法庭科学　Linux操作系统日志检验技术规范 GAT 1663-2019.pdf

GA/T1663-20195操作步骤5.1检材编号对送检的检材进行唯一性编号。5.2检材拍照对送检的检材加上唯一性编号进行拍照。5.3检材保全备份对具备保全条件的检材进行保全备份。5.4检验5.4.1启动杀毒软件对电子物证检验工作站系统进行杀毒。5.4.2对检材（若已保全，使用保全的存储设备）通过只读接口接到电子数据检验工作站。5.4.3对In山x樑作系统中的日志配置文件进行检验，确定该系统记录的系统事件信息以及事件信息存放位置。5.4,4对【iux操作系统中的日志管理文件进行检验，确定系统管理日志文件的方式。依据日志管理文件中的内容，确定现有日志与周期备份日志的时间关系，结合检验要求，选择相应日志文件予以分析。5.4.5根据步骤5.4.3、5.4.4的检验结果，确定检材中要检验的Liux操作系统日志文件，使用电子数据检验综合分析软件或Liux操作系统命令对共这行检验。对于明文格式日志，可直接查看；对于二进制格式日志，使用相应的工具或命令予以解行李看。5,4,6解码后包含有时间信息的日志文件，徐结合操作系统所属时区进行时间转换。5.4.7对于已被删除的日志文件.依据(/T29360一2012进行数据恢复后，再按步骤5.4.5、5.4.6进行检验。5.4.8将检出数据存储在专用存储介质中并计算哈希值。6检验结果的表述检验结果表述符合以下规定：)检脸结果分为检出、术检出、不具备检验条件三种：b)检验结果应根据检验要求对检验对象、检验范围、检验所得进行客观、概括、有针对性的描述；)结果表述应包含检材编号、检出情况、检出数据文件或保存检出数据介质哈希值、保存检出数据介质编号等必要信息。7附则7.1在检脸过程中应做检验记录。7,2在检脸过程中，不应改变检材中的数据。7.3应对送检的检验对象做好防水、防磁、防静电和防震保护。2