電子數(shù)據(jù)取證是打擊網(wǎng)絡(luò)犯罪的重要環(huán)節(jié)，在實際應(yīng)用中可以劃分為靜態(tài)取證模型和動態(tài)取證模型。靜態(tài)取證強(qiáng)調(diào)對證據(jù)的事后發(fā)現(xiàn)與分析，本質(zhì)上是一種被動的取證模型，其優(yōu)點是有利于對涉案電子證據(jù)的提取和保存，缺點是對“活”的電子數(shù)據(jù)進(jìn)行行為分析和抽樣鑒定存在局限性。動態(tài)取證強(qiáng)調(diào)證據(jù)的及時獲取，是一種主動的取證模型，其優(yōu)點是通過實時監(jiān)控分析全面客觀反映系統(tǒng)安全狀態(tài)，并在犯罪實施階段獲取有效的數(shù)據(jù)，缺點是需要經(jīng)過預(yù)先部署，對取證方法的針對行要求較高，在司法實踐中往往達(dá)不到理想的環(huán)境。

　　動態(tài)仿真取證技術(shù)就是在吸取、借鑒傳統(tǒng)取證方法各自優(yōu)勢的基礎(chǔ)上，將仿真技術(shù)運用于計算機(jī)犯罪調(diào)查司法實踐而產(chǎn)生的新的取證方法。

　　1、動態(tài)仿真取證技術(shù)

　　基于動態(tài)仿真技術(shù)的取證分析方法是建立在功能型的取證模型之上的，它沒有使用時間因素作為流程劃分的基準(zhǔn)，而是按照不同取證環(huán)境下的特殊要求，在取證分析過程中運用動態(tài)仿真技術(shù)獲取原始電子證據(jù)或者在取樣分析階段模擬原始環(huán)境加以利用的特殊分析方法。

　　動態(tài)仿真取證技術(shù)在不破壞原始證據(jù)的完整性、有效性、真實性的前提下，注重從功能上實現(xiàn)對電子證據(jù)的收集，分析鑒別所獲得的數(shù)據(jù)信息，提取并固定對偵查、起訴有價值的電子證據(jù)信息。在取證分析中，通過虛擬機(jī)技術(shù)實現(xiàn)原始證據(jù)的克隆、模擬系統(tǒng)環(huán)境，以第一視角的方式進(jìn)行電子數(shù)據(jù)分析。基于VMware虛擬機(jī)技術(shù)的動態(tài)仿真取證技術(shù)是運用VMware虛擬機(jī)技術(shù)實現(xiàn)對物理計算機(jī)的遷移和轉(zhuǎn)換，并在虛擬系統(tǒng)環(huán)境中實現(xiàn)對電子數(shù)據(jù)的動態(tài)取證分析的計算機(jī)犯罪調(diào)查方法。

　　2、虛擬機(jī)技術(shù)

　　虛擬機(jī)是利用虛擬化技術(shù)，通過在現(xiàn)有的硬件平臺上添加一個稱為虛擬機(jī)監(jiān)視軟件的中間層，從而實現(xiàn)對處理器、內(nèi)存管理單元、輸入輸出系統(tǒng)等計算機(jī)必備系統(tǒng)的虛擬化，進(jìn)而在硬件平臺上虛擬出一臺功能完善的計算機(jī)。從應(yīng)用程序的角度來看，應(yīng)用程序都在某一特定的指令體系(instruction setarehitecture，ISA)或操作系統(tǒng)上運行，根本感知不到是運行在一臺虛擬機(jī)上還是在一臺實體計算機(jī)。

　　虛擬機(jī)技術(shù)分為完全虛擬化(fullvirtualization)和準(zhǔn)虛擬化(aravirtulization)兩種類型。二者的區(qū)別在于客體的操作系統(tǒng)指令體系(ISA)和宿主的操作系統(tǒng)指令體系(ISA)是否相同。因此，采用完全虛擬化技術(shù)的虛擬機(jī)具有很好的兼容性，VMware屬于采用完全虛擬化技術(shù)的虛擬機(jī)。

　　2.1虛擬機(jī)轉(zhuǎn)換技術(shù)

　　VMware提供了將虛擬機(jī)、系統(tǒng)鏡像和物理計算機(jī)轉(zhuǎn)換為VMware產(chǎn)品托管的可擴(kuò)展解決解決方案，可以實現(xiàn)物理機(jī)到虛擬機(jī)(P2V)、虛擬機(jī)到虛擬機(jī)(V2V)、磁盤鏡像到虛擬機(jī)(12V)的遷移。轉(zhuǎn)換物理機(jī)時，Converter Standalone組件會通過克隆復(fù)制源物理磁盤或邏輯卷，并將該數(shù)據(jù)傳輸至目標(biāo)虛擬磁盤來創(chuàng)建目標(biāo)虛擬機(jī)。

