導(dǎo)語：虛擬環(huán)境下計(jì)算機(jī)取證探析一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：研究了虛擬環(huán)境在計(jì)算機(jī)取證調(diào)查分析階段的潛在作用。提出了虛擬環(huán)境計(jì)算機(jī)取證軟件工具的一般概念；指出了虛擬環(huán)境的局限性，設(shè)計(jì)了一種同時(shí)獨(dú)立使用傳統(tǒng)環(huán)境和虛擬環(huán)境的新方法，并證明這種方法可以大大縮短計(jì)算機(jī)取證調(diào)查分析階段的時(shí)間。

關(guān)鍵詞：計(jì)算機(jī)取證；虛擬機(jī)；計(jì)算機(jī)證據(jù)

虛擬化是一個(gè)古老的概念，在20世紀(jì)60年代隨著大型計(jì)算機(jī)的出現(xiàn)而首次引入。它在20世紀(jì)90年代被重新引入個(gè)人電腦。虛擬機(jī)（也稱為“VM”）是一種軟件產(chǎn)品，允許用戶創(chuàng)建一個(gè)或多個(gè)單獨(dú)的環(huán)境，每個(gè)環(huán)境模擬自己的硬件集和自己的軟件。理想情況下，每個(gè)虛擬機(jī)都應(yīng)該像一臺(tái)完全獨(dú)立的計(jì)算機(jī)，具有自己的操作系統(tǒng)和硬件。用戶可以獨(dú)立地控制每個(gè)環(huán)境，如果需要，還可以將網(wǎng)絡(luò)虛擬計(jì)算機(jī)連接在一起或?qū)⑺鼈冞B接到外部物理網(wǎng)絡(luò)[1]。

1計(jì)算機(jī)取證和虛擬機(jī)環(huán)境

傳統(tǒng)的計(jì)算機(jī)取證過程包括許多步驟，可以大致分為4個(gè)關(guān)鍵階段：（1）訪問；（2）收購；（3）分析（本文的重點(diǎn)）；（4）報(bào)告。在獲取階段，調(diào)查人員捕獲盡可能多的實(shí)時(shí)系統(tǒng)易失性數(shù)據(jù)，關(guān)閉系統(tǒng)，然后為所有存儲(chǔ)設(shè)備創(chuàng)建一個(gè)法醫(yī)圖像[2]。存儲(chǔ)設(shè)備的圖像通常是使用許多基于dd（dd，Unix命令行工具）的工具。此圖像以dd格式存儲(chǔ)，或通?；赿d的專有格式存儲(chǔ)。圖像是原始磁盤的相同副本[3]。但是，目前常用的許多專有格式可能與原始硬盤不完全相同，它們可能包括額外的元數(shù)據(jù)[4]。專有格式的一個(gè)例子是最近開發(fā)的并日益流行的高級(jí)取證格式（AFF）[5]。AFF甚至對(duì)原始圖像進(jìn)行了進(jìn)一步的分割，其中每個(gè)段都有一個(gè)頭部、一個(gè)名稱、一個(gè)32位的參數(shù)、一個(gè)可選的數(shù)據(jù)負(fù)載，最后還有一個(gè)尾部。這個(gè)簡短的圖像格式概述的相關(guān)性在于，計(jì)算機(jī)專家的發(fā)現(xiàn)可能也基于對(duì)圖像的檢查，該圖像在某些方面發(fā)生了變化，并且與原始圖像不相同。由于dd映像與原始映像相同，因此可以將其復(fù)制到相同的或更大的硬盤上，并在另一個(gè)計(jì)算機(jī)系統(tǒng)上引導(dǎo)。由于有太多可能的硬件組合，這種方法在重新創(chuàng)建原始環(huán)境時(shí)是不切實(shí)際的。此外，一些已安裝的服務(wù)和軟件產(chǎn)品可能拒絕啟動(dòng)，或者根本無法啟動(dòng)系統(tǒng)。虛擬環(huán)境中也存在類似的問題。虛擬機(jī)只模擬一些基本的硬件組件，獲取的dd映像不能立即在虛擬環(huán)境中引導(dǎo)，因?yàn)樘摂M機(jī)需要包含有關(guān)正在引導(dǎo)的環(huán)境信息的附加文件。各種軟件工具都可以通過創(chuàng)建帶有虛擬機(jī)所需參數(shù)的附加文件來解決這個(gè)問題。其中一些實(shí)用工具是：（1）封裝物理磁盤模擬器（PDE），商業(yè)產(chǎn)品（封裝法醫(yī)模塊，2007）；（2）ProDiscover系列的商業(yè)和免費(fèi)的計(jì)算機(jī)安全工具技術(shù)；（3）實(shí)時(shí)視圖，Gnu公共許可證（GPL）下提供的免費(fèi)工具。使用虛擬機(jī)環(huán)境進(jìn)行計(jì)算機(jī)取證數(shù)據(jù)分析，但在法庭上以這種方式獲得的結(jié)果作為證據(jù)的適用性是值得懷疑的[6]。要使映像在虛擬環(huán)境中引導(dǎo)，需要對(duì)原始環(huán)境進(jìn)行許多更改，并且一旦系統(tǒng)啟動(dòng)，就會(huì)將新的數(shù)據(jù)寫入原始映像，從而修改它。黃金法則是在備份目的地創(chuàng)建證據(jù)的逐位副本，確保原始數(shù)據(jù)受寫保護(hù)。后續(xù)的數(shù)據(jù)分析應(yīng)該在這個(gè)副本上執(zhí)行，而不是在原始證據(jù)上。

