電子數據取證是打擊網絡犯罪的重要環節,在實際應用中可以劃分為靜態取證模型和動態取證模型。靜態取證強調對證據的事后發現與分析,本質上是一種被動的取證模型,其優點是有利于對涉案電子證據的提取和保存,缺點是對“活”的電子數據進行行為分析和抽樣鑒定存在局限性。動態取證強調證據的及時獲取,是一種主動的取證模型,其優點是通過實時監控分析全面客觀反映系統安全狀態,并在犯罪實施階段獲取有效的數據,缺點是需要經過預先部署,對取證方法的針對行要求較高,在司法實踐中往往達不到理想的環境。
動態仿真取證技術就是在吸取、借鑒傳統取證方法各自優勢的基礎上,將仿真技術運用于計算機犯罪調查司法實踐而產生的新的取證方法。
1、動態仿真取證技術
基于動態仿真技術的取證分析方法是建立在功能型的取證模型之上的,它沒有使用時間因素作為流程劃分的基準,而是按照不同取證環境下的特殊要求,在取證分析過程中運用動態仿真技術獲取原始電子證據或者在取樣分析階段模擬原始環境加以利用的特殊分析方法。
動態仿真取證技術在不破壞原始證據的完整性、有效性、真實性的前提下,注重從功能上實現對電子證據的收集,分析鑒別所獲得的數據信息,提取并固定對偵查、起訴有價值的電子證據信息。在取證分析中,通過虛擬機技術實現原始證據的克隆、模擬系統環境,以第一視角的方式進行電子數據分析。基于VMware虛擬機技術的動態仿真取證技術是運用VMware虛擬機技術實現對物理計算機的遷移和轉換,并在虛擬系統環境中實現對電子數據的動態取證分析的計算機犯罪調查方法。
2、虛擬機技術
虛擬機是利用虛擬化技術,通過在現有的硬件平臺上添加一個稱為虛擬機監視軟件的中間層,從而實現對處理器、內存管理單元、輸入輸出系統等計算機必備系統的虛擬化,進而在硬件平臺上虛擬出一臺功能完善的計算機。從應用程序的角度來看,應用程序都在某一特定的指令體系(instruction setarehitecture,ISA)或操作系統上運行,根本感知不到是運行在一臺虛擬機上還是在一臺實體計算機。
虛擬機技術分為完全虛擬化(fullvirtualization)和準虛擬化(aravirtulization)兩種類型。二者的區別在于客體的操作系統指令體系(ISA)和宿主的操作系統指令體系(ISA)是否相同。因此,采用完全虛擬化技術的虛擬機具有很好的兼容性,VMware屬于采用完全虛擬化技術的虛擬機。
2.1虛擬機轉換技術
VMware提供了將虛擬機、系統鏡像和物理計算機轉換為VMware產品托管的可擴展解決解決方案,可以實現物理機到虛擬機(P2V)、虛擬機到虛擬機(V2V)、磁盤鏡像到虛擬機(12V)的遷移。轉換物理機時,Converter Standalone組件會通過克隆復制源物理磁盤或邏輯卷,并將該數據傳輸至目標虛擬磁盤來創建目標虛擬機。
2.2基于磁盤的克隆和基于卷的克隆
Converter Standalone支持基于磁盤的克隆和基于卷的克隆。基于卷的克隆是將卷從源計算機復制到目標計算機。源計算機動態磁盤在目標虛擬機上會轉換為基本卷。基于卷的克隆可在文件級別或塊級別執行。當選擇小于NTFS原始卷的大小或選擇調整FAT卷大小時執行基于卷的文件級克隆。當選擇保持源卷的大小或為NTFS源卷指定更大的卷大小時可進行基于卷的塊級克隆。
基于磁盤的克隆會轉移所有磁盤的所有扇區,為所有類型的基本磁盤和動態磁盤創建源計算機的副本,并保留所有卷元數據,目標虛擬機接收的分區類型、大小和結構與源虛擬機完全相同。
2.3物理機的熱克隆和冷克隆
2.3.1熱克隆
熱克隆也叫做實時克隆或聯機克隆,在機操作系統運行狀態下對源計算機進行遷移轉換。由于在轉換期間進程繼續在源計算機上運行,因此生成的虛擬機不是源計算機的精確副本,需要配置Converter Standalone選項,使程序在熱克隆后將目標虛擬機與源計算機同步。同步操作允許將物理機源無縫遷移到虛擬機目標,目標計算機將接管源計算機操作。
對于雙引導系統的源計算機,熱克隆只能克隆boot.ini文件指向的默認操作系統。在更改源計算機的boot.ini文件以指向另一個操作系統之后,重新啟動源計算機,才能對另一個操作系統重新進行克隆。如果另一個操作系統是Linux系統,則可以使用克隆Linux物理機源的標準過程引導和克隆該系統。
2.3.2冷克隆
