導(dǎo)語：虛擬環(huán)境下計算機(jī)取證探析一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：研究了虛擬環(huán)境在計算機(jī)取證調(diào)查分析階段的潛在作用。提出了虛擬環(huán)境計算機(jī)取證軟件工具的一般概念；指出了虛擬環(huán)境的局限性，設(shè)計了一種同時獨立使用傳統(tǒng)環(huán)境和虛擬環(huán)境的新方法，并證明這種方法可以大大縮短計算機(jī)取證調(diào)查分析階段的時間。

關(guān)鍵詞：計算機(jī)取證；虛擬機(jī)；計算機(jī)證據(jù)

虛擬化是一個古老的概念，在20世紀(jì)60年代隨著大型計算機(jī)的出現(xiàn)而首次引入。它在20世紀(jì)90年代被重新引入個人電腦。虛擬機(jī)（也稱為“VM”）是一種軟件產(chǎn)品，允許用戶創(chuàng)建一個或多個單獨的環(huán)境，每個環(huán)境模擬自己的硬件集和自己的軟件。理想情況下，每個虛擬機(jī)都應(yīng)該像一臺完全獨立的計算機(jī)，具有自己的操作系統(tǒng)和硬件。用戶可以獨立地控制每個環(huán)境，如果需要，還可以將網(wǎng)絡(luò)虛擬計算機(jī)連接在一起或?qū)⑺鼈冞B接到外部物理網(wǎng)絡(luò)[1]。

1計算機(jī)取證和虛擬機(jī)環(huán)境

傳統(tǒng)的計算機(jī)取證過程包括許多步驟，可以大致分為4個關(guān)鍵階段：（1）訪問；（2）收購；（3）分析（本文的重點）；（4）報告。在獲取階段，調(diào)查人員捕獲盡可能多的實時系統(tǒng)易失性數(shù)據(jù)，關(guān)閉系統(tǒng)，然后為所有存儲設(shè)備創(chuàng)建一個法醫(yī)圖像[2]。存儲設(shè)備的圖像通常是使用許多基于dd（dd，Unix命令行工具）的工具。此圖像以dd格式存儲，或通常基于dd的專有格式存儲。圖像是原始磁盤的相同副本[3]。但是，目前常用的許多專有格式可能與原始硬盤不完全相同，它們可能包括額外的元數(shù)據(jù)[4]。專有格式的一個例子是最近開發(fā)的并日益流行的高級取證格式（AFF）[5]。AFF甚至對原始圖像進(jìn)行了進(jìn)一步的分割，其中每個段都有一個頭部、一個名稱、一個32位的參數(shù)、一個可選的數(shù)據(jù)負(fù)載，最后還有一個尾部。這個簡短的圖像格式概述的相關(guān)性在于，計算機(jī)專家的發(fā)現(xiàn)可能也基于對圖像的檢查，該圖像在某些方面發(fā)生了變化，并且與原始圖像不相同。由于dd映像與原始映像相同，因此可以將其復(fù)制到相同的或更大的硬盤上，并在另一個計算機(jī)系統(tǒng)上引導(dǎo)。由于有太多可能的硬件組合，這種方法在重新創(chuàng)建原始環(huán)境時是不切實際的。此外，一些已安裝的服務(wù)和軟件產(chǎn)品可能拒絕啟動，或者根本無法啟動系統(tǒng)。虛擬環(huán)境中也存在類似的問題。虛擬機(jī)只模擬一些基本的硬件組件，獲取的dd映像不能立即在虛擬環(huán)境中引導(dǎo)，因為虛擬機(jī)需要包含有關(guān)正在引導(dǎo)的環(huán)境信息的附加文件。各種軟件工具都可以通過創(chuàng)建帶有虛擬機(jī)所需參數(shù)的附加文件來解決這個問題。其中一些實用工具是：（1）封裝物理磁盤模擬器（PDE），商業(yè)產(chǎn)品（封裝法醫(yī)模塊，2007）；（2）ProDiscover系列的商業(yè)和免費的計算機(jī)安全工具技術(shù)；（3）實時視圖，Gnu公共許可證（GPL）下提供的免費工具。使用虛擬機(jī)環(huán)境進(jìn)行計算機(jī)取證數(shù)據(jù)分析，但在法庭上以這種方式獲得的結(jié)果作為證據(jù)的適用性是值得懷疑的[6]。要使映像在虛擬環(huán)境中引導(dǎo)，需要對原始環(huán)境進(jìn)行許多更改，并且一旦系統(tǒng)啟動，就會將新的數(shù)據(jù)寫入原始映像，從而修改它。黃金法則是在備份目的地創(chuàng)建證據(jù)的逐位副本，確保原始數(shù)據(jù)受寫保護(hù)。后續(xù)的數(shù)據(jù)分析應(yīng)該在這個副本上執(zhí)行，而不是在原始證據(jù)上。

