国产草草浮力影院|亚洲无码在线入口|超碰免频在线播放|成人深夜视频在线|亚洲美国毛片观看|69无码精品视频|精品有码一区二区|69式人人超人人|国产人人人人人操|欧美久久天天综合

破壞性程序檢驗操作規(guī)范

（SF/Z JD0403002-2015）

2015-11-20

發(fā)布中華人民共和國司法部司法鑒定管理局發(fā)布

前言

本技術(shù)規(guī)范按照GB/T1.1-2009給出的規(guī)則起草。

本技術(shù)規(guī)范由上海辰星電子數(shù)據(jù)司法鑒定中心提出。

本技術(shù)規(guī)范由司法部司法鑒定管理局歸口。

本技術(shù)規(guī)范起草單位：上海辰星電子數(shù)據(jù)司法鑒定中心。

本技術(shù)規(guī)范主要起草人：蔡立明、郭弘、楊濤、沙晶、崔宇寅、張云集。

本技術(shù)規(guī)范為首次發(fā)布。

破壞性程序檢驗操作規(guī)范

1 范圍

本技術(shù)規(guī)范規(guī)定了對計算機(jī)信息系統(tǒng)中的破壞性程序進(jìn)行檢驗、分析的操作規(guī)范和步驟。

本技術(shù)規(guī)范適用于計算機(jī)信息系統(tǒng)中的破壞性程序的檢驗鑒定。

2 規(guī)范性引用文件

下列文件對于本技術(shù)規(guī)范的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本技術(shù)規(guī)范。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本技術(shù)規(guī)范。

SF/ZJD0100000－2012電子數(shù)據(jù)司法鑒定通用實施規(guī)范

3 術(shù)語和定義

SF/ZJD0100000－2012電子數(shù)據(jù)司法鑒定通用實施規(guī)范所確立的以及下列術(shù)語和定義適用于本技術(shù)規(guī)范。

3.1 計算機(jī)信息系統(tǒng)computerinformationsystem

指具備自動處理數(shù)據(jù)功能的系統(tǒng)，包括計算機(jī)、網(wǎng)絡(luò)設(shè)備、通信設(shè)備、自動化控制設(shè)備等。

3.2 破壞性程序destructiveprograms

對計算機(jī)信息系統(tǒng)的功能或計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)等進(jìn)行未授權(quán)地獲取、刪除、增加、修改、干擾及破壞等的應(yīng)用程序。

3.3 程序行為programbehavior

程序在運行期間與計算機(jī)信息系統(tǒng)的交互及其對計算機(jī)信息系統(tǒng)產(chǎn)生的影響。

3.4 靜態(tài)分析staticanalysis

在沒有真正執(zhí)行程序的情況下，對可執(zhí)行程序進(jìn)行的分析。

3.5 動態(tài)分析dynamicanalysis

在程序運行過程中，對可執(zhí)行程序的程序行為進(jìn)行的分析。

3.6 逆向分析reversinganalysis

對可執(zhí)行程序進(jìn)行反編譯，通過分析反編譯代碼獲知可執(zhí)行程序的程序行為及其實現(xiàn)過程。

4 檢驗步驟

4.1 待檢破壞性程序的固定保全

4.1.1 當(dāng)檢材為電子文件時，對電子文件進(jìn)行備份，并計算哈希值。

4.1.2 當(dāng)檢材為數(shù)字化設(shè)備時：

a)對檢材進(jìn)行唯一性標(biāo)識，并貼上標(biāo)簽；

b)對檢材進(jìn)行拍照或錄像，記錄其特征。

4.1.2.1 當(dāng)檢材為開機(jī)狀態(tài)時：

a)對檢材屏幕的顯示內(nèi)容進(jìn)行拍照或錄像；

b)在條件允許的情況下，獲取檢材內(nèi)存鏡像并計算哈希值；

c)對檢材存儲介質(zhì)中的待檢破壞性程序進(jìn)行備份，并計算哈希值。

4.1.2.2 當(dāng)檢材為關(guān)機(jī)狀態(tài)時：

a)對于具有寫保護(hù)條件的，應(yīng)將檢材中的存儲介質(zhì)通過寫保護(hù)設(shè)備連接至檢驗設(shè)備上；

b)關(guān)閉檢驗設(shè)備上的各種安全防護(hù)軟件，防止安全防護(hù)軟件自動將待檢破壞性程序刪除；

c)對待檢破壞性程序進(jìn)行固定保全時，應(yīng)將待檢破壞性程序與檢驗設(shè)備上的其它程序及文件等進(jìn)行隔離，防止待檢破壞性程序?qū)z驗設(shè)備上的系統(tǒng)、程序、文件等造成破壞；