　　2.2基于磁盤的克隆和基于卷的克隆

　　Converter Standalone支持基于磁盤的克隆和基于卷的克隆。基于卷的克隆是將卷從源計算機(jī)復(fù)制到目標(biāo)計算機(jī)。源計算機(jī)動態(tài)磁盤在目標(biāo)虛擬機(jī)上會轉(zhuǎn)換為基本卷。基于卷的克隆可在文件級別或塊級別執(zhí)行。當(dāng)選擇小于NTFS原始卷的大小或選擇調(diào)整FAT卷大小時執(zhí)行基于卷的文件級克隆。當(dāng)選擇保持源卷的大小或為NTFS源卷指定更大的卷大小時可進(jìn)行基于卷的塊級克隆。

　　基于磁盤的克隆會轉(zhuǎn)移所有磁盤的所有扇區(qū)，為所有類型的基本磁盤和動態(tài)磁盤創(chuàng)建源計算機(jī)的副本，并保留所有卷元數(shù)據(jù)，目標(biāo)虛擬機(jī)接收的分區(qū)類型、大小和結(jié)構(gòu)與源虛擬機(jī)完全相同。

　　2.3物理機(jī)的熱克隆和冷克隆

　　2.3.1熱克隆

　　熱克隆也叫做實時克隆或聯(lián)機(jī)克隆，在機(jī)操作系統(tǒng)運行狀態(tài)下對源計算機(jī)進(jìn)行遷移轉(zhuǎn)換。由于在轉(zhuǎn)換期間進(jìn)程繼續(xù)在源計算機(jī)上運行，因此生成的虛擬機(jī)不是源計算機(jī)的精確副本，需要配置Converter Standalone選項，使程序在熱克隆后將目標(biāo)虛擬機(jī)與源計算機(jī)同步。同步操作允許將物理機(jī)源無縫遷移到虛擬機(jī)目標(biāo)，目標(biāo)計算機(jī)將接管源計算機(jī)操作。

　　對于雙引導(dǎo)系統(tǒng)的源計算機(jī)，熱克隆只能克隆boot.ini文件指向的默認(rèn)操作系統(tǒng)。在更改源計算機(jī)的boot.ini文件以指向另一個操作系統(tǒng)之后，重新啟動源計算機(jī)，才能對另一個操作系統(tǒng)重新進(jìn)行克隆。如果另一個操作系統(tǒng)是Linux系統(tǒng)，則可以使用克隆Linux物理機(jī)源的標(biāo)準(zhǔn)過程引導(dǎo)和克隆該系統(tǒng)。

　　2.3.2冷克隆

　　冷克隆也稱為脫機(jī)克隆，在關(guān)機(jī)狀態(tài)下對源計算機(jī)進(jìn)行遷移轉(zhuǎn)換。在冷克隆計算機(jī)時，需要使用帶有32位子系統(tǒng)的Window預(yù)安裝環(huán)境和Converter Standalone應(yīng)用程序的光盤重新引導(dǎo)源計算機(jī)。冷克隆在轉(zhuǎn)換期間源計算機(jī)上不會發(fā)生任何更改，因此可以創(chuàng)建最一致的源計算機(jī)副本。冷克隆在源計算機(jī)上不留痕跡，但要求可直接訪問所克隆的源計算機(jī)。在冷克隆Linux計算機(jī)時，必須在克隆完成后才能配置目標(biāo)虛擬機(jī)。對于安裝有雙系統(tǒng)的源計算機(jī)，冷克隆可以一次實現(xiàn)源磁盤的完全遷移轉(zhuǎn)換。

　　3、運用虛擬機(jī)技術(shù)進(jìn)行動態(tài)仿真取證司法實踐的探討

　　電子證據(jù)作為計算機(jī)犯罪調(diào)查取證中的關(guān)鍵證據(jù)，既有一般法律證據(jù)所具有的共性，又有其自身特殊的個性。在司法實踐中要求電子證據(jù)既能夠與其它犯罪證據(jù)緊密相關(guān)，相互印證，充分說明案件基本事實，又必須保證取證分析過程的合法性、證據(jù)獲取的完整性和真實性。鑒于此，筆者著重從虛擬機(jī)克隆技術(shù)在司法取證實踐中對證據(jù)客觀性的影響作簡要論述。

