全网唯一标准王
ICS 35.240.01 A 92 GA 中华人民共和国 公共安全 行业标准 GA/T XXXX—XXXX 法庭科学 破坏性程序检验技术方法 Technical metho ds for examination of destructive programs in Forensic science 报批稿 XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国公安部 发布 GA/T XXXXX—XXXX I 前 言 本标准按照 GB/T 1.1 -2009给出的规则起草。 本标准由 公安部第三研究所 提出。 本标准由 公安部信息系统安全标准化技术委员会归口 。 本标准起草单位: 公安部第三研究所 。 本标准主要起草人: 蔡立明、金波、杨涛、沙晶、崔宇寅、张云集、孙杨。 GA/T XXXXX—XXXX 1 法庭科学 破坏性程序检验 技术方法 1 范围 本标准规定了 对计算机信息系统中的破坏性程序 进行检验、分析的技术方法 和步骤。 本标准适用于 法庭科学 计算机信息系统中的 破坏性程序 的检验鉴定。 2 规范性引用文件 下列文件 对于本文件的应用是必不可少的。 凡是注日期的引 用文件, 仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GA/T 976 -2012 电子数据法庭科学鉴定通用方法 3 术语和定义 GA/T 756 -2008和GA/T 976-2012界定的以及下列术语和定义适用于本 文件。 3.1 计算机信息系统 computer information system 具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。 3.2 破坏性程序 destructive program 能够在预先设定条件 下自动触发,并破坏计算机 信息系统功能、数据或者应用 程序的程序;或者可 以通过网络、 存储介质、文件等媒介,将自身的部分、全部或变种进行复制、传播 ,并破坏计算机 信息 系统功能、数据或者应用 程序的程序;以及其他专门设计用于破坏计算机 信息系统功能、数据或者应用 程序的程序。 3.3 程序行为 program behavior 程序在运行期间 与计算机信息系统的交互及其对计算机信息系统产生的影响。 3.4 静态分析 static analysis 在程序没有运行 的情况下,对可执行 程序进行的分析。 3.5 GA/T XXXXX—XXXX 2 动态分析 dynamic analysis 在程序运行过程中 ,对可执行程序的程序行为进行的分析 。 3.6 逆向分析 reverse analysis 对可执行程序 进行反编译,通过分析反 编译代码获知可执行程序的 程序行为及 其实现过程 。 4 检验过程 4.1 待检程序的固定保全 4.1.1 检材为电子文件时,对电子文件进行备份,并计算 其完整性校验值。 4.1.2 检材为数字化设备时 ,应对检材进行拍照或录像,记录其特征 ,并对检材进行唯一性标识 。根据 设备状态进行固定保全: a) 检材为开机状态时: 1) 对检材屏幕的显示内容进行拍照或录像 ; 2) 对检材存储介质中的 待检程序进行备份并计算 完整性校验值; 3) 在条件允许的情况下,可获取检材内存镜像并计算 完整性校验值。 b) 检材为关机状态时: 1) 对于具有写保护条件的,应将检材中的存储介质通过写保护设备连接至检验设备上; 2) 关闭检验设备上的安全防护软件,防止安全防护软件自动将 待检程序删除; 3) 对检材存储介质中的 待检程序进行备份,备份时应将 待检程序与检验设备上的其 他程序及 文件进行隔离,防止 待检程序对检验设备上的系统、程序、文件造成破坏; 4)计算待检程序的完整性校验值。 4.2 待检程序检验环境的搭建 4.2.1 根据待检程序的运行环境 ,搭建相应的检验环境, 搭建的检验环境应确保其具备触发待检程序运 行的条件,并确保 待检程序能够正常运行 。 4.2.2 在检验环境中安装必要的系统监控、网络监控 和程序分析等工具。 4.2.3 避免安装与待检程序检验无关的软件程序等 ,以免影响 待检程序的正常运行 。 4.2.4 在条件允许的情况下,可搭建 虚拟检验环境对 待检程序进行实验分析。 