GA/T 1174-2014 电子证据数据现场获取通用方法

GA/T 1174-2014.General methods for capture of live electronic evidence data. 1目的和范围 GA/T 1174规定了电子证据数据现场搜索、获取、固定和保存的通用方法。 GA/T 1174适用于在电子数据现场取证的工作中,搜索、获取、固定和保存电子证据数据。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注H期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GA/T756--2008数字化设备证据数据发现提取固定方法 GA/T 976- -2012 电子 数据法庭科学鉴定通用方法 3术语和定义 GA/T 756- 2008 和GA/T 976- 2012 界定的以及下列术语和定义适用于本文件。 3.1随机存取内存转储random access memory dump (RAM dump) 将随机存取内存(RAM)中的部分或者全部内容传送到某种类型的存储介质上。 3.2逻辑文件logical file 用户所观察到的文件组织形式,是可以直接处理的数据及结构。 4步骤 4.1制定 证据获取方案 在进行电子证据数据现场获取之前，需制定详细的计划,包括: a)现场获取的 目的和范围; b) 参加电子证据数据现场获取的人员,需明确分工,落实责任; c)进行电子证据数据现场获取需携帶的移动仪器设备; e)电子证据 数据现场获取的顺序; f)现场获取操作可能造成的影响。 4.2记录 现场状况 对现场状况应通过拍照和录像的方式进行记录,并予以编号保存。