電子數(shù)據(jù)取證是打擊網(wǎng)絡(luò)犯罪的重要環(huán)節(jié)，在實(shí)際應(yīng)用中可以劃分為靜態(tài)取證模型和動(dòng)態(tài)取證模型。靜態(tài)取證強(qiáng)調(diào)對(duì)證據(jù)的事后發(fā)現(xiàn)與分析，本質(zhì)上是一種被動(dòng)的取證模型，其優(yōu)點(diǎn)是有利于對(duì)涉案電子證據(jù)的提取和保存，缺點(diǎn)是對(duì)“活”的電子數(shù)據(jù)進(jìn)行行為分析和抽樣鑒定存在局限性。動(dòng)態(tài)取證強(qiáng)調(diào)證據(jù)的及時(shí)獲取，是一種主動(dòng)的取證模型，其優(yōu)點(diǎn)是通過(guò)實(shí)時(shí)監(jiān)控分析全面客觀反映系統(tǒng)安全狀態(tài)，并在犯罪實(shí)施階段獲取有效的數(shù)據(jù)，缺點(diǎn)是需要經(jīng)過(guò)預(yù)先部署，對(duì)取證方法的針對(duì)行要求較高，在司法實(shí)踐中往往達(dá)不到理想的環(huán)境。

　　動(dòng)態(tài)仿真取證技術(shù)就是在吸取、借鑒傳統(tǒng)取證方法各自優(yōu)勢(shì)的基礎(chǔ)上，將仿真技術(shù)運(yùn)用于計(jì)算機(jī)犯罪調(diào)查司法實(shí)踐而產(chǎn)生的新的取證方法。

　　1、動(dòng)態(tài)仿真取證技術(shù)

　　基于動(dòng)態(tài)仿真技術(shù)的取證分析方法是建立在功能型的取證模型之上的，它沒(méi)有使用時(shí)間因素作為流程劃分的基準(zhǔn)，而是按照不同取證環(huán)境下的特殊要求，在取證分析過(guò)程中運(yùn)用動(dòng)態(tài)仿真技術(shù)獲取原始電子證據(jù)或者在取樣分析階段模擬原始環(huán)境加以利用的特殊分析方法。

　　動(dòng)態(tài)仿真取證技術(shù)在不破壞原始證據(jù)的完整性、有效性、真實(shí)性的前提下，注重從功能上實(shí)現(xiàn)對(duì)電子證據(jù)的收集，分析鑒別所獲得的數(shù)據(jù)信息，提取并固定對(duì)偵查、起訴有價(jià)值的電子證據(jù)信息。在取證分析中，通過(guò)虛擬機(jī)技術(shù)實(shí)現(xiàn)原始證據(jù)的克隆、模擬系統(tǒng)環(huán)境，以第一視角的方式進(jìn)行電子數(shù)據(jù)分析。基于VMware虛擬機(jī)技術(shù)的動(dòng)態(tài)仿真取證技術(shù)是運(yùn)用VMware虛擬機(jī)技術(shù)實(shí)現(xiàn)對(duì)物理計(jì)算機(jī)的遷移和轉(zhuǎn)換，并在虛擬系統(tǒng)環(huán)境中實(shí)現(xiàn)對(duì)電子數(shù)據(jù)的動(dòng)態(tài)取證分析的計(jì)算機(jī)犯罪調(diào)查方法。

　　2、虛擬機(jī)技術(shù)

　　虛擬機(jī)是利用虛擬化技術(shù)，通過(guò)在現(xiàn)有的硬件平臺(tái)上添加一個(gè)稱為虛擬機(jī)監(jiān)視軟件的中間層，從而實(shí)現(xiàn)對(duì)處理器、內(nèi)存管理單元、輸入輸出系統(tǒng)等計(jì)算機(jī)必備系統(tǒng)的虛擬化，進(jìn)而在硬件平臺(tái)上虛擬出一臺(tái)功能完善的計(jì)算機(jī)。從應(yīng)用程序的角度來(lái)看，應(yīng)用程序都在某一特定的指令體系(instruction setarehitecture，ISA)或操作系統(tǒng)上運(yùn)行，根本感知不到是運(yùn)行在一臺(tái)虛擬機(jī)上還是在一臺(tái)實(shí)體計(jì)算機(jī)。

