电子数据取证是打击网络犯罪的重要环节,在实际应用中可以划分为静态取证模型和动态取证模型。静态取证强调对证据的事后发现与分析,本质上是一种被动的取证模型,其优点是有利于对涉案电子证据的提取和保存,缺点是对“活”的电子数据进行行为分析和抽样鉴定存在局限性。动态取证强调证据的及时获取,是一种主动的取证模型,其优点是通过实时监控分析全面客观反映系统安全状态,并在犯罪实施阶段获取有效的数据,缺点是需要经过预先部署,对取证方法的针对行要求较高,在司法实践中往往达不到理想的环境。
动态仿真取证技术就是在吸取、借鉴传统取证方法各自优势的基础上,将仿真技术运用于计算机犯罪调查司法实践而产生的新的取证方法。
1、动态仿真取证技术
基于动态仿真技术的取证分析方法是建立在功能型的取证模型之上的,它没有使用时间因素作为流程划分的基准,而是按照不同取证环境下的特殊要求,在取证分析过程中运用动态仿真技术获取原始电子证据或者在取样分析阶段模拟原始环境加以利用的特殊分析方法。
动态仿真取证技术在不破坏原始证据的完整性、有效性、真实性的前提下,注重从功能上实现对电子证据的收集,分析鉴别所获得的数据信息,提取并固定对侦查、起诉有价值的电子证据信息。在取证分析中,通过虚拟机技术实现原始证据的克隆、模拟系统环境,以第一视角的方式进行电子数据分析。基于VMware虚拟机技术的动态仿真取证技术是运用VMware虚拟机技术实现对物理计算机的迁移和转换,并在虚拟系统环境中实现对电子数据的动态取证分析的计算机犯罪调查方法。
2、虚拟机技术
虚拟机是利用虚拟化技术,通过在现有的硬件平台上添加一个称为虚拟机监视软件的中间层,从而实现对处理器、内存管理单元、输入输出系统等计算机必备系统的虚拟化,进而在硬件平台上虚拟出一台功能完善的计算机。从应用程序的角度来看,应用程序都在某一特定的指令体系(instruction setarehitecture,ISA)或操作系统上运行,根本感知不到是运行在一台虚拟机上还是在一台实体计算机。
虚拟机技术分为完全虚拟化(fullvirtualization)和准虚拟化(aravirtulization)两种类型。二者的区别在于客体的操作系统指令体系(ISA)和宿主的操作系统指令体系(ISA)是否相同。因此,采用完全虚拟化技术的虚拟机具有很好的兼容性,VMware属于采用完全虚拟化技术的虚拟机。
2.1虚拟机转换技术
VMware提供了将虚拟机、系统镜像和物理计算机转换为VMware产品托管的可扩展解决解决方案,可以实现物理机到虚拟机(P2V)、虚拟机到虚拟机(V2V)、磁盘镜像到虚拟机(12V)的迁移。转换物理机时,Converter Standalone组件会通过克隆复制源物理磁盘或逻辑卷,并将该数据传输至目标虚拟磁盘来创建目标虚拟机。
2.2基于磁盘的克隆和基于卷的克隆
Converter Standalone支持基于磁盘的克隆和基于卷的克隆。基于卷的克隆是将卷从源计算机复制到目标计算机。源计算机动态磁盘在目标虚拟机上会转换为基本卷。基于卷的克隆可在文件级别或块级别执行。当选择小于NTFS原始卷的大小或选择调整FAT卷大小时执行基于卷的文件级克隆。当选择保持源卷的大小或为NTFS源卷指定更大的卷大小时可进行基于卷的块级克隆。
基于磁盘的克隆会转移所有磁盘的所有扇区,为所有类型的基本磁盘和动态磁盘创建源计算机的副本,并保留所有卷元数据,目标虚拟机接收的分区类型、大小和结构与源虚拟机完全相同。
2.3物理机的热克隆和冷克隆
2.3.1热克隆
热克隆也叫做实时克隆或联机克隆,在机操作系统运行状态下对源计算机进行迁移转换。由于在转换期间进程继续在源计算机上运行,因此生成的虚拟机不是源计算机的精确副本,需要配置Converter Standalone选项,使程序在热克隆后将目标虚拟机与源计算机同步。同步操作允许将物理机源无缝迁移到虚拟机目标,目标计算机将接管源计算机操作。
对于双引导系统的源计算机,热克隆只能克隆boot.ini文件指向的默认操作系统。在更改源计算机的boot.ini文件以指向另一个操作系统之后,重新启动源计算机,才能对另一个操作系统重新进行克隆。如果另一个操作系统是Linux系统,则可以使用克隆Linux物理机源的标准过程引导和克隆该系统。
