ICS 49.090
CCS A92
SF
中华人民共和国司法行政行业标准
民用无人机电子数据鉴定技术规范
Technical specification for examination of digital data in civil drone
2023 - 10 - 07 发布 2023 - 12 - 01 实施
中华人民共和国司法部 发 布
目 次
前言 ........................................................................II
1 范围 .......................................................................1
2 规范性引用文件 ...........................................................1
3 术语和定义 ................................................................1
4 仪器设备 .................................................................. 1
5 鉴定步骤 ..................................................................2
6 鉴定结果保存 ..............................................................3
7 鉴定记录 ...................................................................4
8 鉴定意见 ...................................................................4
参考文献 .....................................................................
前言
本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由司法鉴定科学研究院提出。
本文件由司法部信息中心归口。
本文件起草单位:司法鉴定科学研究院、最高人民检察院检察技术信息研究中心、国家信息中心、上海市人民检察院、广西壮族自治区公安厅、上海市公安局、浙江省公安厅、重庆市公安局、河北省公安厅、江苏省公安厅、大连市公安局、西安邮电大学、厦门市美亚柏科信息股份有限公司。
本文件主要起草人:郭弘、李岩、李佳、王笑强、孙奕、刘浩阳、陈兴文、高峰、高梓铭、韦同胜、郭文举、阎皓、韩马剑、吴坚、李峰、卢启萌、杨恺、李致君、田野、耿浦洋、曾锦华、毛晓、凌嵘。
民用无人机电子数据鉴定技术规范
1 范围
本文件规定了民用无人机(以下简称“无人机”)电子数据鉴定的仪器设备、鉴定步骤、鉴定结果保存、鉴定记录和鉴定意见的要求。
本文件适用于司法鉴定领域中对无人机中电子数据的提取固定和检验鉴定。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 29360 法庭科学 电子数据恢复检验规程
GB/T 38152 无人驾驶航空器系统术语
GB/T 41300 民用无人机唯一产品识别码
SF/T 0105 存储介质数据镜像技术规程
SF/T 0157 移动终端电子数据鉴定技术规范
3 术语和定义
GB/T 38152、GB/T 41300、SF/T 0157界定的以及下列术语和定义适用于本文件。
3.1遥控设备 remote control device
用于遥控无人机的系统或装置。
3.2遥控程序 remote control application
安装并运行在智能手机、笔记本或平板电脑上,用于遥控无人机的程序。
3.3飞行记录 flight record
无人机或其遥控设备(3.1)记录的飞行数据。
3.4元数据 metadata
包含多媒体文件属性和拍摄参数等信息的数据。
注:包括经度、纬度、高度和速度等信息,不包括任务载荷在内的各类传感器产生和接收的飞行数据。
4 仪器设备
4.1硬件
鉴定所用的硬件设备宜包括但不限于:
a) 电子数据鉴定工作站;
b) 数码照相机或数码摄像机;
c) 存储介质只读设备;