　　虛擬機(jī)技術(shù)分為完全虛擬化(fullvirtualization)和準(zhǔn)虛擬化(aravirtulization)兩種類型。二者的區(qū)別在于客體的操作系統(tǒng)指令體系(ISA)和宿主的操作系統(tǒng)指令體系(ISA)是否相同。因此，采用完全虛擬化技術(shù)的虛擬機(jī)具有很好的兼容性，VMware屬于采用完全虛擬化技術(shù)的虛擬機(jī)。

　　2.1虛擬機(jī)轉(zhuǎn)換技術(shù)

　　VMware提供了將虛擬機(jī)、系統(tǒng)鏡像和物理計(jì)算機(jī)轉(zhuǎn)換為VMware產(chǎn)品托管的可擴(kuò)展解決解決方案，可以實(shí)現(xiàn)物理機(jī)到虛擬機(jī)(P2V)、虛擬機(jī)到虛擬機(jī)(V2V)、磁盤鏡像到虛擬機(jī)(12V)的遷移。轉(zhuǎn)換物理機(jī)時(shí)，Converter Standalone組件會(huì)通過(guò)克隆復(fù)制源物理磁盤或邏輯卷，并將該數(shù)據(jù)傳輸至目標(biāo)虛擬磁盤來(lái)創(chuàng)建目標(biāo)虛擬機(jī)。

　　2.2基于磁盤的克隆和基于卷的克隆

　　Converter Standalone支持基于磁盤的克隆和基于卷的克隆�；�于卷的克隆是將卷從源計(jì)算機(jī)復(fù)制到目標(biāo)計(jì)算機(jī)。源計(jì)算機(jī)動(dòng)態(tài)磁盤在目標(biāo)虛擬機(jī)上會(huì)轉(zhuǎn)換為基本卷�；�于卷的克隆可在文件級(jí)別或塊級(jí)別執(zhí)行。當(dāng)選擇小于NTFS原始卷的大小或選擇調(diào)整FAT卷大小時(shí)執(zhí)行基于卷的文件級(jí)克隆。當(dāng)選擇保持源卷的大小或?yàn)镹TFS源卷指定更大的卷大小時(shí)可進(jìn)行基于卷的塊級(jí)克隆。

　　基于磁盤的克隆會(huì)轉(zhuǎn)移所有磁盤的所有扇區(qū)，為所有類型的基本磁盤和動(dòng)態(tài)磁盤創(chuàng)建源計(jì)算機(jī)的副本，并保留所有卷元數(shù)據(jù)，目標(biāo)虛擬機(jī)接收的分區(qū)類型、大小和結(jié)構(gòu)與源虛擬機(jī)完全相同。

　　2.3物理機(jī)的熱克隆和冷克隆

　　2.3.1熱克隆

　　熱克隆也叫做實(shí)時(shí)克隆或聯(lián)機(jī)克隆，在機(jī)操作系統(tǒng)運(yùn)行狀態(tài)下對(duì)源計(jì)算機(jī)進(jìn)行遷移轉(zhuǎn)換。由于在轉(zhuǎn)換期間進(jìn)程繼續(xù)在源計(jì)算機(jī)上運(yùn)行，因此生成的虛擬機(jī)不是源計(jì)算機(jī)的精確副本，需要配置Converter Standalone選項(xiàng)，使程序在熱克隆后將目標(biāo)虛擬機(jī)與源計(jì)算機(jī)同步。同步操作允許將物理機(jī)源無(wú)縫遷移到虛擬機(jī)目標(biāo)，目標(biāo)計(jì)算機(jī)將接管源計(jì)算機(jī)操作。

　　對(duì)于雙引導(dǎo)系統(tǒng)的源計(jì)算機(jī)，熱克隆只能克隆boot.ini文件指向的默認(rèn)操作系統(tǒng)。在更改源計(jì)算機(jī)的boot.ini文件以指向另一個(gè)操作系統(tǒng)之后，重新啟動(dòng)源計(jì)算機(jī)，才能對(duì)另一個(gè)操作系統(tǒng)重新進(jìn)行克隆。如果另一個(gè)操作系統(tǒng)是Linux系統(tǒng)，則可以使用克隆Linux物理機(jī)源的標(biāo)準(zhǔn)過(guò)程引導(dǎo)和克隆該系統(tǒng)。