d)計算待檢破壞性程序的哈希值。

4.2 待檢破壞性程序檢驗環(huán)境的搭建

4.2.1 根據(jù)待檢破壞性程序的運行環(huán)境，搭建相應(yīng)的檢驗環(huán)境，搭建的檢驗環(huán)境應(yīng)確保其具備觸發(fā)待檢破壞性程序運行的條件，并確保待檢破壞性程序能夠正常運行。

4.2.2 在檢驗環(huán)境中安裝必要的系統(tǒng)監(jiān)控、網(wǎng)絡(luò)監(jiān)控和程序分析等工具。

4.2.3 避免安裝與待檢破壞性程序檢驗無關(guān)的軟件程序等，以免影響待檢破壞性程序的正常運行。

4.2.4 在條件允許的情況下，可搭建虛擬檢驗環(huán)境對待檢破壞性程序進(jìn)行實驗分析。

4.3 待檢破壞性程序的檢驗分析

4.3.1 待檢破壞性程序的靜態(tài)分析

根據(jù)待檢破壞性程序的具體情況，對待檢破壞性程序進(jìn)行靜態(tài)分析，分析內(nèi)容可包括：

a)待檢破壞性程序的基本信息，包括文件的大小、創(chuàng)建時間、修改時間和版本號等；

b)檢驗待檢破壞性程序文件的文件類型，以幫助了解待檢破壞性程序的本質(zhì)和意圖；

c)將待檢破壞性程序與已知樣本破壞性程序進(jìn)行相似性比對，或使用反病毒軟件和反間諜軟件掃描待檢破壞性程序文件，以確定待檢破壞性程序文件是否具有已知惡意代碼的特征碼；

d)檢測待檢破壞性程序是否具有防檢測分析的保護(hù)工具，如加殼、加密等情況。若存在防檢測分析的保護(hù)工具，可根據(jù)需要先去除保護(hù)工具。

4.3.2 待檢破壞性程序的動態(tài)分析

根據(jù)待檢破壞性程序的具體情況，對待檢破壞性程序進(jìn)行動態(tài)分析，分析內(nèi)容可包括：

4.3.2.1 待檢破壞性程序行為監(jiān)控

a）執(zhí)行待檢破壞性程序，在待檢破壞性程序運行過程中，通過觀察屏顯等方法檢驗計算機(jī)信息系統(tǒng)中是否發(fā)生異常情況，若存在異常情況，應(yīng)分析異常情況的產(chǎn)生是否與待檢破壞性程序有關(guān)；

b）在待檢破壞性程序運行過程中，可使用監(jiān)控軟件對其行為進(jìn)行監(jiān)控，通過監(jiān)控軟件記錄并分析待檢破壞性程序的程序行為；

c）若發(fā)現(xiàn)待檢破壞性程序在運行過程中存在網(wǎng)絡(luò)通訊行為的，應(yīng)使用網(wǎng)絡(luò)通訊監(jiān)控軟件對其收發(fā)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢驗分析，分析內(nèi)容可包括其收發(fā)網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)通訊地址、內(nèi)容、收發(fā)時間等信息，從而判斷待檢破壞性程序的網(wǎng)絡(luò)程序行為。

4.3.2.2 日志文件的分析在執(zhí)行待檢破壞性程序后，檢驗分析系統(tǒng)日志文件是否存在異常情況，若存在異常情況，分析判斷異常情況的產(chǎn)生是否與待檢破壞性程序有關(guān)。

