ICS 07.140 CCS A92 SF 中 华 人 民 共 和 国 司 法 行 政 行 业 标 准 SF/T 0145—2023 智能移动终端应用程序功能鉴定技术规范 Technical specification for functionality analysis of smart mobile application 2023 - 10 - 07发布 2023 - 12 - 01实施 中华人民共和国司法部 发布 SF/T 0145 —2023 I 目次 前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 仪器设备 ................................ ................................ ........... 1 5 鉴定原则 ................................ ................................ ........... 2 6 鉴定步骤 ................................ ................................ ........... 2 7 鉴定意见 ................................ ................................ ........... 5 参考文献 ................................ ................................ .............. 6 SF/T 0145 —2023 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由司法鉴定科学研究院提出。 本文件由司法部信息中心归口。 本文件起草单位： 司法鉴定科学研究院、 最高人民检察院检察技术信息研究中心、国家信息中心、 国家工业信息安全发展研究中心、西安邮电大学、公安部第三研究所、广西壮族自治区公安厅、重庆市 公安局、江苏省公安厅、大连市公安局、厦门市美亚柏科信息股份有限公司、上海弘连网络科技有限公 司。 本文件主要起草人： 李岩、郭弘、李佳、王笑强、孙奕、刘浩阳、陈兴文、潘妍、高梓铭、 韦同胜、 吴松洋、田庆宜、李峰、文静、刘善军、孙文琦、卢启萌、耿浦洋、曾锦华、田野、杨恺、李致君、毛 晓、凌嵘、刘海飞。 SF/T 0145 —2023 1 智能移动终端应用程序功能鉴定技术规范 1 范围 本文件规定了智能移动终端应用程序 [以下简称“应用程序” （ APP）]功能鉴定中使用的仪器设备、 鉴定原则、鉴定步骤、鉴定记录以及鉴定意见的要求。 本文件适用于司法鉴定领域中智能 移动终端 APP的功能鉴定，对搭载智能移动终端同类操作系统的 电子设备上的 APP功能鉴定参照使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 SF/T 0105 存储介质数据镜像技术规程 SF/T 0157 移动终端电子数据鉴定技术规范 3 术语和定义 SF/T 0157界定的以及下列术语和定义适用于本文件。 反编译 decompile 将智能移动终端应用程序 还原成汇编语言代码或高级语言代码的过程。 静态检验分析 static analysis 在智能移动终端应用程序 没有运行的情况下对其代码和数据进行的检验分析 过程。 动态检验分析 dynamic analysis 在智能移动终端应用程序 运行状态下对其代码、数据和行为进行的检验分析过程。 加壳 packing 使用加密、隐藏和混淆 等技术保护智能移动终端应用程序 的代码、数据和资源，防止 智能移动终端 应用程序 被修改或二次分发 的技术手段。 脱壳 unpacking 绕过或者解除保护，获得加壳 （3.4）智能移动终端应用程序 代码文件的技术手段。 4 仪器设备 硬件 APP功能鉴定所用的硬件设备宜包括但不限 于： a) 电子数据鉴定专用计算机； b) 存储介质复制设备； c) 存储介质只读设备； d) 数据连接线及转接口； e) 实验用智能移动终端； f) 网络设备（无线路由器等）； g) 数码照相机 /物证翻拍仪； SF/T 0145 —2023 2 h) 数码摄像机。 软件 APP功能鉴定所用的软件工具宜包括但不限于： a) 移动终端检验分析系统； b) APP功能分析工具； c) 加壳检测工具； d) 脱壳工具； e) 逆向分析工具； f) 程序开发工具； g) 系统监控工具； h) 移动终端操作系统仿真工具 /移动终端模拟器； i) 内存数据获取和分析工具； j) 网络数据流捕获和分析工具； k) 完整性校验值 计算工具； l) 屏幕录像工具； m) 软件测试工具。 5 鉴定原则 全面原则：鉴定过程尽可能覆盖委托鉴定事项中需检功能的所有相关功能点或子功能。 兼顾原则：鉴定过程兼顾动态检验分析和静态检验分析，鉴定意见的依据以动态检验分析为主， 静态检验分析为辅。 可重复原则： 鉴定过程确保在原环境或原环境相近环境下的可重复性； 对于其中不能重复的环节， 以录像形式记录。 可追溯原则：完整、准确、全面地记录与鉴定过程相关的信息，以保证鉴定结果的可追溯性。 及时性原则：鉴定过程中及时固定和提取时效性电子数据，防止数据发生变化或灭失。 6 鉴定步骤 明确要求 6.1.1 在鉴定委托的受理阶段，应与委托人沟 通明确以下内容并留存记录： a) 基本案情及需通过鉴定解决的技术问题； b) 需检APP的名称、来源及版本； c) 需检APP的载体或获取方式； d) 需检功能的清晰描述 （可通过开发文档、技术报告等形式体现） ，包括其触发条件等； e) 需检APP的特定运行环境（适用时）； f) 需检APP的开发、编译环境（适用时）； g) 需检APP运行时所需的身份认证信息（适用时）。 6.1.2 委托鉴定事项应清晰、无歧义、可操作。 示例：在“红包助手” APP（版本： 2.1）后台运行状态下，是否具有抢微信红包的功能 。 固定提取 和编译 6.2.1 实物检材 对于实物检材， 按照以下流程固定提取： a) 对检材进行唯一性编号后拍照； b) 若检材为具备存储介质镜像条件的存储介质或电子设备，应按照 SF/T 0105的规定制作并留 存镜像文件； SF/T 0145 —2023 3 c) 若检材为不具备存储介质镜像条件存储介质或电子设备， 可直接对其中的需检 APP的安装包、 代码及相关数据进行提取，提取过程宜以录像形式记录； d) 若检材为智能移动终端，提取过程应符合 SF/T 0157的规定； e) 若需检APP位于移动终端模拟器等环境中，则对其进一步解析后提取 。 6.2.2 网络检材 位于网络上的检材，按照以下流程固定提取： a) 应启动屏幕录像工具，或使用数码摄像机拍摄屏幕显示内容； b) 应从可信的时间源获取并记录开始时间； c) 应从6.1.1确定的来源下载或远程提取需检 APP、代码或其他相关数据 ，若来源为网络链接或 二维码链接，宜记录链接跳转或重定向过程； d) 应按照6.2.4的规定处理结果数据并进行检验记录； e) 应再次从可信的时间源获取并记录结束时间，结束屏幕录像或摄像机拍摄。 6.2.3 编译 6.2.3.1 若需检APP需要通过编译源代码获得，应对编译过程进行全程录像，并记录编译参数及使用 的库文件等。 6.2.3.2 若编译过程修改了源代码或配置文件，应记录修改内容和修改理由。 6.2.4 固定提取结果 6.2.4.1 对于APP安装包，应记录来源、安装包文件名和版本号（如有）。 6.2.4.2 无法获得独立安装包时，应使用屏幕录像工具记录下载安装过程。 6.2.4.3 对于APP源代码，应保留目录结构生成压缩包。 6.2.4.4