虚拟环境下计算机取证探析.doc

虚拟环境下计算机取证探析 摘要：研究了虚拟环境在计算机取证调查分析阶段的潜在作用提出了虚拟环境计算机取证软件工具的一般概念；指出了虚拟环境的局限性，设计了一种同时独立使用传统环境和虚拟环境的新方法，并证明这种方法可以大大缩短计算机取证调查分析阶段的时间 关键词：计算机取证；虚拟机；计算机证据 虚拟化是一个古老的概念，在20世纪60年代随着大型计算机的出现而首次引入它在20世纪90年代被重新引入个人电脑虚拟机〔也称为“VM〞〕是一种软件产品，允许用户创立一个或多个单独的环境，每个环境模拟自己的硬件集和自己的软件理想情况下，每个虚拟机都应该像一台完全独立的计算机，具有自己的操作系统和硬件用户可以独立地控制每个环境，假如需要，还可以将网络虚拟计算机连接在一起或将它们连接到外部物理网络【1】 1计算机取证和虚拟机环境 传统的计算机取证过程包括许多步骤，可以大致分为4个关键阶段：〔1〕访问；〔2〕收买；〔3〕分析〔本文的重点〕；〔4〕报告在获取阶段，调查人员捕获尽可能多的实时系统易失性数据，关闭系统，然后为所有存储设备创立一个法医图像【2】存储设备的图像通常是使用许多基于dd〔dd，Unix命令行工具〕的工具。

此图像以dd格式存储，或通常基于dd的专有格式存储图像是原始磁盘的一样副本【3】但是，目前常用的许多专有格式可能与原始硬盘不完全一样，它们可能包括额外的元数据【4】专有格式的一个例子是最近开发的并日益流行的高级取证格式〔AFF〕【5】AFF甚至对原始图像进展了进一步的分割，其中每个段都有一个头部、一个名称、一个32位的参数、一个可选的数据负载，最后还有一个尾部这个简短的图像格式概述的相关性在于，计算机专家的发现可能也基于对图像的检查，该图像在某些方面发生了变化，并且与原始图像不一样由于dd映像与原始映像一样，因此可以将其复制到一样的或更大的硬盘上，并在另一个计算机系统上引导由于有太多可能的硬件组合，这种方法在重新创立原始环境时是不实在际的此外，一些已安装的效劳和软件产品可能回绝启动，或者根本无法启动系统虚拟环境中也存在类似的问题虚拟机只模拟一些根本的硬件组件，获取的dd映像不能立即在虚拟环境中引导，因为虚拟机需要包含有关正在引导的环境信息的附加文件各种软件工具都可以通过创立带有虚拟机所需参数的附加文件来解决这个问题其中一些实用工具是：〔1〕封装物理磁盘模拟器〔PDE〕，商业产品〔封装法医模块，2022〕；〔2〕ProDiscover系列的商业和免费的计算机平安工具技术；〔3〕实时视图，Gnu公共答应证〔GPL〕下提供的免费工具。

使用虚拟机环境进展计算机取证数据分析，但在法庭上以这种方式获得的结果作为证据的适用性是值得疑心的【6】要使映像在虚拟环境中引导，需要对原始环境进展许多更改，并且一旦系统启动，就会将新的数据写入原始映像，从而修改它黄金法那么是在备份目的地创立证据的逐位副本，确保原始数据受写保护后续的数据分析应该在这个副本上执行，而不是在原始证据上 2建议的并行方法 前一节中提到的计算机取证过程的4个阶段，每一个阶段都被进一步划分为特定的步骤，每一个步骤都必须遵循严格的程序分析计算机证据的过程应该遵循以下根本规那么：〔1〕对原件的最小处理；〔2〕解释任何变化；〔3〕遵守证据规那么；〔4〕不要超越你的知识目前还没有普遍承受计算机法医认证，但人们希望进展分析并在法庭上提交报告的人是拥有相关专业知识的“专家〞这个过程的准确性可以大大进步假如这个过程扩大到包括两个并行的调查，分析数据所需的总时间可以缩短在建立的模型中，使用了两个级别的计算机取证人员，这样一个小组的工作方式如下：训练有素、经历丰富的专业调查员严格遵循计算机取证调查方法非专业计算机技术人员不需要严格遵守法医规那么，也从不直接参与正式的报告流程电脑技术员的职责是检查资料的副本，以找出任何可能引起兴趣的资料，然后向专业调查人员报告调查结果。