2建議的并行方法

前一節(jié)中提到的計(jì)算機(jī)取證過程的4個(gè)階段，每一個(gè)階段都被進(jìn)一步劃分為特定的步驟，每一個(gè)步驟都必須遵循嚴(yán)格的程序。分析計(jì)算機(jī)證據(jù)的過程應(yīng)該遵循以下基本規(guī)則：（1）對(duì)原件的最小處理；（2）解釋任何變化；（3）遵守證據(jù)規(guī)則；（4）不要超越你的知識(shí)。目前還沒有普遍接受計(jì)算機(jī)法醫(yī)認(rèn)證，但人們希望進(jìn)行分析并在法庭上提交報(bào)告的人是擁有相關(guān)專業(yè)知識(shí)的“專家”[8]。這個(gè)過程的準(zhǔn)確性可以大大提高。如果這個(gè)過程擴(kuò)大到包括兩個(gè)并行的調(diào)查，分析數(shù)據(jù)所需的總時(shí)間可以縮短[9]。在建立的模型中，使用了兩個(gè)級(jí)別的計(jì)算機(jī)取證人員，這樣一個(gè)小組的工作方式如下[10]：訓(xùn)練有素、經(jīng)驗(yàn)豐富的專業(yè)調(diào)查員嚴(yán)格遵循計(jì)算機(jī)取證調(diào)查方法。非專業(yè)計(jì)算機(jī)技術(shù)人員不需要嚴(yán)格遵守法醫(yī)規(guī)則，也從不直接參與正式的報(bào)告流程。電腦技術(shù)員的職責(zé)是檢查資料的副本，以找出任何可能引起興趣的資料，然后向?qū)I(yè)調(diào)查人員報(bào)告調(diào)查結(jié)果。在計(jì)算機(jī)取證調(diào)查的分析階段，將獲取的圖像副本交給計(jì)算機(jī)技術(shù)人員。其任務(wù)是在虛擬的機(jī)器環(huán)境中啟動(dòng)圖像，將其作為一個(gè)正常的“活動(dòng)”系統(tǒng)，并搜索與調(diào)查相關(guān)的所有細(xì)節(jié)。所有的調(diào)查結(jié)果都會(huì)交給專業(yè)調(diào)查人員，然后由專業(yè)調(diào)查人員使用適當(dāng)?shù)挠?jì)算機(jī)取證技術(shù)來確認(rèn)調(diào)查結(jié)果，并在必要時(shí)進(jìn)行進(jìn)一步的數(shù)據(jù)搜索。計(jì)算機(jī)技術(shù)人員的調(diào)查結(jié)果從來沒有直接包括在報(bào)告過程中。

