法庭科学 电子物证Windows操作系统日志检验技术规范 GAT 1071-2021.pdf

GA/T1071-20214.2软件Windows操作系统日志检验软件、Windows操作系统提供的事件查看器，数据恢复软件。5操作步骤5.1检材及样本编号对送检的检材（样本）进行唯一性编号。5.2检材及样本拍照将送检的检材（样本）加上唯一性编号进行拍照。5.3检材及样本保全备份对具备保全条件的检材（样本）进行保全备份。5.4检验5.4.1启动杀毒软件对电子物证检验工作站系统进行杀毒。5.4.2将检材（若已保全，使用保全的存储设备）通过只读方式连接到电子物证检验工作站。5.4.3计算检材（样本）的数据完整性校验值。5.4.4按照GB/T29360和GB/T29362对检材进行数据恢复、搜索Windows操作系统日志文件。5.4.5 Windows2000、Windows XP、Windows2003、Windows Server2000/2003操作系统日志默认存储路径是%systemroot%System32config,应用程序日志、安全日志和系统日志对应的文件名分别为AppEvent.evt,SecEvent.evt SysEvent.evt.5.4.6 Windows Vista、.Windows7,Windows8、Windows10、Windows Server2008/2012/2016操作系统日志默认存储路径是%systemroot%System32winevtlogs,应用程序日志、安全日志和系统日志对应的文件名分别为Application.evtx,Security.evtx和System.evtx。5.4.7使用检验工具对日志文件内容进行检验。5.4.8将检出的日志文件按检验要求筛选后复制到检验专用存储介质中，并计算数据完整性校验值。5.5检验结果保存将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或者保存在专用存储介质中，并计算检出数据的完整性校验值。6检验结果表述检验结果表述应符合以下规定：)检验结果分为检出、未检出、不具备检验条件三种：b)检脸结果应根据检脸要求对检材、检验范围、检验所得进行客观、概括、有针对性地描述：c)结果表述应包含检材编号、检出情况、检出数据文件（或保存检出数据介质）的完整性校验值保存检出数据介质编号等必要信息。