ICS 07.140 CCSA92 GA 中华人民共和国公共安全行业标准 GA/T2134-2024 法庭科学 有损FLASH存储设备数据 恢复取证检验方法 Forensic sciences-Examination methods for data recovery of damaged FLASH storage devices 2024-04-16发布 2024-10-01实施 中华人民共和国公安部 发布
GA/T2134-2024 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由全国刑事技术标准化技术委员会(SAC/TC179)提出并归口.
本文件起草单位:公安部鉴定中心、最高人民检察院检察技术信息研究中心、司法鉴定科学研究 院、公安部第三研究所、重庆市公安局、江苏省公安厅、广东省公安厅、山东省公安厅.
GA/T 2134-2024 法庭科学有损FLASH存储设备数据 恢复取证检验方法 1范围 本文件规定了法庭科学领域有损FLASH存储设备数据恢复取证检验的术语和定义、仪器设备、 操作步骤、检验记录、检验结果表述要求及注意事项.
本文件适用于法庭科学领域有损FLASH存储设备数据的检验.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括的修改单)适用于 本文件.
GB/T9178集成电路术语 GB/T29360法庭科学电子数据恢复检验规程 GB/T29362法庭科学电子数据搜索检验规程 GA/T1554法庭科学电子物证检验材料保存技术规范 GA/T1568法庭科学电子物证检验术语 3术语和定义 GB/T9178、GA/T1568界定的以及下列术语和定义适用于本文件.
3.1 FLASH存储设备FLASH storage device 内部存储器为NANDFLASH的固态硬盘、存储卡、U盘、录音笔、MP3/MP4等设备.
3.2 一体式FLASH存储设备monolithicFLASH storage device 控制器、存储芯片等元器件集成在一个物理封装内的FLASH存储设备.
3.3 有损FLASH存储设备damaged FLASH storage device 由于元器件、电路、固件等故障,无法正常进行数据读写的FLASH存储设备.
4仪器设备 4.1硬件 电子物证检验工作站、FLASH专用数据提取设备、焊接工具、涂层打磨工具、照录像设备等.
GA/T 2134-2024 4.2软件 具有FLASH数据提取功能的软件、具有数据综合分析功能的软件等.
5操作步骤 5.1检材(样本)编号和拍照 对检材(样本)加上唯一性编号进行拍照,并记录检材的特征和状态.
5.2杀毒 启动杀毒软件对电子物证检验工作站系统进行杀毒.
5.3检验 5.3.1在不改变FLASH存储芯片中数据的情况下,排除检材主板元器件、电路和固件等故障.
对于 排除故障后可正常进行数据读写的检材,以只读方式连接到电子物证检验工作站,按照GB/T29360、 GB/T29362的规定进行检验.
5.3.2对于未能排除故障或排除故障后仍无法正常进行数据读写的检材,按照以下步骤进行检验.
a)根据检材封装类型,进行以下操作.
1)对于一体式FLASH存储设备,使用打磨等方式露出检材的集成电路触点,根据触点功 能的定义,将检材通过触点连接到FLASH专用数据提取设备,提取物理转储并计算完 整性校验值.
2)对于非一体式FLASH存储设备,根据芯片引脚功能的定义,将FLASH存储芯片连接 到FLASH专用数据提取设备,提取物理转储并计算完整性校验值.
b)对物理转储进行解密、重组,形成镜像文件并计算完整性校验值.
c)按照GB/T29360、GB/T29362的规定对镜像文件进行检验并计算检出数据的完整性校 验值.
5.4检出数据保存 将检出数据采用封盘刻录的方式刻录在不可擦写的空白光盘上或保存在专用存储介质中.
6检验记录 检验记录应包括检验地点、检验人员、起止时间、检验技术方法、检验仪器设备、检验软件及版本、 操作步骤、检出情况、提取物理转储的完整性校验值、检出数据的完整性校验值等内容,保证检验过程 的可追溯性.
7检验结果表述 据存储介质)的完整性校验值、保存检出数据的存储介质编号.
7.2未检出数据时,检验结果表述至少应包含检材(样本)编号和未检出数据情况.
7.3不具备检出数据条件时,检验结果表述至少应包含检材(样本)编号,并根据检材情况进行表述.
2
GA/T2134-2024 8注意事项 应按照GA/T1554的规定,对检材(样本)做好防水、防磁、防静电和防震保护.