　　3.1熱克隆技術(shù)對取證的影響

　　VMware虛擬機(jī)的熱克隆技術(shù)不適合于計算機(jī)犯罪調(diào)查的現(xiàn)場取證。原因在于其在操作過程中需要創(chuàng)建磁盤快照通過網(wǎng)絡(luò)傳遞給目標(biāo)虛擬機(jī)，因此Converter Standalone代理程序會直接安裝運行在開機(jī)狀態(tài)下的源計算機(jī)中，使源計算機(jī)的內(nèi)存狀態(tài)、網(wǎng)絡(luò)狀態(tài)和磁盤結(jié)構(gòu)發(fā)生改變，對原始證據(jù)的唯一性和完整性造成破壞。但是，熱克隆具有良好的硬件兼容性，可以快速搭建脫離硬件環(huán)境的模擬仿真系統(tǒng)，因此熱克隆技術(shù)可以是取證分析人員在特定取證過程中考慮采取的技術(shù)分析方法之一。其分析鑒定的結(jié)果可以作為靜態(tài)取證分析檢驗和參考的依據(jù)。

　　例如，在網(wǎng)絡(luò)入侵類案件中，取證人員需要針對計算機(jī)病毒木馬程序的網(wǎng)絡(luò)態(tài)、進(jìn)程態(tài)、隱藏態(tài)等特性進(jìn)行動態(tài)取樣分析時，對源計算機(jī)磁盤完整拷貝后，采用熱克隆技術(shù)能夠快速實現(xiàn)樣本程序運行環(huán)境的重建。當(dāng)然，針對不同的取證分析需求，首先必須保證虛擬機(jī)對樣本程序運行環(huán)境的改變是可控的。如：樣本程序所占有的內(nèi)存資源、網(wǎng)絡(luò)端口等系統(tǒng)資源不會與Converter Standalone代理程序相沖突；取證人員在虛擬機(jī)模擬仿真環(huán)境中對樣本程序功能性分析不會受VMM中間件的影響：樣本程序網(wǎng)絡(luò)功能的實現(xiàn)不依賴于源計算機(jī)的MAC地址：對于雙系統(tǒng)的熱克隆必須改變boot.ini指向后分別進(jìn)行。

　　3.2冷克隆技術(shù)對取證的影響

　　冷克隆在進(jìn)行磁盤遷移轉(zhuǎn)換的過程中無需在源計算機(jī)上進(jìn)行任何安裝，對源計算機(jī)物理磁盤不會產(chǎn)生影響，且對于多操作系統(tǒng)可以一次克隆完成。因此，采用Converter Standalone的冷克隆技術(shù)能夠保證原始硬盤的真實性和電子證據(jù)的完整性，符合電子取證的要求，可以作為現(xiàn)場取證的手段之一。在此基礎(chǔ)之上，調(diào)查人員對取證過程中涉及到的日期和時間、硬盤分區(qū)情況、操作系統(tǒng)和版本、文件信息、數(shù)據(jù)完整性、計算機(jī)程序功能檢測分析結(jié)果等進(jìn)行歸檔處理，能保證調(diào)查取證過程的合法性，形成可以提交法庭質(zhì)證的電子證據(jù)報告。

　　但冷克隆技術(shù)也有它的局限性：一是轉(zhuǎn)換源計算機(jī)必須處于關(guān)機(jī)狀態(tài)，由CD進(jìn)行重新引導(dǎo)，如要獲取正在運行的計算機(jī)內(nèi)存中的電子證據(jù)，在現(xiàn)場取證時應(yīng)考慮使用其它技術(shù)手段加以補(bǔ)充：二是Converter Standalone的4.1版本可能對某些特殊的硬件驅(qū)動無法識別(如磁盤陣列卡的硬件驅(qū)動)，在具體操作中要區(qū)別對待；三是Converter Standalone無法檢測大小超過2 TB的物理磁盤上的任何源卷和文件系統(tǒng)。

　　3.3動態(tài)仿真取證在司法實踐中的意義

　　基于VMware虛擬機(jī)技術(shù)的動態(tài)仿真取證分析方法，能夠?qū)崿F(xiàn)模擬系統(tǒng)環(huán)境的快速搭建，從功能上實現(xiàn)電子數(shù)據(jù)分析鑒定所要求的客觀條件，以便于取證人員提取、固定有利于客觀反映犯罪事實的電子證據(jù)信息。

　　運用虛擬機(jī)技術(shù)進(jìn)行電子數(shù)據(jù)的動態(tài)取樣分析，能有效證明電子證據(jù)在計算機(jī)犯罪案件中與其它關(guān)鍵證據(jù)之間的關(guān)聯(lián)性，對保障偵查、起訴等司法調(diào)查程序有效實施具有重要的實踐意義。同時，虛擬機(jī)技術(shù)可以通過直觀展示的方式對證據(jù)分析鑒定報告予以出示，因此可以進(jìn)一步提高證據(jù)本身的證明力和證據(jù)能力。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.nttd-wave.com.cn/

本文標(biāo)題：VMware虛擬機(jī)技術(shù)在電子數(shù)據(jù)取證中的應(yīng)用

本文網(wǎng)址：http://m.nttd-wave.com.cn/html/solutions/14019311951.html