GB/T 29360-2023 法庭科学 电子数据恢复检验规程.pdf

CCSA92 ICS 07.140
GB 中华人民共和国国家标准 GB/T 29360-2023 代替GB/T29360-2012
法庭科学电子数据恢复检验规程 Forensicsciences-Code ofpracticeforelectronicdatarecovery examination
2023-03-17发布2023-10-01实施 国家市场监督管理总局发布 国家标准化管理委员会
GB/T29360-2023
前言
起草。

本文件代替GB/T29360-2012《电子物证数据恢复检验规程》，与GB/T29360-2012相比，除结 构调整和编辑性改动外，主要技术变化如下： -一更改了标准适用范围（见第1章，2012年版的第1章）； -一增加了文件修复的术语和定义（见3.1)； -增加了文件特征的术语和定义（见3.2）； -更改了硬件的要求（见4.1，2012年版的4.1)； 更改了软件的要求（见4.2，2012年版的4.2）； 更改了检材及样本编号、拍照的部分内容（见5.1，2012年版的5.1、5.2）； 更改了“检验”的部分内容（见5.4，2012年版的5.4）； 更改了检出数据保存的要求（见5.5，2012年版的5.5）； 增加了检验记录的要求（见第6章）； 更改了检验结果表述的要求（见第7章，2012年版的第6章）； 增加了关于故障存储介质的注意事项（见8.2）； -增加了关于加密情况的注意事项（见8.3）； 一增加了关于需要数据重组情况的注意事项（见8.4）。

请注意本文件的某些内容可能涉及专利。

本文件的发布机构不承担识别专利的责任。

本文件由中华人民共和国公安部提出。

本文件由全国刑事技术标准化技术委员会（SAC/TC179)归口。

本文件起草单位：公安部物证鉴定中心、最高人民检察院检察技术信息研究中心、司法鉴定科学研 究院。

本文件主要起草人：邢桂东、楚川红、龙源、李运策、郭弘、张国臣、尹春社。

本文件所代替文件的历次版本发布情况为： GB/T29360-2012； -一本次为第一次修订。

I
GB/T 29360-2023
法庭科学电子数据恢复检验规程
1范围
求及注意事项。

本文件适用于法庭科学领域存储介质及保全备份数据文件的电子数据恢复检验。

2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。

其中，注日期的引用文
本文件。

GB/T36450.5信息技术存储管理第5部分：文件系统 GA/T1554法庭科学电子物证检验材料保存技术规范 GA/T1568法庭科学电子物证检验术语
3术语和定义
GB/T36450.5、GA/T1568界定的以及下列术语和定义适用于本文件。

3.1 文件修复filerepairing 对无法正常识别和打开的文件，使用适当的方式进行修复以识别文件内容的过程。

3.2 文件特征filesignature 文件签名 用于识别文件真实类型的特征值（标识符)。

4仪器设备
4.1硬件 电子物证检验工作站、保全备份设备、只读设备、存储介质、解密设备、照录像设备等。

4.2软件
软件等。

GB/T29360-2023
5操作步骤
5.1检材（样本)编号和拍照 对检材（样本）加上唯一性编号进行拍照。

5.2杀毒 启动杀毒软件对电子物证检验工作站系统进行杀毒。

5.3检材（样本）保全备份 计算检材（样本）的完整性校验值，宜对具备保全备份条件的检材（样本）进行保全备份。

5.4检验
全备份的镜像文件，将其加载到电子物证检验工作站。

件工具对无法正常识别和打开的数据文件进行修复。

数据恢复的方式包括但不限于： a）根据文件系统信息进行数据恢复； b）根据文件特征信息进行数据恢复； c）根据文件特定数据结构进行数据恢复； d）根据数据库类型、数据库备份、数据库日志、数据库信息进行数据恢复。

5.4.3对恢复后的数据文件根据检验要求进行筛选（可对筛选后的数据文件进行数据压缩），形成检出 数据。

5.4.4计算检出数据的完整性校验值。

5.5检出数据保存 将检出数据采用封盘刻录方式刻录在不可擦写的空白光盘上或保存在专用存储介质中。

6检验记录
检验记录至少应包含检验地点、检验人员、起止时间、检验技术方法、检验仪器设备、检验软件及版 本、操作步骤、检验情况、检出数据的完整性校验值，保证检验过程的可追溯性。

7检验结果表述
据存储介质）的完整性校验值、保存检出数据的存储介质编号。

7.2未检出数据时，检验结果表述至少应包含检材（样本）编号和未检出数据情况。

7.3不具备检出数据条件时，检验结果表述至少应包含检材（样本）编号，并根据检材情况进行表述。

2
GB/T29360-2023
8注意事项
8.1应按照GA/T1554的要求，对检材（样本）做好防水、防磁、防静电和防震保护。

8.2故障存储介质应排除故障后再进行恢复检验。

8.3对于加密的检材及检材中加密的数据，可使用具有解密功能的软件工具解密后再进行恢复检验。

8.4对于需要数据重组的检材，应使用具有数据重组功能的软件工具重组后再进行恢复检验。

...