SF_T 0105-2021 存储介质数据镜像技术规程.pdf
《SF_T 0105-2021 存储介质数据镜像技术规程.pdf》由会员分享,可在线阅读,更多相关《SF_T 0105-2021 存储介质数据镜像技术规程.pdf(11页珍藏版)》请在咨信网上搜索。
1、 ICS 35.240 CCS L60 SF 中 华 人 民 共 和 国 司 法 行 政 行 业 标 准 SF/T 01052021 存储介质数据镜像技术规程 Code of practice for forensic imaging of storage media 2021-11-17 发布 2021-11-17 实施 中华人民共和国司法部 发 布 SF/T 01052021 I 目次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.1 5 仪器设备.2 6 镜像获取程序.3 7 过程要求.3 8 记录内容.6 参考文献.7 SF/T 01052021 I
2、I 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由司法鉴定科学研究院提出。本文件由司法部信息中心归口。本文件起草单位:司法鉴定科学研究院、公安部第三研究所、上海市人民检察院、厦门市美亚柏科信息股份有限公司、厦门市兴百邦科技有限公司。本文件主要起草人:李岩、施少培、郭弘、吴松洋、高峰、徐志强、孙奕、卢启萌、曾锦华、杨恺、李致君、张辉极、刘善军、胡壮。SF/T 01052021 1 存储介质数据镜像技术规程 1 范围 本文件规定了存储介质数据镜像获取的仪器设备
3、、程序、过程要求和记录内容。本文件适用于司法鉴定/法庭科学领域中存储介质数据镜像的获取和使用。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GA/T 14762018 法庭科学远程主机数据获取技术规范 3 术语和定义 下列术语和定义适用于本文件。源 source 镜像获取过程的输入数据、存储介质或电子设备。目标 target 镜像获取过程的输出文件或存储介质。镜像文件 image file 从数据源复制生成的,可重新构建数据源数据比特流的
4、一个或一组目标文件。坏块 bad block 存储介质中由物理故障导致的无法读取的数据区域。合理填充 benign fill 在镜像获取过程中,当数据源特定数据区域无法读取时,或目标存储介质存在多余数据存储区域时,向镜像文件(3.3)或者目标存储介质对应的数据存储区域填充指定数据的过程。注:填充的指定数据可以是二进制全0、二进制全1或者“BADBLOCK”等显著标示该数据不是来自数据源的文本内容,以避免与其他数据产生混淆。在线镜像获取 live image acquisition 在电子设备运行状态下,以其中的存储介质、分区(卷)为源(3.1)的镜像获取过程。4 缩略语 下列缩略语适用于本文件
5、。SF/T 01052021 2 ATA 高级技术附件(Advanced Technology Attachment)BIOS 基本输入输出系统(Basic Input/Output System)DCO 设备配置覆盖区(Device Configuration Overlay)FC 光纤通道(Fiber Channel)HPA 主机保护区(Host Protected Area)IDE 集成磁盘电子接口(Integrated Drive Electronics)iSCSI 基于因特网的小型计算机系统接口(Internet Small Computer System Interface)PCI
6、e 外设组件互连快线(Peripheral Component Interconnect Express)RAID 独立磁盘冗余阵列(Redundant Array of Independent Disks)SAS 串行小型计算机系统接口(Serial Attached SCSI)SATA 串行高级技术附件(Serial Advanced Technology Attachment)SCSI 小型计算机系统接口(Small Computer System Interface)S.M.A.R.T.自我监测、分析及报告技术(Self-Monitoring Analysis and Reportin
7、g Technology)TPM 可信平台模块(Trusted Platform Module)USB 通用串行总线(Universal Serial Bus)5 仪器设备 硬件 存储介质数据镜像获取和使用所涉及的硬件设备包括但不限于:a)电子数据鉴定专用计算机;b)存储介质复制设备;c)存储介质只读设备;d)多功能只读读卡器;e)存储介质诊断检测设备;f)故障硬盘修复设备;g)光盘修复设备;h)免拆机硬盘复制工具;i)计算机绕密取证工具;j)存储介质转接接口及数据线;k)分线器;l)系统引导盘;m)网络设备;n)数码照相机/物证翻拍仪;o)数码摄像机。软件 存储介质数据镜像获取和使用所涉及的
8、软件工具包括但不限于:a)只读软件;b)具备镜像获取功能的软件;c)RAID 阵列重组工具;d)完整性校验值计算工具;e)内存获取软件;f)内存数据分析软件;g)镜像文件格式转换工具;h)镜像挂载工具;i)屏幕录像软件。SF/T 01052021 3 6 镜像获取程序 常规镜像获取方式 常规镜像获取方式一般遵循以下程序:a)将源存储介质从所在电子设备上断开;b)准备目标存储介质并对其进行清洁性检查;c)将源存储介质及目标存储介质连接至检验设备,并采取只读措施防止改变源存储介质数据;d)读取源存储介质的数据,逐比特复制到镜像文件或目标存储介质;e)校验镜像文件或目标存储介质的数据完整性。免拆机镜
9、像获取方式 不满足常规镜像获取方式条件时,可选用以下方式进行免拆机镜像获取:a)在线镜像获取方式:使用电子设备运行中的操作系统环境获取镜像;b)引导获取方式:使用系统引导盘启动电子设备,挂载源存储介质和目标存储介质后获取镜像;c)网络获取方式:通过网络访问或挂载源存储介质获取镜像;d)外部加载获取方式:将源存储介质所在的电子设备作为外部存储介质连接至检验设备获取存储介质镜像。示例:部分型号的苹果计算机可在启动时设置为目标磁盘模式,连接至另一台苹果计算机后获取镜像。7 过程要求 准备阶段 7.1.1 发现与识别存储介质 7.1.1.1 检材为电子设备时,可通过以下一种或多种方法发现与识别源存储介
10、质:a)检查电子设备上的存储介质接口,寻找内置或外接的源存储介质。应关注的接口包括但不限于以下类型:1)IDE 接口;2)SATA 接口及其衍生接口(MicroSATA、mSATA 等);3)SCSI 接口;4)SAS 接口;5)FC 接口;6)火线(FireWire)接口(1394A、1394B);7)USB 接口(USB-A、USB-B、USB-C)及其衍生接口(mini-USB、Micro-USB 等);8)M.2 接口;9)U.2 接口;10)PCIe 接口;11)雷雳(Thunderbolt)接口;12)厂商专有接口(如苹果计算机固态硬盘接口)。b)通过 BIOS、操作系统和 RAI
11、D 控制器等界面检查并识别连接至电子设备的存储介质;c)检查并识别基于 iSCSI 协议的网络存储介质。7.1.1.2 识别具有特定关联性的存储介质组合形态(如 RAID、混合存储等)。7.1.2 判断存储介质状态 7.1.2.1 可通过读取 S.M.A.R.T.信息、辨识存储介质运转声音等方法,或通过制造商或第三方提供的存储介质诊断检测工具初步判断源存储介质状态,状态分类及分类原则如下:a)正常:没有坏块,或未检测出异常;b)稳定损坏:数据区域有坏块,多次读取时坏块位置不变,且读取过程中跳过坏块不会降低性能;SF/T 01052021 4 c)不稳定损坏:数据区域有坏块,多次读取时坏块位置不
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SF_T 0105-2021 存储介质数据镜像技术规程 0105 2021 存储 介质 数据 技术规程
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。