d) 存储介质复制设备;
e) 芯片拆焊设备;
f) 芯片数据提取设备。
4.2软件
鉴定所用的软件宜包括但不限于:
a) 无人机检验分析软件;
b) 无人机数据同步软件;
c) 完整性校验值计算软件;
d) 存储介质复制软件;
e) 数据恢复软件;
f) 元数据检验分析软件;
g) 截屏软件;
h) 屏幕录像软件;
i) 视频播放软件。
5 鉴定步骤
5.1检材的编号和记录
5.1.1 记录无人机及其配件(如有)的封存情况。如处于封存状态,应对拆封过程进行拍照或录像。
配件应包括但不限于:
a) 无人机挂载的数码拍照和摄像设备;
b) 安装有遥控应用程序的智能移动终端、计算机终端;
c) 无人机机身对应的配套充电/数据线缆(如有);
d) 电池模块(如有);
e) 遥控设备以及对应的充电/数据线缆(如有);
f) 其他作业载荷或任务载荷。
5.1.2 对无人机及其配件(如有)进行唯一性编号。
5.1.3 对无人机及其配件(如有)进行拍照或录像,并记录其性状。
5.1.4 记录无人机的品牌、型号、固件号和唯一产品标识码等。
5.2准备工作
5.2.1 检查无人机及其遥控设备的开关机状态。
5.2.2对于具备启动条件或开机状态的无人机,宜记录其系统时间及其与可信时间源的差值。
5.2.3 在进行无人机的电子数据检验前,应根据检验要求进行准备工作,包括但不限于:
a)了解无人机的来源、使用目的和获取过程;
b)了解无人机的控制方式、数据链路机制及飞行记录的形成方式;
c)了解无人机的用户账号和密码。
5.3数据提取
5.3.1 基本要求
根据检验目的和要求,应选择适当的方式进行数据提取并计算提取数据的完整性校验值。提取数据的来源包括但不限于5.3.2~5.3.8。
5.3.2 无人机机身及存储介质
无人机机身及存储介质的数据提取,应根据其存储介质情况,按照以下方式进行:
a)对于有外部存储介质的无人机机身,拆卸外部存储介质。按照SF/T0105的规定制作镜像并进行完整性校验,然后采用只读方式对该镜像进行数据提取。如需进行数据恢复,按照GB/T29360的规定对镜像进行数据恢复;
b)对于有内部存储介质的无人机机身,拆卸无人机外壳,获取无人机内部存储介质。按照SF/T0105的规定制作镜像并进行完整性校验,然后采用只读方式对该镜像进行数据提取。如需进行数据恢复,按照GB/T29360的规定对镜像进行数据恢复;
c)对于有数据连接接口的无人机机身,使用无人机检验分析软件或无人机数据同步工具,提取无人机设备中的数据;
d)对于没有数据连接接口或损毁状态无法数据同步的无人机机身,拆卸机身内部的数据存储芯片,直接读取芯片中的数据。
5.3.3安装遥控程序的智能移动终端
对于使用智能移动终端遥控程序控制无人机的,应按照SF/T0157的规定提取智能移动终端中的数据。
5.3.4安装遥控程序的计算机终端
5.3.4.1对于使用计算机终端遥控程序控制无人机的,应按照SF/T0105的规定制作镜像并进行完整性校验,然后采用只读方式对该镜像进行数据提取。
5.3.4.2对于计算机终端需要进行数据恢复的,应按照GB/T29360的规定对镜像进行数据恢复。
5.3.4.3对于需要运行计算机终端上遥控程序显示的且无法转换成数据文件的信息,应拍摄屏幕显示内容,将拍摄获得的图片或视频文件导出,并计算其完整性校验值。
5.3.5遥控装置
遥控装置及存储介质的数据提取,应根据其存储介质情况,按照以下顺序进行:
a)对于有存储介质的遥控装置,拆卸存储介质。按照SF/T0105的规定制作镜像并进行完整性校验,然后采用只读方式对该镜像进行数据提取。如需进行数据恢复,按照GB/T29360的规定对镜像进行数据恢复;
b)对于有数据连接接口的遥控装置,通过数据连接接口提取遥控装置中的数据;
c)对于遥控装置中的设置信息,通过拍照或录像的方式记录。
5.3.6挂载的数码照相和摄像设备
对于挂载的数码照相和摄像设备,应记录其系统时间及其与可信时间源的差值。确认所使用的数码拍照及摄像设备类型及存储方式,根据其存储介质情况,按照以下方式进行数据提取:
a)对于有外部存储介质的数码拍照及摄像设备,拆卸外部存储介质。按照SF/T0105的规定制作镜像,然后采用只读方式对该镜像进行数据提取。如需进行数据恢复,按照GB/T29360的规定对镜像进行数据恢复;
b)对于存储多媒体文件的遥控设备(如移动终端),按照SF/T0157的规定进行数据提取。
5.3.7 挂载的其他设备