4.3.2.3 系統(tǒng)內(nèi)存的檢驗分析在待檢破壞性程序運行過程中，檢驗分析計算機(jī)信息系統(tǒng)內(nèi)存中的相關(guān)信息是否存在異常情況，如指定進(jìn)程相關(guān)的內(nèi)存數(shù)據(jù)、隱藏的進(jìn)程、網(wǎng)絡(luò)連接等相關(guān)信息，并分析判斷異常情況的產(chǎn)生是否與待檢破壞性程序有關(guān)。

4.3.2.4 其它相關(guān)信息分析在待檢破壞性程序運行過程中，檢驗計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)、配置文件以及應(yīng)用程序等的異常情況，并分析異常情況產(chǎn)生的原因。

4.3.2.5 待檢破壞性程序的逆向分析必要時，可對待檢破壞性程序進(jìn)行逆向分析，通過分析反編譯代碼獲知可執(zhí)行程序的程序行為及其實現(xiàn)過程。

4.3.2.6 實驗分析必要時，可通過設(shè)計實驗對待檢破壞性程序仍存疑的程序行為或功能進(jìn)行分析。

4.3.2.7 綜合分析判斷將待檢破壞性程序運行過程中發(fā)現(xiàn)的所有異常情況進(jìn)行綜合分析，分析各種異常情況之間的相關(guān)性，判斷異常情況的出現(xiàn)是否與待檢破壞性程序有關(guān)聯(lián)。

5 檢驗記錄與檢驗活動有關(guān)的情況應(yīng)及時、客觀、全面地記錄，保證檢驗過程和檢驗結(jié)果的可追溯性。檢驗記錄應(yīng)反映出檢驗人、檢驗時間、審核人等信息。檢驗記錄的主要內(nèi)容應(yīng)包括：

a)檢材固定保全情況；

b)檢驗設(shè)備和工具情況；

c)檢驗過程和發(fā)現(xiàn)；

d)對檢驗發(fā)現(xiàn)的分析和說明；

e)待檢程序?qū)τ嬎銠C(jī)系統(tǒng)造成的破壞情況（如存在）；

f)其它相關(guān)情況。

6 檢驗結(jié)果

待檢程序的檢驗結(jié)果可以是以下四種之一：

a）確定為破壞性程序；

判斷依據(jù)：發(fā)現(xiàn)待檢程序存在對計算機(jī)信息系統(tǒng)的功能或計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)等進(jìn)行未授權(quán)地獲取、刪除、增加、修改、干擾及破壞等的行為。檢驗結(jié)果一般表述為:待檢程序為破壞性程序。

b）確定為非破壞性程序；

判斷依據(jù)：未發(fā)現(xiàn)待檢程序存在對計算機(jī)信息系統(tǒng)的功能或計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)等進(jìn)行未授權(quán)地獲取、刪除、增加、修改、干擾及破壞等的的行為，并分析不存在通過現(xiàn)有技術(shù)手段無法發(fā)現(xiàn)的有對計算機(jī)信息系統(tǒng)的功能或計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)等進(jìn)行未授權(quán)地獲取、刪除、增加、修改、干擾及破壞等的可能性。檢驗結(jié)果一般表述為:待檢程序不是破壞性程序。

c）未發(fā)現(xiàn)待檢程序具有破壞性；

判斷依據(jù)：未發(fā)現(xiàn)待檢程序存在對計算機(jī)信息系統(tǒng)的功能或計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)等進(jìn)行未授權(quán)地獲取、刪除、增加、修改、干擾及破壞等的的行為，但尚不能完全排除存在根據(jù)現(xiàn)有技術(shù)手段難以發(fā)現(xiàn)的情況。檢驗結(jié)果一般表述為：未發(fā)現(xiàn)待檢程序具有破壞性。

d）無法判斷是否為破壞性程序。

根據(jù)檢驗結(jié)果和綜合分析無法判斷是否為破壞性程序，或經(jīng)綜合分析亦無法形成明確性意見的，檢驗結(jié)果一般表述為:無法判斷是否為破壞性程序。

關(guān)聯(lián)規(guī)定：

(2020年)法庭科學(xué) 破壞性程序檢驗技術(shù)方法