2建議的并行方法

前一節(jié)中提到的計算機(jī)取證過程的4個階段，每一個階段都被進(jìn)一步劃分為特定的步驟，每一個步驟都必須遵循嚴(yán)格的程序。分析計算機(jī)證據(jù)的過程應(yīng)該遵循以下基本規(guī)則：（1）對原件的最小處理；（2）解釋任何變化；（3）遵守證據(jù)規(guī)則；（4）不要超越你的知識。目前還沒有普遍接受計算機(jī)法醫(yī)認(rèn)證，但人們希望進(jìn)行分析并在法庭上提交報告的人是擁有相關(guān)專業(yè)知識的“專家”[8]。這個過程的準(zhǔn)確性可以大大提高。如果這個過程擴(kuò)大到包括兩個并行的調(diào)查，分析數(shù)據(jù)所需的總時間可以縮短[9]。在建立的模型中，使用了兩個級別的計算機(jī)取證人員，這樣一個小組的工作方式如下[10]：訓(xùn)練有素、經(jīng)驗豐富的專業(yè)調(diào)查員嚴(yán)格遵循計算機(jī)取證調(diào)查方法。非專業(yè)計算機(jī)技術(shù)人員不需要嚴(yán)格遵守法醫(yī)規(guī)則，也從不直接參與正式的報告流程。電腦技術(shù)員的職責(zé)是檢查資料的副本，以找出任何可能引起興趣的資料，然后向?qū)I(yè)調(diào)查人員報告調(diào)查結(jié)果。在計算機(jī)取證調(diào)查的分析階段，將獲取的圖像副本交給計算機(jī)技術(shù)人員。其任務(wù)是在虛擬的機(jī)器環(huán)境中啟動圖像，將其作為一個正常的“活動”系統(tǒng)，并搜索與調(diào)查相關(guān)的所有細(xì)節(jié)。所有的調(diào)查結(jié)果都會交給專業(yè)調(diào)查人員，然后由專業(yè)調(diào)查人員使用適當(dāng)?shù)挠嬎銠C(jī)取證技術(shù)來確認(rèn)調(diào)查結(jié)果，并在必要時進(jìn)行進(jìn)一步的數(shù)據(jù)搜索。計算機(jī)技術(shù)人員的調(diào)查結(jié)果從來沒有直接包括在報告過程中。