2.3.2冷克隆
冷克隆也称为脱机克隆,在关机状态下对源计算机进行迁移转换。在冷克隆计算机时,需要使用带有32位子系统的Window预安装环境和Converter Standalone应用程序的光盘重新引导源计算机。冷克隆在转换期间源计算机上不会发生任何更改,因此可以创建最一致的源计算机副本。冷克隆在源计算机上不留痕迹,但要求可直接访问所克隆的源计算机。在冷克隆Linux计算机时,必须在克隆完成后才能配置目标虚拟机。对于安装有双系统的源计算机,冷克隆可以一次实现源磁盘的完全迁移转换。
3、运用虚拟机技术进行动态仿真取证司法实践的探讨
电子证据作为计算机犯罪调查取证中的关键证据,既有一般法律证据所具有的共性,又有其自身特殊的个性。在司法实践中要求电子证据既能够与其它犯罪证据紧密相关,相互印证,充分说明案件基本事实,又必须保证取证分析过程的合法性、证据获取的完整性和真实性。鉴于此,笔者着重从虚拟机克隆技术在司法取证实践中对证据客观性的影响作简要论述。
3.1热克隆技术对取证的影响
VMware虚拟机的热克隆技术不适合于计算机犯罪调查的现场取证。原因在于其在操作过程中需要创建磁盘快照通过网络传递给目标虚拟机,因此Converter Standalone代理程序会直接安装运行在开机状态下的源计算机中,使源计算机的内存状态、网络状态和磁盘结构发生改变,对原始证据的唯一性和完整性造成破坏。但是,热克隆具有良好的硬件兼容性,可以快速搭建脱离硬件环境的模拟仿真系统,因此热克隆技术可以是取证分析人员在特定取证过程中考虑采取的技术分析方法之一。其分析鉴定的结果可以作为静态取证分析检验和参考的依据。
例如,在网络入侵类案件中,取证人员需要针对计算机病毒木马程序的网络态、进程态、隐藏态等特性进行动态取样分析时,对源计算机磁盘完整拷贝后,采用热克隆技术能够快速实现样本程序运行环境的重建。当然,针对不同的取证分析需求,首先必须保证虚拟机对样本程序运行环境的改变是可控的。如:样本程序所占有的内存资源、网络端口等系统资源不会与Converter Standalone代理程序相冲突;取证人员在虚拟机模拟仿真环境中对样本程序功能性分析不会受VMM中间件的影响:样本程序网络功能的实现不依赖于源计算机的MAC地址:对于双系统的热克隆必须改变boot.ini指向后分别进行。
3.2冷克隆技术对取证的影响
冷克隆在进行磁盘迁移转换的过程中无需在源计算机上进行任何安装,对源计算机物理磁盘不会产生影响,且对于多操作系统可以一次克隆完成。因此,采用Converter Standalone的冷克隆技术能够保证原始硬盘的真实性和电子证据的完整性,符合电子取证的要求,可以作为现场取证的手段之一。在此基础之上,调查人员对取证过程中涉及到的日期和时间、硬盘分区情况、操作系统和版本、文件信息、数据完整性、计算机程序功能检测分析结果等进行归档处理,能保证调查取证过程的合法性,形成可以提交法庭质证的电子证据报告。
但冷克隆技术也有它的局限性:一是转换源计算机必须处于关机状态,由CD进行重新引导,如要获取正在运行的计算机内存中的电子证据,在现场取证时应考虑使用其它技术手段加以补充:二是Converter Standalone的4.1版本可能对某些特殊的硬件驱动无法识别(如磁盘阵列卡的硬件驱动),在具体操作中要区别对待;三是Converter Standalone无法检测大小超过2 TB的物理磁盘上的任何源卷和文件系统。
3.3动态仿真取证在司法实践中的意义
基于VMware虚拟机技术的动态仿真取证分析方法,能够实现模拟系统环境的快速搭建,从功能上实现电子数据分析鉴定所要求的客观条件,以便于取证人员提取、固定有利于客观反映犯罪事实的电子证据信息。
运用虚拟机技术进行电子数据的动态取样分析,能有效证明电子证据在计算机犯罪案件中与其它关键证据之间的关联性,对保障侦查、起诉等司法调查程序有效实施具有重要的实践意义。同时,虚拟机技术可以通过直观展示的方式对证据分析鉴定报告予以出示,因此可以进一步提高证据本身的证明力和证据能力。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
相关文章
