)范3術(shù)語和定義SF/ZJD0100000－2012電子數(shù)據(jù)司法鑒定通用實施規(guī)范所確立的以及下列術(shù)語和定義適用于本技術(shù)規(guī)范。3.1計算機信息系統(tǒng)computerinformationsystem指具備自動處理數(shù)據(jù)功能的系統(tǒng)，包括計算機、網(wǎng)絡(luò)設(shè)備、通信設(shè)備、自動化控制設(shè)備等。3.2破壞性程序destructiveprograms對計算機信息系統(tǒng)的功能或計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)等進(jìn)行未授權(quán)地獲取、刪除、增加、修改、干擾及破壞等的應(yīng)用程序。3.3程序行為programbehavior程序在運行期間與計算機信息系統(tǒng)的交互及其對計算機信息系統(tǒng)產(chǎn)生的影響。3.4靜態(tài)分析staticanalysis在沒有真正執(zhí)行程序的情況下，對可執(zhí)行程序進(jìn)行的分析。3.5動態(tài)分析dynamicanalysis在程序運行過程中，對可執(zhí)行程序的程序行為進(jìn)行的分析。3.6逆向分析reversinganalysis對可執(zhí)行程序進(jìn)行反編譯，通過分析反編譯代碼獲知可執(zhí)行程序的程序行為及其實現(xiàn)過程。4檢驗步驟4.1待檢破壞性程序的固定保全4.1.1當(dāng)檢材為電子文件時，對電子文件進(jìn)行備份，并計算哈希值。24.1.2當(dāng)檢材為數(shù)字化設(shè)備時：a)對檢材進(jìn)行唯一性標(biāo)識，并貼上標(biāo)簽；b)對檢材進(jìn)行拍照或錄像，記錄其特征。4.1.2.1當(dāng)檢材為開機狀態(tài)時：a)對檢材屏幕的顯示內(nèi)容進(jìn)行拍照或錄像；b)在條件允許的情況下，獲取檢材內(nèi)存鏡像并計算哈希值；c)對檢材存儲介質(zhì)中的待檢破壞性程序進(jìn)行備份，并計算哈希值。4.1.2.2當(dāng)檢材為關(guān)機狀態(tài)時：a)對于具有寫保護(hù)條件的，應(yīng)將檢材中的存儲介質(zhì)通過寫保護(hù)設(shè)備連接至檢驗設(shè)備上；b)關(guān)閉檢驗設(shè)備上的各種安全防護(hù)軟件，防止安全防護(hù)軟件自動將待檢破壞性程序刪除；c)對待檢破壞性程序進(jìn)行固定保全時，應(yīng)將待檢破壞性程序與檢驗設(shè)備上的其它程序及文件等進(jìn)行隔離，防止待檢破壞性程序?qū)z驗設(shè)備上的系統(tǒng)、程序、文件等造成破壞；d)計算待檢破壞性程序的哈希值。4.2待檢破壞性程序檢驗環(huán)境的搭建4.2.1根據(jù)待檢破壞性程序的運行環(huán)境，搭建相應(yīng)的檢驗環(huán)境，搭建的檢驗環(huán)境應(yīng)確保其具備觸發(fā)待檢破壞性程序運行的條件，并確保待檢破壞性程序能夠正常運行。4.2.2在檢驗環(huán)境中安裝必要的系統(tǒng)監(jiān)控、網(wǎng)絡(luò)監(jiān)控和程序分析等工具。4.2.3避免安裝與待檢破壞性程序檢驗無關(guān)的軟件程序等，以免影響待檢破壞性程序的正常運行。4.2.4在條件允許的情況下，可搭建虛擬檢驗環(huán)境對待檢破壞性程序進(jìn)行實驗分析。4.3待檢破壞性程序的檢驗分析4.3.1待檢破壞性程序的靜態(tài)分析根據(jù)待檢破壞性程序的具體情況，對待檢破壞性程序進(jìn)行靜態(tài)分析，分析內(nèi)容可包括：a)待檢破壞性程序的基本信息，包括文件的大小、創(chuàng)建時間、修改時間和版本號等；b)檢驗待檢破壞性程序文件的文件類型，以幫助了解待檢破壞性程序的本質(zhì)和意圖；c)將待檢破壞性程序與已知樣本破壞性程序進(jìn)行相似性比對，或使用反病毒軟件和反間諜軟件掃描待檢破壞性程序文件，以確定待檢破壞性程序文件是否具有已知惡意代碼的特征碼；d)檢測待檢破壞性程序是否具有防檢測分析的保護(hù)工具，如加殼、加密等情況。若存在防檢測分析的保護(hù)工具，可根據(jù)需要先去除保護(hù)工具。