　　2.3.2冷克隆

　　冷克隆也稱為脫機(jī)克隆，在關(guān)機(jī)狀態(tài)下對(duì)源計(jì)算機(jī)進(jìn)行遷移轉(zhuǎn)換。在冷克隆計(jì)算機(jī)時(shí)，需要使用帶有32位子系統(tǒng)的Window預(yù)安裝環(huán)境和Converter Standalone應(yīng)用程序的光盤重新引導(dǎo)源計(jì)算機(jī)。冷克隆在轉(zhuǎn)換期間源計(jì)算機(jī)上不會(huì)發(fā)生任何更改，因此可以創(chuàng)建最一致的源計(jì)算機(jī)副本。冷克隆在源計(jì)算機(jī)上不留痕跡，但要求可直接訪問(wèn)所克隆的源計(jì)算機(jī)。在冷克隆Linux計(jì)算機(jī)時(shí)，必須在克隆完成后才能配置目標(biāo)虛擬機(jī)。對(duì)于安裝有雙系統(tǒng)的源計(jì)算機(jī)，冷克隆可以一次實(shí)現(xiàn)源磁盤的完全遷移轉(zhuǎn)換。

　　3、運(yùn)用虛擬機(jī)技術(shù)進(jìn)行動(dòng)態(tài)仿真取證司法實(shí)踐的探討

　　電子證據(jù)作為計(jì)算機(jī)犯罪調(diào)查取證中的關(guān)鍵證據(jù)，既有一般法律證據(jù)所具有的共性，又有其自身特殊的個(gè)性。在司法實(shí)踐中要求電子證據(jù)既能夠與其它犯罪證據(jù)緊密相關(guān)，相互印證，充分說(shuō)明案件基本事實(shí)，又必須保證取證分析過(guò)程的合法性、證據(jù)獲取的完整性和真實(shí)性。鑒于此，筆者著重從虛擬機(jī)克隆技術(shù)在司法取證實(shí)踐中對(duì)證據(jù)客觀性的影響作簡(jiǎn)要論述。

　　3.1熱克隆技術(shù)對(duì)取證的影響

　　VMware虛擬機(jī)的熱克隆技術(shù)不適合于計(jì)算機(jī)犯罪調(diào)查的現(xiàn)場(chǎng)取證。原因在于其在操作過(guò)程中需要?jiǎng)?chuàng)建磁盤快照通過(guò)網(wǎng)絡(luò)傳遞給目標(biāo)虛擬機(jī)，因此Converter Standalone代理程序會(huì)直接安裝運(yùn)行在開(kāi)機(jī)狀態(tài)下的源計(jì)算機(jī)中，使源計(jì)算機(jī)的內(nèi)存狀態(tài)、網(wǎng)絡(luò)狀態(tài)和磁盤結(jié)構(gòu)發(fā)生改變，對(duì)原始證據(jù)的唯一性和完整性造成破壞。但是，熱克隆具有良好的硬件兼容性，可以快速搭建脫離硬件環(huán)境的模擬仿真系統(tǒng)，因此熱克隆技術(shù)可以是取證分析人員在特定取證過(guò)程中考慮采取的技術(shù)分析方法之一。其分析鑒定的結(jié)果可以作為靜態(tài)取證分析檢驗(yàn)和參考的依據(jù)。