冷克隆也稱為脫機克隆,在關機狀態下對源計算機進行遷移轉換。在冷克隆計算機時,需要使用帶有32位子系統的Window預安裝環境和Converter Standalone應用程序的光盤重新引導源計算機。冷克隆在轉換期間源計算機上不會發生任何更改,因此可以創建最一致的源計算機副本。冷克隆在源計算機上不留痕跡,但要求可直接訪問所克隆的源計算機。在冷克隆Linux計算機時,必須在克隆完成后才能配置目標虛擬機。對于安裝有雙系統的源計算機,冷克隆可以一次實現源磁盤的完全遷移轉換。
3、運用虛擬機技術進行動態仿真取證司法實踐的探討
電子證據作為計算機犯罪調查取證中的關鍵證據,既有一般法律證據所具有的共性,又有其自身特殊的個性。在司法實踐中要求電子證據既能夠與其它犯罪證據緊密相關,相互印證,充分說明案件基本事實,又必須保證取證分析過程的合法性、證據獲取的完整性和真實性。鑒于此,筆者著重從虛擬機克隆技術在司法取證實踐中對證據客觀性的影響作簡要論述。
3.1熱克隆技術對取證的影響
VMware虛擬機的熱克隆技術不適合于計算機犯罪調查的現場取證。原因在于其在操作過程中需要創建磁盤快照通過網絡傳遞給目標虛擬機,因此Converter Standalone代理程序會直接安裝運行在開機狀態下的源計算機中,使源計算機的內存狀態、網絡狀態和磁盤結構發生改變,對原始證據的唯一性和完整性造成破壞。但是,熱克隆具有良好的硬件兼容性,可以快速搭建脫離硬件環境的模擬仿真系統,因此熱克隆技術可以是取證分析人員在特定取證過程中考慮采取的技術分析方法之一。其分析鑒定的結果可以作為靜態取證分析檢驗和參考的依據。
例如,在網絡入侵類案件中,取證人員需要針對計算機病毒木馬程序的網絡態、進程態、隱藏態等特性進行動態取樣分析時,對源計算機磁盤完整拷貝后,采用熱克隆技術能夠快速實現樣本程序運行環境的重建。當然,針對不同的取證分析需求,首先必須保證虛擬機對樣本程序運行環境的改變是可控的。如:樣本程序所占有的內存資源、網絡端口等系統資源不會與Converter Standalone代理程序相沖突;取證人員在虛擬機模擬仿真環境中對樣本程序功能性分析不會受VMM中間件的影響:樣本程序網絡功能的實現不依賴于源計算機的MAC地址:對于雙系統的熱克隆必須改變boot.ini指向后分別進行。
3.2冷克隆技術對取證的影響
冷克隆在進行磁盤遷移轉換的過程中無需在源計算機上進行任何安裝,對源計算機物理磁盤不會產生影響,且對于多操作系統可以一次克隆完成。因此,采用Converter Standalone的冷克隆技術能夠保證原始硬盤的真實性和電子證據的完整性,符合電子取證的要求,可以作為現場取證的手段之一。在此基礎之上,調查人員對取證過程中涉及到的日期和時間、硬盤分區情況、操作系統和版本、文件信息、數據完整性、計算機程序功能檢測分析結果等進行歸檔處理,能保證調查取證過程的合法性,形成可以提交法庭質證的電子證據報告。
但冷克隆技術也有它的局限性:一是轉換源計算機必須處于關機狀態,由CD進行重新引導,如要獲取正在運行的計算機內存中的電子證據,在現場取證時應考慮使用其它技術手段加以補充:二是Converter Standalone的4.1版本可能對某些特殊的硬件驅動無法識別(如磁盤陣列卡的硬件驅動),在具體操作中要區別對待;三是Converter Standalone無法檢測大小超過2 TB的物理磁盤上的任何源卷和文件系統。
3.3動態仿真取證在司法實踐中的意義
基于VMware虛擬機技術的動態仿真取證分析方法,能夠實現模擬系統環境的快速搭建,從功能上實現電子數據分析鑒定所要求的客觀條件,以便于取證人員提取、固定有利于客觀反映犯罪事實的電子證據信息。
運用虛擬機技術進行電子數據的動態取樣分析,能有效證明電子證據在計算機犯罪案件中與其它關鍵證據之間的關聯性,對保障偵查、起訴等司法調查程序有效實施具有重要的實踐意義。同時,虛擬機技術可以通過直觀展示的方式對證據分析鑒定報告予以出示,因此可以進一步提高證據本身的證明力和證據能力。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文網址:http://m.hanmeixuan.com/html/solutions/14019311951.html
相關文章
