电子数据保全程序

3.2.6 关闭电源时的注意点

①为了防止触电或带电，身上不要装带贵金属，并穿戴防静电手套进行作业。

②强制性关闭电源的场合

〃运行服务器系列OS和会计系统等的数据库的台式电脑，原则上以数据库的交易功能为依托，可以强制关闭电源。

〃强制性关闭电源的场合，可以设想如下风险：

〃容易造成硬盘物理损伤（坏扇区）。

〃损坏数据文件，不能读取。

〃运行中的进程不能写入注册表和事件记录，因此不能了解之前的行为。

〃不能获取挥发性信息。

③通过正常的程序关闭电源的场合

〃通过正常的程序关闭电源的场合，可以设想如下风险：

〃由于操作系统的终了处理和更新以及其他应用程序的原因，会发生数据覆盖或删除等情形。

〃不能获取挥发性信息。

3.2.7 不能关闭电源的场合

○根据证据保全对象的不同，有时不能关闭电源。

〃保全内存中展开的数据时。

〃通信中数据的证据保全。

〃硬盘整体加密等安全设定场合

〃因为关闭电源后必须再打开，结果会造成多余的数据覆盖。

〃手机，移动通信机、家电产品、游戏机等，根据调查的目的和需要，有时如果电源处于开通状态的话就不能关闭。根据手机的机种不同，如果关闭电源，会造成数据覆盖或删除的情形。

由于上述机器不打开电源就无法进行证据保全，因此保全证据时需要开通电源。

手机通信开通时，存在远程被删除的可能性。

3.2.8 根据挥发性进行的处理顺序

○证据保全时根据挥发性由高到低处理信息

表一信息挥发性和证据收集顺序

3.3 其它有必要收集〃取得〃保全的对象物

3.3.1说明书〃用户指南等文档类对象物

①寻找证据保全作业需要的下列信息：

〃硬盘的拆卸方法

〃电池的拆卸方法

〃BIOS的启动方法和图像的浏览方法（主要BIOS启动键参照表2）〃通过网络等确认上述方法

②委托单位组织内制定的与计算机处理有关的文档

表2 按制造者区分的BIOS主要启动键

4 证据保全设备的准备

4.1 用作复制目标的存储介质

4.1.1 存储介质的检查

用作复制目标的存储介质，预先进行读/写等的设备检查，保证其处于正常运行状态。另外，由于很难确认闪存类介质的备用区域等隐藏区域是否处于无数据状态，所以作为证据保全时的复制目标介质需要谨慎处理。

4.1.2 无数据状态

○用作复制目标的存储介质必须处于无任何数据的状态（不是正常的文件删除层次上的无数据状态，而是二进制层次上的可以确认一切数据均不存在的无数据状态）。但是，就物理复制而言，由复制工具把复制源介质的坏扇区进行零值置换，保存在复制目标介质时不在此限。

4.1.3 完全（物理）复制

○在进行对象物的完全复制的场合，用作复制目标的介质，需要通

过证据保全设备的剪裁功能或其它手段，使目标盘的容量与源盘处于同一状态。

4.1.4 可读・可搬介质

考虑到用作复制目标的介质需要提交第三方结构的情形，应使用可读・可搬介质。

①用作复制目标的介质是硬盘时，应选使用范围广的SATA等硬盘。

②在使用映像复制时，2TB以上的数据无法通过FAT32文件系统进行处理，应当选择复制目标的文件系统。

③应使用与NTFS等日志对应的、不容易损坏的文件系统。

4.2 证据保全设备的功能要求（参照表3）

4.2.1 防止写入功能（写保护功能）

○准备好不能对原本进行任何写入操作功能的设备，或者采取原则上不能对原本进行任何写入操作的措施（软件基础等）。

4.2.2 完整（物理）复制功能

①不仅复制现存数据，还需要复制删除数据〃隐藏数据・包括未使用区域在内的对象物所有区域（用户通过接口可以访问的区域）。

②即使证据源盘存在部分坏扇区的场合，也可以继续复制，确认坏扇区的位置等（据此可以说明哈希值与原本不同的场合）。

③不仅对象物（复制源介质）的内容，其记录顺序·结构也需要全部物理复制（单帧捕获）。

④复制映像文件（Linux DD / EnCase Image等）。

表3 证据保全设备功能要求

4.2.3 同一性验证功能

4.2.3.1 同一性验证（复制时的校验）

①计算并比对对象物（复制源介质）及复制目标介质的哈希值进行同一性验证。

②不计算哈希值，通过二进制比较进行同一性验证。

③由于存在坏扇区等原因导致复制源介质与复制目标介质的哈希值不一致时，很难根据哈希值进行同一性验证时，可以根据验证时的状况（设备的图像等）的照片摄影和复数现场见证人的见证提供同一性保证。

4.2.3.2 扇区尺寸的确认功能

○为了防备解析工具因为扇区尺寸而不能读取或不能恰当显示的情形出现，保全工具需要确认扇区尺寸。

4.2.4 工作日志·审计追踪信息的显示·输出功能

4.2.4.1 工作日志

①可以显示·输出复制源介质与复制目标介质的详细信息

各个设备的标签信息（制造商/型号/模型名称/序列号/尺寸/ /总扇区数/存储容量），是否设定HPA·DCO等

②可以显示·输出实施的作业内容以及详细的设定信息

③可以显示·输出实施的作业结果

作业开始到结束的时间/复制（验证）速度/错误发生時的详细信息等

4.2.4.2 审计追踪信息

①可以显示·输出实施作业的管理者/所属单位/分配处理案件·处理

证据号码等信息

②可以显示·输出实施作业所需设备的序列号/软件·固件版本等信息

4.3 证据保全工具相关要件

4.3.1 可以进行完整（物理）复制(单帧捕获或映像复制)

①利用在与对象物同一的操作系统上可以启动的软件或程序

·使用图形用户界面和命令行

②通过记录了证据保全软件或程序的CD盘启动或软盘启动使用·在无法从机壳取出硬盘，或取出硬盘困难，或取出容易但是回复原状困难的场合通过CD盘或软盘启动使用

·为了读取CD内的数据，需要通过BIOS等确认启动顺序，以便能够在对象物启动之前优先启动CD，进行必要的变更

·对象物的电源关闭时，采取不启动可以打开光盘驱动器的措施

（在光盘驱动器上设置的小孔里，插入夹子强制打开驱动器等措施）4.3.2 可信机构的验证

○使用由Computer Forensics Tool Testing等可信机构验证的工具4.4 其它证据保全所需设备·仪器〃措施的准备

4.4.1 确认硬盘有无物理限制以及（强制）解除功能

○实施HPA、DCO等的确认。

4.4.2 针对硬盘密码·加密的准备

①如果有措施不启动对象物，在解析阶段进行解密，那么选择其方法。·但根据事件响应时间和优先顺序，有时会取消该措施。