对于挂载的其他设备,应按照设备类型及其数据存储方式和存储介质情况,进行数据提取。
5.3.8 无人机网络服务器数据
对于具备网络服务的无人机,应按照以下步骤进行数据提取:
a)开启数字录像机或屏幕录像软件;
b)从可信时间源获取当前时间;
c)采用远程提取方式提取存储于互联网的电子数据并进行完整性校验;
d)再次获取当前时间后停止屏幕录像软件或录像。
5.4数据分析
5.4.1 检出的飞行记录如无法直接解析,应转换为可解析的文件后进行检验分析。分析的内容包括但不限于无人机的型号、飞行时间、飞行高度、飞行速度、经纬度、传感器数据以及航迹和路径信息等。
5.4.2 检出的多媒体文件应对元数据等进行检验分析。如需查看视频文件的内容,应使用被检无人机专用播放软件或其他兼容视频播放软件进行视频播放和查看。
6 鉴定结果保存
应将检出数据(检出数据压缩文件)采用封盘刻录方式刻录在空白光盘上或者保存在专用存储介质中,并核验光盘或专用存储介质中检出数据的完整性校验值。
7 鉴定记录
与鉴定有关的情况应及时、客观、全面地记录,保证鉴定过程和结果的可追溯性,记录内容包括但不限于:
a)无人机的唯一性编号;
b)无人机的品牌、型号、固件号和唯一产品标识码;
c)无人机及其配件(如有)的封存情况;
d)无人机的性状;
e)无人机的配件信息;
f)无人机及其遥控设备的开关机状态;
g)无人机遥控装置的设置信息;
h)无人机的证书信息;
i)鉴定环境状况;
j)鉴定开始和结束时间;
k)鉴定过程中所使用的仪器设备信息;
l)无人机的系统时间及其与可信时间源的差值;
m)挂载数码照相和摄像设备的系统时间及其与可信时间源的差值;
n)检出数据及其完整性校验值;
o)鉴定过程录像文件的文件名和完整性校验值。
8 鉴定意见
鉴定意见应表述为检出、未检出和不具备鉴定条件三种,表述内容应符合以下要求:
a)检出数据表述至少包含检材编号、检出情况、检出数据(或保存检出数据介质)的完整性校验值和保存检出数据的存储介质编号等信息;
b)未检出数据表述至少包含检材编号和检验情况;
c)不具备鉴定条件表述至少包含检材编号和不具备鉴定条件原因。
参考文献
[1] GB/T 29362—2023 法庭科学 电子数据搜索检验规程
[2] GB/T 38905—2020 民用无人机系统型号命名
[3] GA/T 754—2008 电子数据存储介质复制工具要求及检测方法
[4] GA/T 755—2008 电子数据存储介质写保护设备要求及检测方法
[5] GA/T 756—2021 法庭科学 电子数据收集提取技术规范
[6] GA/T 976—2012 电子数据法庭科学鉴定通用方法
[7] GA/T 1069—2013 法庭科学电子物证手机检验技术规范
[8] GA/T 1170—2014 移动终端取证检验方法
[9] GA/T 1568—2019 法庭科学 电子物证检验术语
[10] MH/T 6126—2022 城市场景物流电动多旋翼无人驾驶航空器(轻小型)系统技术要求
[11] SF/T 0078—2020 数字图像元数据检验技术规范
[12] SF/Z JD0300002—2018 数字声像资料提取与固定技术规范
[13] SF/Z JD0400001—2014 电子数据司法鉴定通用实施规范
[14] SF/T 0157—2023 移动终端电子数据鉴定技术规范
[15] ISO 21043—1:2018,Forensic sciences—Part 1:Terms and definitions
[16] ISO 21043—2:2018,Forensic sciences—Part 2:Recognition, recording collecting,
transport and storage of items
[17] ISO/IEC 27037:2012,Information technology—Security techniques—Guidelines for
identification,collection,acquisition and preservation of digital evidence
[18] ISO/IEC 30121,Information technology—Governance of digital forensic risk
framework
[19] InterPol,FRAMEWORK FOR RESPONDING TO A DRONE INCIDENT
移动官网