3示例場景

假設(shè)場景：當(dāng)一個(gè)人的住所被發(fā)現(xiàn)時(shí)，一臺(tái)沒有電源的個(gè)人計(jì)算機(jī)對(duì)涉嫌非法販運(yùn)的人進(jìn)行了搜查[5]。一名計(jì)算機(jī)取證調(diào)查員被要求協(xié)助調(diào)查此案，找出與販運(yùn)有關(guān)的所有信息，包括金融交易的細(xì)節(jié)和任何有關(guān)信件或文件[7]。研究人員記錄了個(gè)人計(jì)算機(jī)的硬件配置，并使用dd實(shí)用程序從HELIX可引導(dǎo)取證CD獲得硬盤映像。記錄SHA-1和MD5散列值以及相關(guān)的案例細(xì)節(jié)，并根據(jù)當(dāng)?shù)氐姆ㄡt(yī)程序創(chuàng)建監(jiān)護(hù)鏈。名為B的映像的兩個(gè)副本。在法醫(yī)實(shí)驗(yàn)室，dd被交給了兩個(gè)人：（1）專業(yè)調(diào)查員更新保管文件鏈并將圖像鎖在安全位置；（2）計(jì)算機(jī)技術(shù)人員，更新第二張圖片對(duì)應(yīng)的保管鏈，并將圖片鎖在安全位置。第一次成功后啟動(dòng)系統(tǒng)的計(jì)算機(jī)技術(shù)員的虛擬機(jī)器安裝了虛擬系統(tǒng)工具提高鼠標(biāo)操作，并提供一個(gè)更高的虛擬屏幕分辨率。再次啟動(dòng)系統(tǒng)前計(jì)算機(jī)技術(shù)員檢查虛擬機(jī)，并指出只有4個(gè)設(shè)備安裝：內(nèi)存，硬盤，CD-ROM和USB控制器。虛擬機(jī)可用的其他設(shè)備可以在添加硬件向?qū)е锌吹?。沒有安裝以太網(wǎng)控制器，因此虛擬機(jī)與任何網(wǎng)絡(luò)隔離，進(jìn)而不會(huì)成功。計(jì)算機(jī)技術(shù)人員從另一臺(tái)計(jì)算機(jī)上檢查因特網(wǎng)，要訪問C帳戶，需要一個(gè)用戶名和密碼。用戶名“D”在登錄面板中是可見的，但密碼隱藏在一排圓點(diǎn)后面。為了弄清密碼是什么，計(jì)算機(jī)技術(shù)人員決定在虛擬機(jī)中安裝一個(gè)名為“密碼揭秘器”的附加軟件。最后工具破譯密碼[4]。計(jì)算機(jī)技術(shù)員繼續(xù)使用標(biāo)準(zhǔn)的Windows工具檢查啟動(dòng)的系統(tǒng)。Windows資源管理器沒有顯示與正在調(diào)查的案件相關(guān)的任何文件夾或文件。然后計(jì)算機(jī)技術(shù)員檢查調(diào)查系統(tǒng)上安裝額外的軟件是什么，發(fā)現(xiàn)桌面上的一個(gè)圖標(biāo)的簡單的文件粉碎機(jī)，可以安全地刪除文件，使他們不可能再恢復(fù)。但有以下兩點(diǎn)值得注意。（1）用于運(yùn)行系統(tǒng)的磁盤的映像不再與映像b相同。使用法醫(yī)學(xué)上可靠的方法獲得的dd。安裝了各種新的設(shè)備驅(qū)動(dòng)程序和新的軟件包。通過在Windows資源管理器中檢查各種文件和文件夾，并在它們的本地應(yīng)用程序中打開它們，可以“觸摸”它們。認(rèn)為這幅圖像仍然是有效的證據(jù)是不現(xiàn)實(shí)的，現(xiàn)在它被污染了。（2）原始獲得的圖像B。dd仍由專業(yè)調(diào)查員保管；它沒有改變，在法律上是有效的。計(jì)算機(jī)技術(shù)員向?qū)I(yè)調(diào)查員匯報(bào)下列基本調(diào)查結(jié)果：很可能沒有太多與調(diào)查有關(guān)的文件的痕跡，因?yàn)槭褂糜?jì)算機(jī)的人安裝了一個(gè)安全刪除工具，所有這些文件都有可能被不可恢復(fù)地刪除了；證據(jù)價(jià)值的材料很可能沒有保存在計(jì)算機(jī)上，因?yàn)樗姓哂幸粋€(gè)虛擬的因特網(wǎng)存儲(chǔ)帳戶，允許他們將所有數(shù)據(jù)保存在遠(yuǎn)程服務(wù)器上；可以恢復(fù)到遠(yuǎn)程存儲(chǔ)系統(tǒng)帳戶的用戶名和密碼。通過使用這些信息，專業(yè)調(diào)查員現(xiàn)在可以用可靠的取證方法和適當(dāng)?shù)娜∽C軟件工具來確認(rèn)所有的發(fā)現(xiàn)?？梢詮牧硪慌_(tái)計(jì)算機(jī)訪問DriveHQ上的遠(yuǎn)程帳戶，并復(fù)制和檢查存儲(chǔ)在那里的所有文件。dd磁盤映像仍然可以用計(jì)算機(jī)取證軟件分析未分解文件的任何痕跡[6]。

4結(jié)論

上述簡單的場景表明，配備不同工具集的兩個(gè)團(tuán)隊(duì)之間的合作，以及使用具有不同專業(yè)水平的人員，可以產(chǎn)生更快的結(jié)果，并將減少高素質(zhì)專業(yè)調(diào)查人員的工作量。使用適當(dāng)?shù)挠?jì)算機(jī)取證工具和技術(shù)的專業(yè)調(diào)查人員很可能在傳統(tǒng)的設(shè)置中獲得相同的結(jié)果，而不需要使用虛擬環(huán)境，也不需要計(jì)算機(jī)技術(shù)人員的幫助。然而，所描述的使用傳統(tǒng)和虛擬兩種環(huán)境的方法的一個(gè)優(yōu)勢是可以節(jié)省時(shí)間，增加發(fā)現(xiàn)重要證據(jù)的機(jī)會(huì)。新方法的另一個(gè)優(yōu)勢是，技術(shù)人員可以分階段接觸計(jì)算機(jī)取證技術(shù)，而不損害真實(shí)的證據(jù)，同時(shí)為過程提供真正有價(jià)值的輸入。這種方法也可以看作是一個(gè)內(nèi)部培訓(xùn)過程的一部分，一個(gè)人的小計(jì)算機(jī)取證經(jīng)驗(yàn)，并首次引入司法過程在虛擬環(huán)境中進(jìn)行調(diào)查。本文描述了在計(jì)算機(jī)取證調(diào)查分析階段使用傳統(tǒng)環(huán)境和虛擬環(huán)境的過程。同時(shí)提出了計(jì)算機(jī)技術(shù)人員與專業(yè)調(diào)查員合作的基本規(guī)則。

作者:邵彥寧 單位:廣東電網(wǎng)有限責(zé)任公司