4.3.2待檢破壞性程序的動態(tài)分析根據(jù)待檢破壞性程序的具體情況，對待檢破壞性程序進(jìn)行動態(tài)分析，分析內(nèi)容可包括：4.3.2.1待檢破壞性程序行為監(jiān)控a）執(zhí)行待檢破壞性程序，在待檢破壞性程序運行過程中，通過觀察屏顯等方法檢驗計算機信息系統(tǒng)中是否發(fā)生異常情況，若存在異常情況，應(yīng)分析異常情況的產(chǎn)生是否與待檢破壞性程序有關(guān)；b）在待檢破壞性程序運行過程中，可使用監(jiān)控軟件對其行為進(jìn)行監(jiān)控，通過監(jiān)控軟件記錄并分析待檢破壞性程序的程序行為；c）若發(fā)現(xiàn)待檢破壞性程序在運行過程中存在網(wǎng)絡(luò)通訊行為的，應(yīng)使用網(wǎng)絡(luò)通訊監(jiān)控軟件對其收發(fā)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢驗分析，分析內(nèi)容可包括其收發(fā)網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)通訊地址、內(nèi)容、收發(fā)時間等信息，從而判斷待檢破壞性程序的網(wǎng)絡(luò)程序行為。4.3.2.2日志文件的分析在執(zhí)行待檢破壞性程序后，檢驗分析系統(tǒng)日志文件是否存在異常情況，若存在異常情況，分析判斷異常情況的產(chǎn)生是否與待檢破壞性程序有關(guān)。4.3.2.3系統(tǒng)內(nèi)存的檢驗分析在待檢破壞性程序運行過程中，檢驗分析計算機信息系統(tǒng)內(nèi)存中的相關(guān)信息是否存在異常情況，如指定進(jìn)程相關(guān)的內(nèi)存數(shù)據(jù)、隱藏的進(jìn)程、網(wǎng)絡(luò)連接等相關(guān)信息，并分析判斷異常情況的產(chǎn)生是否與待檢破壞性程序有關(guān)。4.3.2.4其它相關(guān)信息分析在待檢破壞性程序運行過程中，檢驗計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)、配置文件以及應(yīng)用程序等的異常情況，并分析異常情況產(chǎn)生的原因。4.3.2.5待檢破壞性程序的逆向分析必要時，可對待檢破壞性程序進(jìn)行逆向分析，通過分析反編譯代碼獲知可執(zhí)行程序的程序行為及其實現(xiàn)過程。4.3.2.6實驗分析必要時，可通過設(shè)計實驗對待檢破壞性程序仍存疑的程序行為或功能進(jìn)行分析。4.3.2.7綜合分析判斷將待檢破壞性程序運行過程中發(fā)現(xiàn)的所有異常情況進(jìn)行綜合分析，分析各種異常情況之間的相關(guān)性，判斷異常情況的出現(xiàn)是否與待檢破壞性程序有關(guān)聯(lián)。5檢驗記錄與檢驗活動有關(guān)的情況應(yīng)及時、客觀、全面地記錄，保證檢驗過程和檢驗結(jié)果的可追溯性。檢驗記錄應(yīng)反映出檢驗人、檢驗時間、審核人等信息。檢驗記錄的主要內(nèi)容應(yīng)包括：a)檢材固定保全情況；b)檢驗設(shè)備和工具情況；c)檢驗過程和發(fā)現(xiàn)；d)對檢驗發(fā)現(xiàn)的分析和說明；e)待檢程序?qū)τ嬎銠C系統(tǒng)造成的破壞情況（如存在f)其它相關(guān)情況。6檢驗結(jié)果待檢程序的檢驗結(jié)果可以是以下四種之一：a）確定為破壞性程序；判斷依據(jù)：發(fā)現(xiàn)待檢程序存在對計算機信息系統(tǒng)的功能或計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)等進(jìn)行未授權(quán)地獲取、刪除、增加、修改、干擾及破壞等的的行為。檢驗結(jié)果一般表述為:待檢程序為破壞性程序。b）確定為非破壞性程序；4判斷依據(jù)：未發(fā)現(xiàn)待檢程序存在對計算機信息系統(tǒng)的功能或計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)等進(jìn)行未授權(quán)地獲取、刪除、增加、修改、干擾及破壞等的的行為，并分析不存在通過現(xiàn)有技術(shù)手段無法發(fā)現(xiàn)的有對計算機信息系統(tǒng)的功能或計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)等進(jìn)行未授權(quán)地獲取、刪除、增加、修改、干擾及破壞等的可能性。檢驗結(jié)果一般表述為:待檢程序不是破壞性程序。c）未發(fā)現(xiàn)待檢程序具有破壞性；判斷依據(jù)：未發(fā)現(xiàn)待檢程序存在對計算機信息系統(tǒng)的功能或計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)等進(jìn)行未