GA/T 1071-2013.Technical specifications for Windows operating system log examination of electronic forensics.
1范围
GA/T 1071规定了Windows 操作系统,包括Windows 2000. Windows XP、Windows 2003. Windows Vista和Windows7日志检验的方法。
GA/T 1071适用于法庭科学领城中的电子物证检验。
2术语和定义
下列术语和定义适用于本文件.
2.1Windows操作系统日志
Windows operating system log
Windows操作系统所指定对象的操作和其操作结果按时间排列有序的集合。包括应用程序日志、安全日志和系统日志。
2.2应用程序日志application log
记录由应用程序产生的事件。
2.3安全日志security log
记录与安全相关事件,包括成功和不成功的登录或退出、系统资源使用等。
2.4系统日志system log
记录由Windows操作系统组件产生的事件,主要包括驱动程序.系统组件和应用软件的崩溃以及
数据丢失错误等.
3仪器设备
3.1硬件
存储介质、保全备份设备、具有只读接口的电子物证检验工作站。
3.2软件
3.2.1操作 系统: Windows.
3.2.2软件工具:具有Windows操作系统日志查看功能的软件.Windows操作系统提供的事件查看器等。
GA/T 1071-2013 法庭科学电子物证Windows操作系统日志检验技术规范
标准下载地址: