司法鉴定技术规范 SF/ZJD0402004——2018 电子文档真实性鉴定技术规范 Guideline for forensic authentication of digital document 2018-11-08发布 2019-01-01实施 中华人民共和国司法部公共法律服务管理局发布 目 次 前言 II 1范围...... ....1 2规范性引用文件. ....................1 3术语和定义.1 4鉴定步骤... 5记录要求. 2 见 2 SF/ZJD04020042018 前言 本技术规范按照GB/T1.1-2009给出的规则起草. 本技术规范由司法鉴定科学研究院提出. 本技术规范由司法部公共法律服务管理局归口. 本技术规范起草单位:司法鉴定科学研究院和上海交通大学. 本技术规范主要起草人:施少培、杨旭、李岩、卢启萌、曾锦华、郭弘、陈晓红、卞新伟、邱卫东、 黄征. 本技术规范为首次发布. II SF/ZJD04020042018 电子文档真实性鉴定技术规范 1范围 本技术规范规定了电子文档真实性鉴定的鉴定步骤、记录要求及鉴定意见. 本技术规范适用于司法鉴定/法庭科学领域中的电子文档真实性鉴定. 2规范性引用文件 下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件. 凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件. GB/T29360电子物证数据恢复检验规程 GB/T29362电子物证数据搜索检验规程 SF/ZJD0400001-2014电子数据司法鉴定通用实施规范 SF/ZJD0403003-2015计算机系统用户操作行为检验规范 3术语和定义 SF/ZJD0400001-2014界定的以及下列术语和定义适用于本文件. 3.1 电子文档digital document 文字处理软件生成的以数字形式存在的文件. 3.2 电子文档真实性鉴定forensic authentication of digital document 对电子文档的形成过程进行分析,判断其修改情况. 4鉴定步骤 4.1准备 了解检材文档形成过程,并收集生成、存储、编辑、浏览、打印检材文档的电子设备或其存储介质. 4.2固定和保全 4.2.1对检材文档的物理载体进行唯一性标识并拍照. 4.2.2当能够获得生成检材文档的存储介质时,制作其电子数据副本并计算哈希值. 4.2.3当无法获得生成检材文档的存储介质时,对检材文档进行提取并计算哈希值. 1 SF/ZJD04020042018 4.3搜索和恢复 对获取的存储介质电子数据副本,按照GB/T29360及GB/T29362的要求搜索、恢复其中的检材文档 及与检材文档相关的数据. 4.4检验和分析 根据检材文档具体情况,视需要对下列全部或部分内容进行检验和分析: a)对检材的操作系统进行检验,分析时间基准是否经过修改; b)对检材的文件系统进行检验,分析针对检材文档及相关文档的操作记录,包括但不限于NTFS 日志、页面文件、休眠文件、卷影副本、交换数据流等; C)对与检材文档相关的应用程序进行检验,可按照SF/ZJD0403003-2015章节4.4.5的要求分析 软件使用记录等信息; d对检材中的打印记录进行检验,可按照按照SF/ZJD0403003-2015章节4.4.4的要求分析检材 文档的打印记录等信息; )对检材文档的数字签名情况进行检验,分析数字签名的完整性,解析并呈现数字签名所含信息; f)对检材文档的存储位置进行检验,包括目录结构及存储介质中的物理位置; g)对检材文档的文件属性及元数据信息进行检验,分析其中的创建时间、最后修改时间、访问时 间、MFT更新时间、最后打印时间、作者、最后保存者、编辑次数等信息; h)对检材文档的内容数据进行检验,分析其正常状态下未显示的内容; i)对与检材文档相关的临时文件进行检验,分析相互之间的关系; j)对系统注册表进行检验,分析文件访问记录等信息; k)对与检材文档相关的其它文件或数据进行检验,分析相互之间的关系.如包含相同或相似关键 词的文件、创建或修改时间相同或相近的文件等. 4.5综合分析 根据上述检验结果,对检材文档进行综合分析,应注意以下内容: a)尽可能多角度对检材文档及相关数据进行分析,以形成相互之间的印证关系; b)有些异常情况可能是软件缺陷等原因造成,应对其成因进行分析; c)必要时通过模拟实验,对检材文档的存疑特性进行分析; d)对检材文档数据与其形成过程陈述是否存在矛盾进行分析. 5记录要求 与鉴定活动有关的情况应及时、客观、全面地记录,保证鉴定过程和结果的可追溯性.检验记录应 反映出检验人、检验时间、...