虛擬環境下計算機取證探析

導語：虛擬環境下計算機取證探析一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：研究了虛擬環境在計算機取證調查分析階段的潛在作用。提出了虛擬環境計算機取證軟件工具的一般概念；指出了虛擬環境的局限性，設計了一種同時獨立使用傳統環境和虛擬環境的新方法，并證明這種方法可以大大縮短計算機取證調查分析階段的時間。

關鍵詞：計算機取證；虛擬機；計算機證據

虛擬化是一個古老的概念，在20世紀60年代隨著大型計算機的出現而首次引入。它在20世紀90年代被重新引入個人電腦。虛擬機（也稱為“VM”）是一種軟件產品，允許用戶創建一個或多個單獨的環境，每個環境模擬自己的硬件集和自己的軟件。理想情況下，每個虛擬機都應該像一臺完全獨立的計算機，具有自己的操作系統和硬件。用戶可以獨立地控制每個環境，如果需要，還可以將網絡虛擬計算機連接在一起或將它們連接到外部物理網絡[1]。

1計算機取證和虛擬機環境

傳統的計算機取證過程包括許多步驟，可以大致分為4個關鍵階段：（1）訪問；（2）收購；（3）分析（本文的重點）；（4）報告。在獲取階段，調查人員捕獲盡可能多的實時系統易失性數據，關閉系統，然后為所有存儲設備創建一個法醫圖像[2]。存儲設備的圖像通常是使用許多基于dd（dd，Unix命令行工具）的工具。此圖像以dd格式存儲，或通?；赿d的專有格式存儲。圖像是原始磁盤的相同副本[3]。但是，目前常用的許多專有格式可能與原始硬盤不完全相同，它們可能包括額外的元數據[4]。專有格式的一個例子是最近開發的并日益流行的高級取證格式（AFF）[5]。AFF甚至對原始圖像進行了進一步的分割，其中每個段都有一個頭部、一個名稱、一個32位的參數、一個可選的數據負載，最后還有一個尾部。這個簡短的圖像格式概述的相關性在于，計算機專家的發現可能也基于對圖像的檢查，該圖像在某些方面發生了變化，并且與原始圖像不相同。由于dd映像與原始映像相同，因此可以將其復制到相同的或更大的硬盤上，并在另一個計算機系統上引導。由于有太多可能的硬件組合，這種方法在重新創建原始環境時是不切實際的。此外，一些已安裝的服務和軟件產品可能拒絕啟動，或者根本無法啟動系統。虛擬環境中也存在類似的問題。虛擬機只模擬一些基本的硬件組件，獲取的dd映像不能立即在虛擬環境中引導，因為虛擬機需要包含有關正在引導的環境信息的附加文件。各種軟件工具都可以通過創建帶有虛擬機所需參數的附加文件來解決這個問題。其中一些實用工具是：（1）封裝物理磁盤模擬器（PDE），商業產品（封裝法醫模塊，2007）；（2）ProDiscover系列的商業和免費的計算機安全工具技術；（3）實時視圖，Gnu公共許可證（GPL）下提供的免費工具。使用虛擬機環境進行計算機取證數據分析，但在法庭上以這種方式獲得的結果作為證據的適用性是值得懷疑的[6]。要使映像在虛擬環境中引導，需要對原始環境進行許多更改，并且一旦系統啟動，就會將新的數據寫入原始映像，從而修改它。黃金法則是在備份目的地創建證據的逐位副本，確保原始數據受寫保護。后續的數據分析應該在這個副本上執行，而不是在原始證據上。

2建議的并行方法

前一節中提到的計算機取證過程的4個階段，每一個階段都被進一步劃分為特定的步驟，每一個步驟都必須遵循嚴格的程序。分析計算機證據的過程應該遵循以下基本規則：（1）對原件的最小處理；（2）解釋任何變化；（3）遵守證據規則；（4）不要超越你的知識。目前還沒有普遍接受計算機法醫認證，但人們希望進行分析并在法庭上提交報告的人是擁有相關專業知識的“專家”[8]。這個過程的準確性可以大大提高。如果這個過程擴大到包括兩個并行的調查，分析數據所需的總時間可以縮短[9]。在建立的模型中，使用了兩個級別的計算機取證人員，這樣一個小組的工作方式如下[10]：訓練有素、經驗豐富的專業調查員嚴格遵循計算機取證調查方法。非專業計算機技術人員不需要嚴格遵守法醫規則，也從不直接參與正式的報告流程。電腦技術員的職責是檢查資料的副本，以找出任何可能引起興趣的資料，然后向專業調查人員報告調查結果。在計算機取證調查的分析階段，將獲取的圖像副本交給計算機技術人員。其任務是在虛擬的機器環境中啟動圖像，將其作為一個正常的“活動”系統，并搜索與調查相關的所有細節。所有的調查結果都會交給專業調查人員，然后由專業調查人員使用適當的計算機取證技術來確認調查結果，并在必要時進行進一步的數據搜索。計算機技術人員的調查結果從來沒有直接包括在報告過程中。