3示例場景

假設(shè)場景：當(dāng)一個人的住所被發(fā)現(xiàn)時，一臺沒有電源的個人計算機(jī)對涉嫌非法販運的人進(jìn)行了搜查[5]。一名計算機(jī)取證調(diào)查員被要求協(xié)助調(diào)查此案，找出與販運有關(guān)的所有信息，包括金融交易的細(xì)節(jié)和任何有關(guān)信件或文件[7]。研究人員記錄了個人計算機(jī)的硬件配置，并使用dd實用程序從HELIX可引導(dǎo)取證CD獲得硬盤映像。記錄SHA-1和MD5散列值以及相關(guān)的案例細(xì)節(jié)，并根據(jù)當(dāng)?shù)氐姆ㄡt(yī)程序創(chuàng)建監(jiān)護(hù)鏈。名為B的映像的兩個副本。在法醫(yī)實驗室，dd被交給了兩個人：（1）專業(yè)調(diào)查員更新保管文件鏈并將圖像鎖在安全位置；（2）計算機(jī)技術(shù)人員，更新第二張圖片對應(yīng)的保管鏈，并將圖片鎖在安全位置。第一次成功后啟動系統(tǒng)的計算機(jī)技術(shù)員的虛擬機(jī)器安裝了虛擬系統(tǒng)工具提高鼠標(biāo)操作，并提供一個更高的虛擬屏幕分辨率。再次啟動系統(tǒng)前計算機(jī)技術(shù)員檢查虛擬機(jī)，并指出只有4個設(shè)備安裝：內(nèi)存，硬盤，CD-ROM和USB控制器。虛擬機(jī)可用的其他設(shè)備可以在添加硬件向?qū)е锌吹健]有安裝以太網(wǎng)控制器，因此虛擬機(jī)與任何網(wǎng)絡(luò)隔離，進(jìn)而不會成功。計算機(jī)技術(shù)人員從另一臺計算機(jī)上檢查因特網(wǎng)，要訪問C帳戶，需要一個用戶名和密碼。用戶名“D”在登錄面板中是可見的，但密碼隱藏在一排圓點后面。為了弄清密碼是什么，計算機(jī)技術(shù)人員決定在虛擬機(jī)中安裝一個名為“密碼揭秘器”的附加軟件。最后工具破譯密碼[4]。計算機(jī)技術(shù)員繼續(xù)使用標(biāo)準(zhǔn)的Windows工具檢查啟動的系統(tǒng)。Windows資源管理器沒有顯示與正在調(diào)查的案件相關(guān)的任何文件夾或文件。然后計算機(jī)技術(shù)員檢查調(diào)查系統(tǒng)上安裝額外的軟件是什么，發(fā)現(xiàn)桌面上的一個圖標(biāo)的簡單的文件粉碎機(jī)，可以安全地刪除文件，使他們不可能再恢復(fù)。但有以下兩點值得注意。（1）用于運行系統(tǒng)的磁盤的映像不再與映像b相同。使用法醫(yī)學(xué)上可靠的方法獲得的dd。安裝了各種新的設(shè)備驅(qū)動程序和新的軟件包。通過在Windows資源管理器中檢查各種文件和文件夾，并在它們的本地應(yīng)用程序中打開它們，可以“觸摸”它們。認(rèn)為這幅圖像仍然是有效的證據(jù)是不現(xiàn)實的，現(xiàn)在它被污染了。（2）原始獲得的圖像B。dd仍由專業(yè)調(diào)查員保管；它沒有改變，在法律上是有效的。計算機(jī)技術(shù)員向?qū)I(yè)調(diào)查員匯報下列基本調(diào)查結(jié)果：很可能沒有太多與調(diào)查有關(guān)的文件的痕跡，因為使用計算機(jī)的人安裝了一個安全刪除工具，所有這些文件都有可能被不可恢復(fù)地刪除了；證據(jù)價值的材料很可能沒有保存在計算機(jī)上，因為所有者有一個虛擬的因特網(wǎng)存儲帳戶，允許他們將所有數(shù)據(jù)保存在遠(yuǎn)程服務(wù)器上；可以恢復(fù)到遠(yuǎn)程存儲系統(tǒng)帳戶的用戶名和密碼。通過使用這些信息，專業(yè)調(diào)查員現(xiàn)在可以用可靠的取證方法和適當(dāng)?shù)娜∽C軟件工具來確認(rèn)所有的發(fā)現(xiàn)。可以從另一臺計算機(jī)訪問DriveHQ上的遠(yuǎn)程帳戶，并復(fù)制和檢查存儲在那里的所有文件。dd磁盤映像仍然可以用計算機(jī)取證軟件分析未分解文件的任何痕跡[6]。

4結(jié)論

上述簡單的場景表明，配備不同工具集的兩個團(tuán)隊之間的合作，以及使用具有不同專業(yè)水平的人員，可以產(chǎn)生更快的結(jié)果，并將減少高素質(zhì)專業(yè)調(diào)查人員的工作量。使用適當(dāng)?shù)挠嬎銠C(jī)取證工具和技術(shù)的專業(yè)調(diào)查人員很可能在傳統(tǒng)的設(shè)置中獲得相同的結(jié)果，而不需要使用虛擬環(huán)境，也不需要計算機(jī)技術(shù)人員的幫助。然而，所描述的使用傳統(tǒng)和虛擬兩種環(huán)境的方法的一個優(yōu)勢是可以節(jié)省時間，增加發(fā)現(xiàn)重要證據(jù)的機(jī)會。新方法的另一個優(yōu)勢是，技術(shù)人員可以分階段接觸計算機(jī)取證技術(shù)，而不損害真實的證據(jù)，同時為過程提供真正有價值的輸入。這種方法也可以看作是一個內(nèi)部培訓(xùn)過程的一部分，一個人的小計算機(jī)取證經(jīng)驗，并首次引入司法過程在虛擬環(huán)境中進(jìn)行調(diào)查。本文描述了在計算機(jī)取證調(diào)查分析階段使用傳統(tǒng)環(huán)境和虛擬環(huán)境的過程。同時提出了計算機(jī)技術(shù)人員與專業(yè)調(diào)查員合作的基本規(guī)則。

作者:邵彥寧 單位:廣東電網(wǎng)有限責(zé)任公司