　　例如，在網(wǎng)絡(luò)入侵類案件中，取證人員需要針對(duì)計(jì)算機(jī)病毒木馬程序的網(wǎng)絡(luò)態(tài)、進(jìn)程態(tài)、隱藏態(tài)等特性進(jìn)行動(dòng)態(tài)取樣分析時(shí)，對(duì)源計(jì)算機(jī)磁盤完整拷貝后，采用熱克隆技術(shù)能夠快速實(shí)現(xiàn)樣本程序運(yùn)行環(huán)境的重建。當(dāng)然，針對(duì)不同的取證分析需求，首先必須保證虛擬機(jī)對(duì)樣本程序運(yùn)行環(huán)境的改變是可控的。如：樣本程序所占有的內(nèi)存資源、網(wǎng)絡(luò)端口等系統(tǒng)資源不會(huì)與Converter Standalone代理程序相沖突；取證人員在虛擬機(jī)模擬仿真環(huán)境中對(duì)樣本程序功能性分析不會(huì)受VMM中間件的影響：樣本程序網(wǎng)絡(luò)功能的實(shí)現(xiàn)不依賴于源計(jì)算機(jī)的MAC地址：對(duì)于雙系統(tǒng)的熱克隆必須改變boot.ini指向后分別進(jìn)行。

　　3.2冷克隆技術(shù)對(duì)取證的影響

　　冷克隆在進(jìn)行磁盤遷移轉(zhuǎn)換的過(guò)程中無(wú)需在源計(jì)算機(jī)上進(jìn)行任何安裝，對(duì)源計(jì)算機(jī)物理磁盤不會(huì)產(chǎn)生影響，且對(duì)于多操作系統(tǒng)可以一次克隆完成。因此，采用Converter Standalone的冷克隆技術(shù)能夠保證原始硬盤的真實(shí)性和電子證據(jù)的完整性，符合電子取證的要求，可以作為現(xiàn)場(chǎng)取證的手段之一。在此基礎(chǔ)之上，調(diào)查人員對(duì)取證過(guò)程中涉及到的日期和時(shí)間、硬盤分區(qū)情況、操作系統(tǒng)和版本、文件信息、數(shù)據(jù)完整性、計(jì)算機(jī)程序功能檢測(cè)分析結(jié)果等進(jìn)行歸檔處理，能保證調(diào)查取證過(guò)程的合法性，形成可以提交法庭質(zhì)證的電子證據(jù)報(bào)告。

　　但冷克隆技術(shù)也有它的局限性：一是轉(zhuǎn)換源計(jì)算機(jī)必須處于關(guān)機(jī)狀態(tài)，由CD進(jìn)行重新引導(dǎo)，如要獲取正在運(yùn)行的計(jì)算機(jī)內(nèi)存中的電子證據(jù)，在現(xiàn)場(chǎng)取證時(shí)應(yīng)考慮使用其它技術(shù)手段加以補(bǔ)充：二是Converter Standalone的4.1版本可能對(duì)某些特殊的硬件驅(qū)動(dòng)無(wú)法識(shí)別(如磁盤陣列卡的硬件驅(qū)動(dòng))，在具體操作中要區(qū)別對(duì)待；三是Converter Standalone無(wú)法檢測(cè)大小超過(guò)2 TB的物理磁盤上的任何源卷和文件系統(tǒng)。

　　3.3動(dòng)態(tài)仿真取證在司法實(shí)踐中的意義

　　基于VMware虛擬機(jī)技術(shù)的動(dòng)態(tài)仿真取證分析方法，能夠?qū)崿F(xiàn)模擬系統(tǒng)環(huán)境的快速搭建，從功能上實(shí)現(xiàn)電子數(shù)據(jù)分析鑒定所要求的客觀條件，以便于取證人員提取、固定有利于客觀反映犯罪事實(shí)的電子證據(jù)信息。

　　運(yùn)用虛擬機(jī)技術(shù)進(jìn)行電子數(shù)據(jù)的動(dòng)態(tài)取樣分析，能有效證明電子證據(jù)在計(jì)算機(jī)犯罪案件中與其它關(guān)鍵證據(jù)之間的關(guān)聯(lián)性，對(duì)保障偵查、起訴等司法調(diào)查程序有效實(shí)施具有重要的實(shí)踐意義。同時(shí)，虛擬機(jī)技術(shù)可以通過(guò)直觀展示的方式對(duì)證據(jù)分析鑒定報(bào)告予以出示，因此可以進(jìn)一步提高證據(jù)本身的證明力和證據(jù)能力。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：VMware虛擬機(jī)技術(shù)在電子數(shù)據(jù)取證中的應(yīng)用

本文網(wǎng)址：http://www.guhuozai8.cn/html/solutions/14019311951.html