3示例場景

假設場景：當一個人的住所被發現時，一臺沒有電源的個人計算機對涉嫌非法販運的人進行了搜查[5]。一名計算機取證調查員被要求協助調查此案，找出與販運有關的所有信息，包括金融交易的細節和任何有關信件或文件[7]。研究人員記錄了個人計算機的硬件配置，并使用dd實用程序從HELIX可引導取證CD獲得硬盤映像。記錄SHA-1和MD5散列值以及相關的案例細節，并根據當地的法醫程序創建監護鏈。名為B的映像的兩個副本。在法醫實驗室，dd被交給了兩個人：（1）專業調查員更新保管文件鏈并將圖像鎖在安全位置；（2）計算機技術人員，更新第二張圖片對應的保管鏈，并將圖片鎖在安全位置。第一次成功后啟動系統的計算機技術員的虛擬機器安裝了虛擬系統工具提高鼠標操作，并提供一個更高的虛擬屏幕分辨率。再次啟動系統前計算機技術員檢查虛擬機，并指出只有4個設備安裝：內存，硬盤，CD-ROM和USB控制器。虛擬機可用的其他設備可以在添加硬件向導中看到。沒有安裝以太網控制器，因此虛擬機與任何網絡隔離，進而不會成功。計算機技術人員從另一臺計算機上檢查因特網，要訪問C帳戶，需要一個用戶名和密碼。用戶名“D”在登錄面板中是可見的，但密碼隱藏在一排圓點后面。為了弄清密碼是什么，計算機技術人員決定在虛擬機中安裝一個名為“密碼揭秘器”的附加軟件。最后工具破譯密碼[4]。計算機技術員繼續使用標準的Windows工具檢查啟動的系統。Windows資源管理器沒有顯示與正在調查的案件相關的任何文件夾或文件。然后計算機技術員檢查調查系統上安裝額外的軟件是什么，發現桌面上的一個圖標的簡單的文件粉碎機，可以安全地刪除文件，使他們不可能再恢復。但有以下兩點值得注意。（1）用于運行系統的磁盤的映像不再與映像b相同。使用法醫學上可靠的方法獲得的dd。安裝了各種新的設備驅動程序和新的軟件包。通過在Windows資源管理器中檢查各種文件和文件夾，并在它們的本地應用程序中打開它們，可以“觸摸”它們。認為這幅圖像仍然是有效的證據是不現實的，現在它被污染了。（2）原始獲得的圖像B。dd仍由專業調查員保管；它沒有改變，在法律上是有效的。計算機技術員向專業調查員匯報下列基本調查結果：很可能沒有太多與調查有關的文件的痕跡，因為使用計算機的人安裝了一個安全刪除工具，所有這些文件都有可能被不可恢復地刪除了；證據價值的材料很可能沒有保存在計算機上，因為所有者有一個虛擬的因特網存儲帳戶，允許他們將所有數據保存在遠程服務器上；可以恢復到遠程存儲系統帳戶的用戶名和密碼。通過使用這些信息，專業調查員現在可以用可靠的取證方法和適當的取證軟件工具來確認所有的發現。可以從另一臺計算機訪問DriveHQ上的遠程帳戶，并復制和檢查存儲在那里的所有文件。dd磁盤映像仍然可以用計算機取證軟件分析未分解文件的任何痕跡[6]。

4結論

上述簡單的場景表明，配備不同工具集的兩個團隊之間的合作，以及使用具有不同專業水平的人員，可以產生更快的結果，并將減少高素質專業調查人員的工作量。使用適當的計算機取證工具和技術的專業調查人員很可能在傳統的設置中獲得相同的結果，而不需要使用虛擬環境，也不需要計算機技術人員的幫助。然而，所描述的使用傳統和虛擬兩種環境的方法的一個優勢是可以節省時間，增加發現重要證據的機會。新方法的另一個優勢是，技術人員可以分階段接觸計算機取證技術，而不損害真實的證據，同時為過程提供真正有價值的輸入。這種方法也可以看作是一個內部培訓過程的一部分，一個人的小計算機取證經驗，并首次引入司法過程在虛擬環境中進行調查。本文描述了在計算機取證調查分析階段使用傳統環境和虛擬環境的過程。同時提出了計算機技術人員與專業調查員合作的基本規則。

作者:邵彥寧 單位:廣東電網有限責任公司