你好,歡迎來到司法鑒定服務網!

全國服務熱線

0662-6322769
計算機系統用戶操作行為檢驗步驟

時間:2018-03-29 15:10 來源:司鑒院

計算機系統用戶操作行為檢驗步驟,依次為了解相關情況、固定保全、搜索和恢復、檢驗和分析。

4 檢驗步驟

4.1 了解相關情況

4.1.1 了解檢材的使用情況,如用戶信息、系統狀態、可能的操作行為等。

4.1.2 如檢材有登錄口令或加密密鑰保護,了解口令或密鑰信息,并獲得使用授權。

4.2 固定保全

4.2.1 對檢材進行惟一性標識。

4.2.2 對檢材進行拍照或錄像,記錄其特征。

4.2.3 當檢材為開機狀態時: a) 對檢材屏幕的顯示內容進行拍照或錄像; b) 必要時提取檢材內存數據并計算哈希值; SF/Z JD0403003—2015 2 c) 必要時對檢材存儲介質中需要的數據進行備份,并計算哈希值; d) 采用適當工具和方法對檢材進行在線分析,并對檢材中運行的程序及進程/線程進行分析和保全。

4.2.4 當檢材為關機狀態時:

a) 對具備條件的檢材進行完整備份,并進行校驗,之后使用備份數據進行檢驗; b) 對于無法進行完整備份的檢材,采用適當的工具和方法啟動計算機系統,對需要的數據進行備份,并計算哈希值; c) 必要時在只讀條件下進行開機檢驗,并做好相關記錄。

4.3 搜索和恢復根據檢驗需要,搜索、恢復保存在檢材中的相關文件和數據。

4.4 檢驗和分析根據檢材具體情況,視檢驗需要對下列全部或部分內容進行檢驗和分析。

4.4.1 登錄/登出行為檢驗

a) 分析系統日志、應用程序日志及系統安全日志等日志文件中與用戶登錄/登出相關的記錄; b) 分析注冊表中用戶鍵值中的信息,如用戶最后一次登錄時間、最后一次登錄失敗時間等; c) 在系統中其它位置查找與登錄/登出相關的信息,如系統中文件的修改時間、防病毒軟件的啟動/關閉記錄等。

4.4.2 接入外部設備行為檢驗

a) 分析系統驅動安裝日志中與設備相關的數據; b) 分析注冊表中與設備相關的數據; c) 分析系統中的文件與外部設備中的文件的相似性及復制關系; d) 對于存在自動備份機制的外部設備(如手機),分析備份在計算機系統中的數據。

4.4.3 文件操作行為檢驗

a) 分析文件的屬性信息; b) 分析文件的元數據信息; c) 分析文件操作形成的臨時文件、備份文件、快捷方式等; d) 分析文件在相關軟件及系統中的最近打開記錄; e) 對于被刪除的文件,分析其狀態、位置及內容。 4.4.4 打印行為檢驗 a) 分析系統中安裝的打印機驅動程序; b) 恢復并分析打印臨時文件,如 SHD、SPL 及 TMP 文件; c) 查找打印源文件,針對特定類型的源文件(如 Word 文檔),分析其中的打印時間。

4.4.5 軟件使用行為檢驗

a) 分析系統中軟件文件的屬性信息; b) 分析軟件運行時生成的配置文件、臨時文件及其屬性信息; c) 分析軟件的日志信息; SF/Z JD0403003—2015 3 d) 分析軟件在系統中其它位置(如注冊表、系統還原點、系統鏡像、最近打開文檔等)留下的信息; e) 對于含有數據庫的軟件,對數據庫中的數據進行分析。

4.4.6 瀏覽網頁行為檢驗

a) 根據網頁瀏覽器類型和版本,查找其歷史數據保存位置; b) 分析網頁瀏覽歷史數據,如地址欄網址輸入記錄、網址重定向記錄、網頁瀏覽歷史記錄等; c) 分析與被瀏覽網頁相關的圖片、文檔、壓縮包、Cookies、腳本等信息; d) 查找并分析系統中與被瀏覽網頁相關的其它文件,如收藏夾、保存的網頁、下載的文件等; e) 條件允許的情況下獲取并分析位于服務器上的相關記錄。

4.4.7 即時通訊行為檢驗

a) 查找系統中安裝的即時通訊軟件及其數據文件; b) 分析客戶端軟件版本、用戶賬號等信息及數據文件的屬性信息; c) 分析數據文件中的聊天記錄等信息; d) 查找并分析通過即時通訊傳輸的圖片、文檔、多媒體文件等信息; e) 條件允許的情況下獲取并分析即時通訊交互中另一方的數據; f) 條件允許的情況下獲取并分析位于服務器上的相關記錄。

4.4.8 電子郵件收發行為檢驗

a) 查找系統中安裝的電子郵件客戶端軟件及其數據文件; b) 根據客戶端類型分析數據文件中的電子郵件及其相互之間的關聯; c) 在系統中搜索其它與需檢電子郵件相關的信息; d) 對于通過網頁電子郵件服務收發的電子郵件,按照瀏覽網頁行為進行檢驗;如能獲得授權,參照SF/Z JD0402001-2014電子郵件鑒定實施規范保全并分析; e) 條件允許的情況下獲取并分析電子郵件往來中另一方或其他收件(抄送)方的電子郵件; f) 條件允許的情況下獲取并分析位于服務器上的相關記錄。

4.5 注意事項

4.5.1 計算機系統中的時間信息與真實時間并非完全一致,檢驗中應注意系統時間與實際時間的差值,并分析人為修改、失電等原因造成的系統時間改變。

4.5.2 對于加密的數據,檢驗前應先對其進行解密。

4.5.3 在查找操作痕跡時,應注意搜索、恢復的全面性。

4.5.4 注意查找并分析檢材中多處可以互相印證的操作痕跡。

4.5.5 注意查找并分析與操作行為相關的存在于第三方的數據。

4.5.6 對于檢驗中發現的一些存疑現象,可以搭建類似的環境進行實驗重現,判斷其性質。

3d和值