ICS 35.240 CCS L60 SF 中 华 人 民 共 和 国 司 法 行 政 行 业 标 准 SF/T 0105—2021 存储介质数据镜像技术规程 Code of practice for forensic imaging of storage media 2021 - 11 - 17发布 2021 - 11 - 17实施 中华人民共和国司法部 发布 SF/T 0105 —2021 I 目次 前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 1 5 仪器设备 ................................ ................................ ........... 2 6 镜像获取程序 ................................ ................................ ....... 3 7 过程要求 ................................ ................................ ........... 3 8 记录内容 ................................ ................................ ........... 6 参考文献 ................................ ................................ .............. 7 SF/T 0105 —2021 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由 司法鉴定科学研究院 提出。 本文件由 司法部信息中心 归口。 本文件起草单位：司法鉴定科学研究院、公安部第三研究所、上海市人民检察院、厦门市美亚柏科 信息股份有限公司、厦 门市兴百邦科技有限公司。 本文件主要起草人： 李岩、施少培、郭弘、吴松洋、高峰、徐志强、孙奕、卢启萌、曾锦华、杨恺、 李致君、张辉极、刘善军、胡壮 。 SF/T 0105 —2021 1 存储介质数据镜像技术规程 1 范围 本文件规定了存储介质数据镜像获取 的仪器设备、程序、过程要求和记录内容。 本文件适用于司法鉴定 /法庭科学领域中存储介质数据镜像的获取 和使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GA/T 1476 —2018 法庭科学远程主机数据获取技术规范 3 术语和定义 下列术语和定义适用于本文件。 源 source 镜像获取过程的输入数据、存储介质或电子设备。 目标 target 镜像获取过程的输出文件或存储介质。 镜像文件 image file 从数据源复制生成的，可重新构 建数据源数据比特流的一个或一组目标文件。 坏块 bad block 存储介质中由物理故障导致的无法读取的数据区域。 合理填充 benign fill 在镜像获取过程中， 当数据源特定数据区域无法读取时， 或目标存储介质存在多 余数据存储区域时， 向镜像文件（ 3.3）或者目标存储介质对应的数据存储区域填充 指定数据的过程。 注： 填充的指定数据 可以是二进制全 0、 二进制全 1或者 “BADBLOCK ” 等显著标示该数据不是来自数据源的文本内容 ， 以避免与其他数据产生混淆 。 在线镜像获取 live image acquisition 在电子设备 运行状态下，以其中的存储介质、分区 （卷）为源（3.1）的镜像获取过程。 4 缩略语 下列缩略语适用于本文件。 SF/T 0105 —2021 2 ATA 高级技术附件（ Advanced Technology Attachment ） BIOS 基本输入输出系统（ Basic Input/Output System ） DCO 设备配置覆盖区（ Device Configuration Overlay ） FC 光纤通道（ Fiber Channel ） HPA 主机保护区（ Host Protected Area ） IDE 集成磁盘电子接口（ Integrated Drive Electronics ） iSCSI 基于因特网的小型计算机系统接口（ Internet Small Computer System Interface ） PCIe 外设组件互连快线（ Peripheral Component Interconnect Express ） RAID 独立磁盘冗余阵列（ Redundant Array of Independent Disks ） SAS 串行小型计算机系统接口（ Serial Attached SCSI ） SATA 串行高级技术附件（ Serial Advanced Technology Attachment ） SCSI 小型计算机系统接口（ Small Computer System Interface ） S.M.A.R.T. 自我监测、 分析及报告技术 （ Self-Monitoring Analysis and Reporting Technology ） TPM 可信平台模块（ Trusted Platform Module ） USB 通用串行总线（ Universal Serial Bus ） 5 仪器设备 硬件 存储介质数据镜像获取 和使用所涉及 的硬件设备包括但不限于： a) 电子数据 鉴定专用计算机 ； b) 存储介质 复制设备 ； c) 存储介质 只读设备； d) 多功能只读读卡器； e) 存储介质诊断检测设备； f) 故障硬盘修复设备； g) 光盘修复设备； h) 免拆机硬盘复制工具； i) 计算机绕密取证工具； j) 存储介质转接接口及数据线； k) 分线器； l) 系统引导盘； m) 网络设备； n) 数码照相机 /物证翻拍仪； o) 数码摄像机 。 软件 存储介质数据镜像获取 和使用所涉及的软件工具包括但不限于： a) 只读软件； b) 具备镜像获取功能的软件； c) RAID阵列重组工具 ； d) 完整性校验值计算工具； e) 内存获取 软件； f) 内存数据分析软件； g) 镜像文件格式转换工具； h) 镜像挂载工具； i) 屏幕录像软件。 SF/T 0105 —2021 3 6 镜像获取程序 常规镜像获取方式 常规镜像获取方式一般遵循以下程序： a) 将源存储介质从所在电子设备上断开； b) 准备目标存储介质并对其进行清洁性检查； c) 将源存储介质及目标存储介质连接至 检验设备 ，并采取只读措施防止改变源存储介质数据； d) 读取源存储介质的数据，逐比特复制到镜像文件或目标存储介质； e) 校验镜像文件或 目标存储介质的数据完整性。 免拆机镜像获取方式 不满足常规镜像获取方式条件时，可选用以下方式进行免拆机镜像获取： a) 在线镜像获取方式： 使用电子设备 运行中的操作系统环境获取镜像； b) 引导获取方式： 使用系统引导盘启动电子设备， 挂载源存储介质和目标存储介质后获取镜像； c) 网络获取方式：通过网络访问或挂载源存储介质获取镜像； d) 外部加载获取方式： 将源存储介质所在的电子设备作为外部存储介质连接至 检验设备获取存 储介质镜像。 示例：部分型号的苹果计算机可在启动时设置为目标磁盘模式，连接至另一台苹果计算机后获取镜像。 7 过程要求 准备阶段 7.1.1 发现与识别存储介质 7.1.1.1 检材为电子设备时，可通过以下一种或多种方法发现与识别 源存储介质： a) 检查电子设备上的存储介质接口， 寻找 内置或外接的