在计算机取证调查的分析阶段，将获取的图像副本交给计算机技术人员其任务是在虚拟的机器环境中启动图像，将其作为一个正常的“活动〞系统，并搜索与调查相关的所有细节所有的调查结果都会交给专业调查人员，然后由专业调查人员使用适当的计算机取证技术来确认调查结果，并在必要时进展进一步的数据搜索计算机技术人员的调查结果从来没有直接包括在报告过程中 3例如场景 假设场景：当一个人的住所被发现时，一台没有电源的个人计算机对涉嫌非法贩运毒品的人进展了搜寻【5】一名计算机取证调查员被要求协助调查此案，找出与毒品贩运有关的所有信息，包括金融交易的细节和任何有关信件或文件【7】研究人员记录了个人计算机的硬件配置，并使用dd实用程序从HELIX可引导取证CD获得硬盘映像记录SHA-1和MD5散列值以及相关的案例细节，并根据当地的法医程序创立监护链名为B的映像的两个副本在法医实验室，dd被交给了两个人：〔1〕专业调查员更新保管文件链并将图像锁在平安位置；〔2〕计算机技术人员，更新第二张图片对应的保管链，并将图片锁在平安位置第一次成功后启动系统的计算机技术员的虚拟机器安装了虚拟系统工具进步鼠标操作，并提供一个更高的虚拟屏幕分辨率。

再次启动系统前计算机技术员检查虚拟机，并指出只有4个设备安装：内存，硬盘，CD-ROM和USB控制器虚拟机可用的其他设备可以在添加硬件向导中看到没有安装以太网控制器，因此虚拟机与任何网络隔离，进而不会成功计算机技术人员从另一台计算机上检查因特网，要访问C帐户，需要一个用户名和密码用户名“D〞在登录面板中是可见的，但密码隐藏在一排圆点后面为了弄清密码是什么，计算机技术人员决定在虚拟机中安装一个名为“密码揭秘器〞的附加软件最后工具破译密码【4】计算机技术员继续使用标准的Windows工具检查启动的系统Windows资源管理器没有显示与正在调查的案件相关的任何文件夹或文件然后计算机技术员检查调查系统上安装额外的软件是什么，发现桌面上的一个图标的简单的文件粉碎机，可以平安地删除文件，使他们不可能再恢复但有以下两点值得注意〔1〕用于运行系统的磁盘的映像不再与映像b一样使用法医学上可靠的方法获得的dd安装了各种新的设备驱动程序和新的软件包通过在Windows资源管理器中检查各种文件和文件夹，并在它们的本地应用程序中翻开它们，可以“触摸〞它们认为这幅图像仍然是有效的证据是不现实的，如今它被污染了〔2〕原始获得的图像B。

dd仍由专业调查员保管；它没有改变，在法律上是有效的计算机技术员向专业调查员汇报以下根本调查结果：很可能没有太多与调查有关的文件的痕迹，因为使用计算机的人安装了一个平安删除工具，所有这些文件都有可能被不可恢复地删除了；证据价值的材料很可能没有保存在计算机上，因为所有者有一个虚拟的因特网存储帐户，允许他们将所有数据保存在远程效劳器上；可以恢复到远程存储系统帐户的用户名和密码通过使用这些信息，专业调查员如今可以用可靠的取证方法和适当的取证软件工具来确认所有的发现可以从另一台计算机访问DriveHQ上的远程帐户，并复制和检查存储在那里的所有文件dd磁盘映像仍然可以用计算机取证软件分析未分解文件的任何痕迹【6】 4结论 上述简单的场景说明，装备不同工具集的两个团队之间的合作，以及使用具有不同专业程度的人员，可以产生更快的结果，并将减少高素质专业调查人员的工作量使用适当的计算机取证工具和技术的专业调查人员很可能在传统的设置中获得一样的结果，而不需要使用虚拟环境，也不需要计算机技术人员的帮助然而，所描绘的使用传统和虚拟两种环境的方法的一个优势是可以节省时间，增加发现重要证据的时机新方法的另一个优势是，技术人员可以分阶段接触计算机取证技术，而不损害真实的证据，同时为过程提供真正有价值的输入。

这种方法也可以看作是一个内部培训过程的一部分，一个人的小计算机取证经历，并首次引入司法过程在虚拟环境中进展调查本文描绘了在计算机取证调查分析阶段使用传统环境和虚拟环境的过程同时提出了计算机技术人员与专业调查员合作的根本规那么。