4.3 待检程序的检验分析 4.3.1 待检程序的静态分析 根据待检程序的具体情况, 对待检程序进行静态分析,内容可包括: GA/T XXXXX—XXXX 3 a) 待检程序的基本信息,包括 文件的大小 、创建时间、修改时间 和版本号等; b) 待检程序文件的文件类型 ,以帮助了解 待检程序的性质; c) 将待检程序与已知样本破坏性程序进行相似性比对,或使用反病毒软件和反间谍软件扫描 待检 程序文件,以确定 待检程序文件是否具有已知恶意代码的特征码 ; d) 检验待检程序是否具有防 检验分析的保护工具,如加壳、加密等情况。若存在防 检验分析的保 护机制,可根据需要先去除保护 机制。 4.3.2 待检程序的动态分析 项目的选择 根据待检程序的具体情况, 选择以下一项或多项内容 对待检程序进行动态分析: a) 待检程序行为监控 ; b) 日志文件的分析 ; c) 系统内存的检验分析 ; d) 其它相关信息分析; e) 待检程序的逆向分析; f) 实验分析; g) 综合分析判断。 4.3.3 待检程序的动态分析 4.3.3.1 待检程序行为监控 可通过以下方式对 待检程序的行为 进行监控: a) 运行待检程序,在 待检程序运行过程中, 通过观察屏显等方法 检验计算机信息系统中是否发生 异常情况 ,若存在异常情况,应 分析异常情况的产生是否与 待检程序有关 ; b) 在待检程序运行过程中, 可使用监控软件对其行为进行监控,通过监控软件记录 并分析待检程 序的程序行为 ; c) 若发现待检程序在运行过程中存在网络通讯行为的,应使用网络通讯监控软件 对其收发的网络 数据包进行检验分析,分析内容可包括其收发网络数据包的网络通讯地址、内容、收发时间等 信息,从而判断 待检程序的网络程序行为。 4.3.3.2 日志文件的分析 在运行待检程序后, 检验分析系统 日志文件 是否存在异常情况, 若存在异常情况 ,分析判断异常情 况的产生是否与 待检程序有关 。 4.3.3.3系统内存的检验分析 在待检程序运行过程中, 检验分析计算机信息 系统内存中的相关信息 是否存在异常情况 ,如指定进 程相关的内存数据、隐藏的进程、网络连接等相关信息, 并分析判断异常情况 的产生是否与 待检程序有 关。 4.3.3.4其他相关信息分析 在待检程序运行过程中,检验计算机 信息系统中存储、处理或者传输的数据 、配置文件以及应用程 序等的异常情况 ,并分析异常情况产生的原因。 GA/T XXXXX—XXXX 4 4.3.3.5 待检程序的逆向分析 必要时,可对待检程序进行逆向分析,通过 分析反编译代码获知可执行程序的程序行为及其实现过 程。 4.3.3.6 实验分析 必要时,可 通过设计实验对 待检程序存疑的程序行为 或功能进行分析。 4.3.3.7 综合分析判断 将待检程序运行过程中 发现的所有异常情况进行综合分析,分析各种异常情况之间的相关性,判断 异常情况的出现是否与 待检程序有关联。 5 检验记录 与检验活动有关的情况应及时、客观、全面地记录,保证检验过程和检验结果的可追溯性。检验记 录应反映出检验人、检验时间、审核人等信息。检验记录的主要内容 应包括: a) 检材固定保全情况 ; b) 检验设备和工具情况 ; c) 检验过程和发现 ; d) 对检验发现的分析和说明 ; e) 待检程序对计算机系统造成的破坏情况( 如存在) ; f) 其他相关情况 。 6 检验结论 根据对待检程序的检验分析,描述 待检程序的程序行为及其 具有的功能 。 _________________________________

.pdf文档 GA-T 1713-2020 法庭科学 破坏性程序检验技术方法

文档预览
中文文档 6 页 50 下载 1000 浏览 0 评论 309 收藏 3.0分
温馨提示:本文档共6页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
GA-T 1713-2020 法庭科学 破坏性程序检验技术方法 第 1 页 GA-T 1713-2020 法庭科学 破坏性程序检验技术方法 第 2 页 GA-T 1713-2020 法庭科学 破坏性程序检验技术方法 第 3 页
下载文档到电脑,方便使用
本文档由 人生无常 于 2025-08-02 12:26:00上传分享
友情链接
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。